随着硬件技术的飞速发展,网络的速度越来越快,人们获取数据的能力越来越强,数据形态从静止的数据形式转为海量的、源源不断的流式数据,这对网络入侵检测提出了更高的要求。入侵检测必须提高对大型的、动态的数据集的处理能力,提高识别入侵的准确率,提高对未知攻击的检测能力。由于数据挖掘技术可以从海量的数据集中挖掘出潜在的知识信息,并抽象出有利于判断和比较的特征模式,具备自我学习、自我适应的能力,所以近年来人们对数据挖掘技术应用到入侵检测中的研究十分感兴趣。聚类算法向来是数据挖掘研究的重要方面,基于密度和网格的聚类算法也成为近年来人们研究的热点。由于该算法可以处理任意形状的聚类、受噪声干扰小、数据处理量能力独立于数据规模等特点,所以本论文将该算法应用到入侵检测中,处理网络数据包中的动态数据流,目的是提高入侵检测系统的检测率。本文首先主要讨论了有关入侵检测系统、数据挖掘以及聚类算法等方面已经取得的主要研究成果。探讨了典型的基于密度和网格的聚类算法CLIQUE的不足,并对其进行改进,达到了更好的聚类效果,并且降低了计算量。在此基础上,提出了基于密度和网格的数据流聚类算法,使得基于密度和网格的聚类算法能更好地应用于数据流环境。最后将基于密度和网格的数据流聚类算法应用到入侵检测系统中,建立一个增量聚类检测模块,通过在线部分的聚类、离线部分的分析两个部分,完成了对知识库的更新,提高了对已知和未知入侵行为的检测率。在KDDCUP99数据集上的实验结果表明,本文提出的入侵检测算法具有较好的检测性能,能够适应高速网络环境下对海量数据分析的要求。图[9]表[9]参[38]