近年来,网络攻击行为每年以指数量级的速度增长,网络入侵手段和行为特征不断变化和更新,传统的静态防御技术已难以胜任网络安全的需求。网络入侵检测系统作为网络防火墙的有力补充,已经成为网络管理的关键组成部分。目前,应用最广的基于特征签名的入侵检测系统存在特征签名库必须对新的入侵行为的特征进行手工更新的局限性。然而采用数据挖掘技术的网络入侵检测系统可以充分发挥数据挖掘处理海量数据的优势,能够从数据挖掘中发现人们未知的知识和规律,对提高检测效率和准确性具有重要意义。通过对各种基于孤立点发现算法的研究,比较各种算法的优劣性,选用、改进优化了一种孤立点数目n阈值自动调整的局部异常孤立点动态挖掘算法:n-IncLOF算法。在该算法中考虑到孤立点在流数据发生时的不均匀性,给出了孤立点数目阈值n调整函数,分析了算法过程中数据点的插入、删除和修改等过程,给出了改进n-IncLOF算法描述,并分析了算法的复杂度。同时,设计并实现了采用n-IncLOF算法做检测引擎的基于主机和网络混合特征属性的实时网络入侵异常检测系统OutlierDIDS。最后,使用该系统通过对KDD CUP99数据流的异常检测实验表明了n-IncLOF算法对孤立点数目的变化具有很强的自适应能力,相比原算法不仅大幅提高了检测率,降低了误报率。同时也表明OutlierDIDS系统满足网络入侵检系统对有效性、自适应性和实时性的要求。