随着网络应用的不断发展,尤其是黑客技术的多样化,网络系统面临着越来越多的攻击和安全问题。为了有效的保护网络环境,及时的发现攻击行为,继防火墙、数据加密等传统安全保护措施后入侵检测作为一种新的安全防护技术应运而生。入侵检测技术分为误用检测和异常检测两种类型,然而就目前研究较为成熟的误用检测来讲,只是将网络的数据包与现有的攻击模式进行规则匹配,对已知攻击的检测率较高,对未知攻击或已知攻击的变种攻击则无法做出有效检测,极大的限制了入侵检测系统在实际中的应用效果。将数据挖掘技术中的聚类分析算法引入到入侵检测系统中,可以有效的挖掘网络正常行为模型,提高系统检测速度并且能够有效发现未知攻击行为。聚类分析算法中的K-Means算法本身由于其算法简单、计算复杂度低,非常适合于入侵检测系统的应用,然而该算法仍然存在两大方面的问题：一是其采用随机法确定初始聚类中心,不同的初始值可能产生不同的聚类结果；二是采用爬山式技术寻找聚类中心导致容易陷入局部最优解。基于上述问题,本文提出了改进的聚类分析算法。首先设计了通过确定两个最佳初始聚类中心的算法,该算法有效避免了初始聚类种子随机选取而导致的距离过于邻近的问题；随后设计了对聚类中心邻近数据对象进行搜索的计算方法以减少聚类不断收敛时运行的数据量；最后设计了基于最大、最小距离的层次聚类与DBI指标联合确定剩余初始聚类中心的算法,解决了聚类局部最优解的问题和避免了人工设置初始聚类中心对最终聚类造成的不良影响。随后本文以设计的改进聚类分析算法为基础,构建了一个以聚类分析模块和异常检测引擎为核心组件的网络入侵检测系统模型,并对该模型包含的五大模块进行了相关功能介绍。最后,本文使用了KDD99数据集,验证了改进聚类分析算法较K-Means算法在处理较大数据量时算法收敛速度上的优势以及基于改进聚类分析算法的入侵检测系统模型在提高检测率和减少误检率上的优越性,并对今后的工作做出了展望。