入侵检测系统能够弥补传统安全保护机制所不能解决的问题,是计算机安全体系中的重要组成部分,正成为计算机安全技术研究的重点。将数据挖掘技术与入侵检测技术相结合,能够使得入侵检测系统具有自学习的功能,增加入侵检测系统对海量数据的处理能力,得到数据中潜在的规则,增强入侵检测系统的检测功能,减轻管理人员的负担,具有较高的实用意义,符合当前入侵检测系统的发展方向。数据挖掘聚类方法是一种典型的无监督学习技术,可以在未标记数据集上直接建立入侵检测模型或者发现异常数据,在入侵检测领域有着广泛的应用前景,对于提高入侵检测系统的效率有着重大的研究价值。 本文研究了面向入侵检测的数据挖掘聚类算法,并对算法优缺点进行了分析,在此基础上提出动态增量聚类算法。在分析现有入侵检测系统模型的基础上,提出了基于数据挖掘聚类技术的实时入侵检测系统模型AMIDS。该模型工作过程分为训练和实时检测两个阶段,在训练阶段应用动态增量聚类算法构建合法用户正常行为模式库,实时检测阶段通过比较当前用户行为模式和模式库中模式的相似性来判别当前用户是否是合法用户。以传统方法建立的入侵检测系统,建立速度慢,更新代价高,而且在有效性、自适应性和实时性方面难以满足要求。AMIDS模型应用数据挖掘聚类技术对合法用户命令数据进行分析处理,提高了用户模式表示的准确性和灵活性;当用户行为模式改变,进行模式库更新,使系统的自适应性得以保证;对实时采集到的当前用户命令数据,运用相似度比较算法识别当前用户异常行为,满足了实时性要求。