随着信息技术产业的蓬勃发展,网络安全问题接踵而至。现有的网络安全防御技术如防火墙、加密技术等已经无法适应动态、复杂的网络环境。由此,入侵检测技术应运而生。互联网的大环境下,人们对数据价值的渴望催生出了数据挖掘技术。将数据挖掘技术应用于入侵检测领域,能分析出正常行为数据和异常行为数据,可以有效提高入侵检测性能。K-means作为数据挖掘中经典的聚类分析算法,被广泛应用于入侵检测中,然而由于其存在聚类数目、初始聚类中心点难以估计的缺点,导致了入侵检测效果不佳。为此,本文提出了一种基于改进的K-means入侵检测方法,根据有效性指标确定最佳聚类数目,同时考虑各维特征对聚类的不同影响进行特征加权,并结合三支决策聚类方法以改善聚类效果。本文的主要研究内容如下:(1)综述入侵检测的相关概念,分析阐释了入侵检测系统的原理,包含工作流程、基本构成及其分类。在此基础上,讨论了入侵检测系统尚存在的缺陷及其未来的发展方向。(2)结合入侵检测中网络数据的特点,针对聚类分析算法K-means的缺点,对其进行优化。考虑网络数据的各个特征对聚类作用不同,对特征进行加权;提出k值有效性指标用以确定聚类数目,并以此优化初始聚类中心点,使最终的聚类算法更加稳定。吸取三支决策思想,将聚类中的不确定对象划分到边界域中,对边界域的数据进行延迟决策,即二次聚类,提高聚类的准确率。选取UCI中的数据集进行算法有效性验证实验。实验表明,改进的算法可以有效提高聚类质量。(3)设计了一种基于改进的K-means算法的混合入侵检测模型,并对其中的异常检测模块进行实验,实验表明,与传统的K-means入侵检测算法相比,改进后的K-means入侵检测算法检测率更高,误报率更低。