随着计算机的普及和网络的快速发展，安全威胁迅速增加，需要采取有效的措施保障计算机系统和网络的安全运行。入侵检测技术是近20年来出现的一种动态的监控、预防或抵御系统入侵行为的安全机制。它能在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。　　 通过对现有聚类方法进行深入的分析、比较，得知聚类分析可扩展性强，实效性高，适用于大规模数据集。其既可以作为一个独立的工具类使用，也可以作为其它算法的预处理步骤。由于蚁群聚类算法不必预先设定聚类的数目，适用于无监督聚类的异常入侵检测，因此使用蚁群聚类作为异常入侵检测的预处理步骤，在不具备完整领域知识背景的情况下完成入侵检测。　　 本文系统地研究了入侵检测的基本理论，其中包括入侵检测的定义、种类和入侵检测的模型，并分析了当前存在的问题。从中发现现有的异常入侵检测算法难以检测包含混合属性的数据集及大规模数据集。本文根据异常数据会偏离正常数据的特性，提出利用类的异常因子解决以上不足。　　 针对聚类分析及异常检测方面的问题，本文提出一种基于蚁群聚类的异常网络入侵检测算法DANI。先从KDD Cup99数据集中选取合适的数据，分析这些网络数据的属性特征并对数据进行标准化处理。然后使用蚁群聚类算法进行聚类，并通过对这些类的异常因子大小的比较，检测出异常类。最后通过ROC曲线对DANI算法进行评估。　　 实验结果表明，DANI算法的时间复杂度与数据集的规模为线性关系，与属性个数以及最终簇的个数成近似线性关系，这使得方法具有良好的扩展性，可用于大规模数据集中的异常挖掘，特别可望用于数据流中的异常挖掘。并且此算法具有较高检测率和较低的虚警率，整体检测性能优于K-means聚类算法。