随着网络技术的快速发展和人类社会信息化程度的不断提高,人们对网络的依赖性日益增强,随之出现的网络安全问题也不断增加。入侵检测作为一种主动防御网络攻击的手段,已成为网络安全领域中的一个研究热点。然而入侵检测算法尚存在很多不足：误报率高、未知攻击检测难、单一检测技术难以全面检测复杂网络环境下类型多样的各种攻击等。针对这些不足,本文将两种算法结合起来构造了一个综合的入侵检测算法。本文首先对入侵检测系统的体系结构、分类和发展趋势进行了简要的说明,并对数据挖掘的基础知识、数据挖掘在入侵检测中的应用及其特点进行了论述和分析。通过研究分析得出入侵检测需要处理大量的数据,而数据挖掘技术是一个强有力的数据分析与处理工具,从而将数据挖掘技术应用于传统的入侵检测系统来处理海量数据。接着,针对模糊C均值聚类算法(Fuzzy C-Means algorithm, FCM)在聚类过程中不需要任何的先验知识,可以发现未知攻击类型,具有过程简单、收敛速度快等优点,但误报率略高,而C4.5决策树算法是一种有监督分类方法,需要利用预先标记好的训练数据进行模型构建,可以较好地检测出已知攻击类型,但对未知攻击类型的检测能力较差的特点,将FCM和C4.5相结合,构建了一个双过滤入侵检测模型。模型首先采用FCM算法初步过滤掉明显的正常数据,从而减少了第二层过滤的数据量；第二层运用决策树C4.5算法进行细过滤,从而获得效率与精度的提高。通过数据集KDD CUP99的实验验证,组合过滤算法能充分发挥了FCM能检测到未知攻击的能力与C4.5低误报率和对已知攻击高检测率的优点,并克服FCM检测率低和C4.5对未知攻击检测能力差的问题；同时该组合过滤算法通过逐层过滤的方式减少了第二层需要过滤的数据量,达到效率与精度的共同提高。为了适应网络环境变化和用户行为的变迁,本文将增量学习引入到组合过滤模型中,构建了一个基于FCM-C4.5的增量入侵检测模型。模型在增量学习过程中,将新产生的数据送回到模型构建中进行模型更新,从而使得模型能根据网络环境和用户对系统使用的变化而不断更新。通过KDD CUP99数据集实验表明,基于FCM-C4.5的增量入侵检测模型能在保持原有较高检测率和较低误报率的基础上适应网络环境的变化。