入侵检测是继防火墙、数据加密等传统安全保护措施后的又一种新的安全保障技术,它被用于对计算机和网络资源进行恶意使用的行为进行识别和响应。近年来数据挖掘的各种技术被大量应用于入侵检测,但传统的面向入侵检测的数据挖掘算法需要在已标记的数据上进行训练,标记过程需要人工完成且代价太高,如果标记错误,将导致检测效率的降低。以聚类为代表的无监督异常检测方法可以在无标记数据集上使用,比传统的数据挖掘方法具有一定的应用优势。基于聚类的入侵检测算法PCSI包括四个算法:一是数据预处理算法,采用计算绝对偏差均值的方法对每条记录的特征向量值进行标准化处理,便于不同权值特征的聚类;二是聚类生成算法,首先针对传统的聚类算法无法处理离散型数据的缺点,定义一种新的混合数据集上的距离,使聚类算法能够处理包含连续型和离散型数据的异构源数据,然后将一个数据点作为数据中心,通过给定的聚类半径将数据点聚类;三是聚类标记算法,它将所有的类按其包含的数据量大小排序,并设定一个比例数N,那些位于N以上的包含最多数据量的类被标记为正常类,其余的类则是异常类;四是检测算法,对于每个待判断的元数据,检测其与现存类的距离,并把该元数据归属到距离最小的那个类中,从而可判断该数据是否是入侵。在KDD Cup 1999数据集上的实验表明,PCSI算法在时间复杂度等检测性能方面比传统的异常检测方法有一定提高。