随着计算机技术和网络技术的不断发展,Internet在为我们带来许多机遇和丰富的网络资源的同时,也使得计算机安全问题更加复杂和突出,这直接关系到个人隐私、商业利益乃至国家机密。因此,如何有效而迅速地发现并阻止各种非法入侵行为,成为当今网络安全有待解决的重要问题。虽然现在已有很多传统安全产品,如认证、访问控制、加密、防火墙等,但是这些安全系统存在不完备性,而入侵检测技术能够弥补它们的不足。入侵检测能够找到系统漏洞,并在非法入侵者攻击计算机系统时,实时地捕获这些入侵攻击行为;因此,入侵检测技术是一种新的安全保障技术,是计算机安全体系中的非常重要组成部分,已成为当前计算机安全技术研究的重点。现在已有的入侵检测系统的智能化水平低,对入侵攻击行为的实时检测能力不强,检测的准确率低,误报率高;而数据聚类方法应用到入侵检测中,能够使得入侵检测系统具有自学习、自组织的能力,提高系统处理海量数据的能力,从而提取数据中有潜在价值的知识和规则,提高检测能力;数据聚类方法是一种典型的无监督学习技术,可以在未标记数据集上直接建立入侵检测模型或者发现异常数据;本文中提出的aiNet增量聚类算法结合了人工免疫原理中的克隆选择、亲和力成熟以及网络抑制等免疫机制,有效地提高自学习和智能化能力;把增量聚类和子簇合并的思想应用到该算法中,有效地提高聚类效率;数据聚类算法在入侵检测领域有着广泛的应用前景,这是一个非常有价值的研究方向。本文的课题来源于四川省科技厅应用基础研究项目“基于安全免疫服务网络的入侵检测技术研究”(2008JY0058)。本文的主要研究工作:1.介绍了几种传统的数据挖掘聚类算法,然后重点研究基于免疫原理的聚类算法,并对算法优缺点进行了分析,在此基础上提出aiNet增量聚类算法。2.在分析现有入侵检测系统模型的基础上,把aiNet增量聚类算法应用到入侵检测中。该模型工作过程分为数据预处理、聚类分析、标识类和实时检测四个阶段;首先对数据的所有属性值进行标准化,再利用该聚类算法来对网络数据进行分类,区分哪些网络数据是正常的,哪些网络数据是异常的;然后把包含异常网络数据的簇标记为异常簇,而将包含正常网络数据的簇标记为正常簇。3.实时检测数据。根据检测算法进行增量聚类,在不断完善聚类结果的同时有效而快速地检测出入侵攻击行为。4.先使用二维数据集来证明,增量聚类算法的聚类结果与重新聚类的聚类结果一致,以及aiNet增量聚类算法能有效地提高聚类效率;再使用KDDCup 99数据集对基于aiNet增量聚类算法和增量式K-means聚类算法的入侵检测模型进行实验,实验结果表明,基于aiNet增量聚类算法的入侵检测模型能有效地提高检测率和降低误报率,而且检测速度也有所提高。