入侵检测作为一种动态安全技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵行为。目前,异常检测研究提出了很多适合安全领域的检测技术,但是它们仍然有许多地方需要改进。本文采用异常检测思想,选择聚类算法,提出了一种基于正常简档聚类的自适应异常检测模型,并在模型基础上实现了一种混合入侵检测系统。论文的内容主要包括如下几个方面:1.详细分析了异常检测技术的方法,阐述了异常检测技术中的正常简档,归纳出自适应入侵检测的整体步骤。同时详细分析并对比了聚类算法在入侵检测中的应用。2.提出了一种基于正常简档聚类的自适应异常检测模型。该模型选取正常数据记录通过k-means聚类算法建立正常简档,然后依据正常简档对网络数据记录进行检测,并结合已检测出来的正常数据记录对正常简档进行更新。KDD cup 99数据的实验表明,系统能够适应数据的变化趋势,在保持较低误报率的前提下检测率得到了较大的提升。3.实现了一种混合入侵检测系统,该系统结合了误用检测和异常检测两种方式的优点。实验结果表明系统在误报率为1.16%时,检测率达到了84.37%,系统具有较好的自适应性。