随着计算机网络的不断发展,互联网技术在为人们提供便捷生活的同时,网络安全问题也随之而来,因此网络入侵检测技术引起了广泛的关注。异常检测是入侵检测的一种常见方式,旨在有效识别数据集中的异常数据,挖掘数据集中有意义的潜在信息,它的核心在于对网络中的信息进行提取并进行相关的异常分析。随着计算机网络的普及,各种应用每天产生的网络数据呈指数级增长,传统的异常检测方法已经难以应对海量的数据,对于从海量数据集合中寻找异常信息更是力不从心。当前,在异常检测中存在两个亟需解决的问题:一是网络数据海量,异常检测方法难以适应大规模的数据集,计算成本较高;二是异常检测过程中存在参数选择的不确定性,这影响了异常检测的准确性。针对异常检测中存在的问题,本文对传统的异常点检测算法进行改进,并将其应用到网络入侵检测系统中,从而判断系统数据集合中的正常行为和异常行为。本文所做的工作主要归纳为以下几个方面:(1)通过研究聚类算法,提出基于网格聚类的数据集优化方法。如何在海量的网络数据集合中快速准确的识别异常信息是非常重要的。为了提高异常检测算法的效率,本文提出了一种基于网格聚类的数据集优化方法。该方法引入了划分函数(P)和阈值函数(T)的概念,通过划分函数和阈值函数,对网络中存在的海量数据进行预处理。该数据集优化方法初始化密度大于特定阈值的原始数据,从而提取出具有异常偏向的数据集。实验结果表明,本文提出的基于网格聚类的数据集优化方法,降低了异常检测算法的时间复杂度,提高了算法的运行效率。(2)通过研究基于密度的异常点检测算法,提出了一种改进的无参数异常点检测算法。随着异常检测研究的不断深入,已经提出了多种异常点检测算法,适当的异常检测算法能够帮助人们揭示异常现象,发现潜在的异常行为。为了提高异常点检测的算法性能,本文提出了一种改进的异常点检测算法,该算法的思想是:单位面积内数据对象的个数与数据集合的密度紧密相关。改进的异常点检测算法能够降低算法的时间复杂度,然而算法难以解决参数选择这一重要问题。因此,通过研究基于密度的异常点检测算法,本文提出了一种改进的无参数异常点检测算法。在该算法中,我们首先提出了剩余邻居数量的概念,然后把剩余邻居数量和数据簇的大小作为异常点检测的基础,从而得到更精确的异常点集。实验结果表明,本文提出的异常点检测算法能够有效识别数据集中的异常数据。(3)通过研究本文提出的异常点检测算法,设计了入侵检测系统。本文所设计的入侵检测系统主要包括数据采集和数据分析两部分。数据采集模块的主要功能是从客户端进行网络数据的采集,并通过个性化取证模块向服务器端提交取证需求。数据分析模块的主要功能是在服务器端对采集到的系统信息进行检测,然后对入侵检测的结果进行展示。