随着信息技术的不断发展、互联网应用的增多、网络中流量的大幅度增加,网络信息安全面临着更大的挑战。Web防护技术也从防火墙、杀毒软件发展到入侵检测,再到多种技术的结合检测。入侵检测技术能对目标网络节点中通过的事件或数据进行检测,过滤网络中的不安全因素,保障网络信息的安全。入侵检测技术作为一种主动的安全防御技术,能在防火墙等的防御方法上进行防御补充。然而,在现在的网络中,入侵检测需要处理的数据量更大,数据也更复杂多变。因此,如何在入侵检测系统有效的处理数据,适应攻击手段的变化,是当前需要解决的问题。针对当前网络的特点,本文分析了网络数据包的特点和K-means算法的基础理论,提出了一种对K-means算法的改进方法,并利用Snort的插件机制,将Snort预处理器与改进后的k-means算法结合,使Snort预处理插件能对静态数据进行聚类,对实时数据进行分类。分析入侵检测在现在网络中存在的不足之处,提出了一种对将改进后的FP-Tree算法运用至Snort规则匹配插件中的优化方法。本文的主要工作包括:(1)通过对k-means算法和FP-Tree算法的改进对Snort入侵检测系统的预处理器和规则匹配模块进行优化。利用改进后的k-means算法对静态数据进行聚类,分为正常数据类和异常数据类,通过对距离的判断将实时数据分为正常数据或是异常数据,再利用Snort对其进行进一步的处理。利用改进后FP-Tree算法对从网络数据进行规则挖掘,随后生成可被Snort识别的规则,再添加至Snort规则库中,使其能适应攻击手段变化。(2)利用KDD CUP99数据集对提出的两种优化方法进行有效性实验,对本文工作进行总结和分析。