随着网络技术的快速发展,新类型的入侵行为也层出不穷,人们迫切需要能检测出新类型入侵行为的技术。异常检测技术从理论上能解决这个问题,因此出现了多种异常检测方法。数据挖掘是帮助人们在海量数据中发现信息和知识的工具,广泛应用到各个领域,包括异常检测。数据挖掘中的大多数算法是针对数据集一般模式的研究,但是现实生活中的各种领域,经常出现一些与数据集的一般行为或模型不一致的数据对象,这些对象称为孤立点。对孤立点的识别就是对数据集小模式的研究。在网络活动中,正常行为远远多于入侵行为,入侵行为本身在本质上有别于正常行为,即入侵行为与正常行为是不一致的。因此,采用孤立点挖掘技术来识别入侵行为包括识别出新类型的入侵行为,具有一定的理论基础和实践意义。基于距离的孤立点挖掘技术D nk,以其接近孤立点本质和算法简单的优势,是孤立点挖掘应用广泛的算法。针对D nk原始算法具有较高的时间复杂度,出现了多种优化算法:循环嵌套﹑基于索引和基于划分的方法等。当数据量太大﹑属性较多时,基于划分的方法较之其它方法具有更好的性能。因此,对数据量大﹑属性多的入侵检测来说,基于划分的方法是最好的选择。借鉴基于划分的思想,本文提出了一种改进的基于距离的孤立点算法:首先采用一种基于距离的聚类方法将数据集分割成多个数据子集;然后分析子集的固有特性,计算每个数据对象的第k最近邻距离;最后将数据对象的第k 最近邻距离由大到小进行排序,取前n 个数据对象为孤立点。此算法实现简单﹑有效,并且从理论上,能很好地应用于异常入侵检测。本文通过实验来评估改进算法应用于入侵检测中的性能,其实验数据来源于KDD CUP1999 数据集。主要针对两种不同的特征属性,对改进算法从检测率和误报率两方面进行评估。实验表明该算法针对不同特征属性的数据集,检测不同类型的入侵行为,具有很好的检测结果。总的来说,本文提出的算法在异常入侵检测中取得了令人满意的效果。