随着计算机技术及电子商务的发展,越来越多的个人及单位参与到互联网当中,使得网络安全问题日益凸显。网络环境的复杂化导致传统的被动的防御方式在对计算机进行安全防护时显得力不从心,入侵检测系统应运而生。由于网络带宽的增加,传统的单一的入侵检测系统已经不能满足对网络环境实时监测的需要,集群入侵检测系统已成为目前网络安全研究的热点。它对网络数据包进行实时分流的思想有效地解决了网络包掉包的现象。目前,市场上存在着许多入侵检测产品,这些产品主要用于企业网站及军事部门,用来检测入侵行为。然而在集群入侵检测系统中普遍采用模糊C-均值入侵检测算法聚类由于未考虑数据流的相关性,会影响入侵检测的准确率,且由于聚类大小差别较大现在,影响探测器负载的平衡。怎样进一步提高集群入侵检测系统的检测准确率并且提升负载均衡能力,成为集群入侵检测系统中需要重点解决的问题。这一问题的解决关键是找到一种较为合理的将数据流分流的方法,本文将就此问题进行深入的研究。本文主要研究内容如下：1.提出了一种数据流相关性聚类算法(Data Flow Correlated Clustering Algorithm,DFC)。在此算法中,本人主要做了以下几方面工作：(1)从数据流属性集合抽取出一个具体六元组,这个六元组作为该数据流特性的表示,较全面地描述了数据流的属性。(2)提出数据流匹配操作及数据流相关性的概念,对每个数据流与聚类中心的六元组中各个属性进行匹配,用匹配结果来判断数据流相关性。(3)提出数据流逻辑距离概念,并给出逻辑距离公式,使数据流间逻辑距离的判定方式从语义上的描述发展到用形式化的公式来判定。人们可以更精确地判定数据流之间的逻辑距离。2.提出了一种基于DFC的集群入侵检测方法,它将来自外部网络的数据流分流,分流的依据是数据流之间的逻辑距离,若数据流间逻辑距离大于阈值,将此数据流作为新产生的聚类中心,否则将此数据流放入原有与之逻辑距离最近的聚类中。将此方法应用到集群入侵检测系统模型中,该算法设定了聚类中数据流数目的上限,有效地将聚类中数据流的数目限制在一定范围内,平衡了探测器的负载。3.采用来自DARPA检测评估计划的KDD Cup 1999数据集上的数据来验证DFC的有效性,从而进一步证明了该方法是一个检测率高且效率高的集群入侵检测方法。