在网络安全问题日益突出的今天,如何迅速而有效地利用基于数据挖掘的入侵检测系统发现各种入侵行为,对于保证系统和网络资源的安全十分重要。传统的面向入侵检测的数据挖掘技术需要在大量的已标记数据集上建立入侵检测模型,数据集的标记过程需要以手工的方式进行,并且如果标记错误,将导致入侵检测系统检测效率的降低。以聚类为代表的无监督异常检测方法可以在无标记数据集上发现异常数据,克服了传统数据挖掘方法的缺陷,使标记数据集和入侵检测建模过程自动化,成为了入侵检测的有力工具。为了提高聚类算法的效率,针对传统的发现异常数据算法存在的时间复杂度较大的缺陷,设计了一种面向入侵检测的聚类算法KnnCT。算法主要包含两个步骤:首先利用一个的聚类算法依据一定的聚类宽度对数据集进行聚类,根据生成聚类中包含的记录个数,把包含较少记录的一定比率聚类组成的集合作为异常记录候选集;接下来在异常记录候选集中根据记录与其k个最近邻居的距离和找出其中包含的异常,在这个过程中通过引入分块读取数据和阈值技术,排除了大部分正常记录与其k个最近邻居计算距离和的过程,其中阈值定义为当前已发现的n条距离和最大的异常记录中的距离和最小值。KnnCT算法可以用于进行数据预处理,为其他数据挖掘算法自动生成训练或测试用标记数据集,进行数据分析,也可以用于直接为入侵检测系统建模和进行实时入侵检测。通过在KDD Cup 1999数据集上的实验证明,KnnCT算法无论在执行时间还是检测效率方面都比传统算法有一定提高,对于入侵检测系统而言更为实用。