如今是一个“互联网+”的时代,人们在学习、办公、娱乐等诸多方面无不受到互联网的影响。而当人们越是离不开互联网,网络安全问题就越是无孔不入。尤其是在具有虚拟化、无边界等特征的云计算环境下,黑客攻击、数据恶意泄露、信息篡改等行为日益猖獗,给企业与个人造成难以估量的经济损失。网络安全已经成为现今网络技术中最突出的问题。而传统的安全防御技术多为被动防御机制,不能进行实时监控,无法满足现今复杂多变的网络环境,因此主动的入侵检测技术得到了业界广泛关注。随着近年来机器学习技术的迅猛发展,传统入侵检测技术面对云环境下海量数据时,检测性能差、检测率低的缺陷得到有效解决,因此机器学习方法为云环境下的入侵检测系统提供了极佳的解决方案。本文围绕云环境下入侵检测的需求,结合基于机器学习的入侵检测框架,提出一种将随机森林与聚类算法相结合的异常检测分类方案,并对其在PyCharm平台上进行了入侵检测实验仿真,解决了常用数据降维与传统聚类算法K-means在云主机Windows审计日志上检测性能差的问题。主要研究内容如下:(1)研究了入侵检测的基本概念与分类、通用框架与检测流程、云计算环境下入侵检测的模型。研究了基于机器学习的入侵检测框架,数据挖掘、决策树、主成成分分析等主流机器学习方法在入侵检测的应用,以及聚类算法的原理与入侵检测中的算法需求。(2)重点研究分析了划分聚类K-means与层次聚类BRICH的算法原理与缺陷,同时选择基于最大最小距离的K-means算法来克服传统K-means由于随机选择初始聚类中心而造成的缺陷。随后对真实的Windows审计日志数据进行特征建模工作,根据不同数据处理方式,提出三种入侵分类检测解决方案:常用数据降维手段与聚类算法相结合的基于主成成分的最大最小K-means分类方案,BIRCH算法分类方案,以及本文设计的基于随机森林的最大最小K-means分类方案。(3)基于PyCharm平台,对三种入侵检测分类方案进行实验仿真,从分类器和聚类模型两个角度进行评估。实验结果显示随机森林的最大最小K-means分类方案,入侵检测准确率达93%,异常行为查全率高达96%,检测速度快,满足了云环境下入侵检测的良好可伸缩性、输入数据不敏感、高维数据可处理的要求。