入侵检测系统的出现使网络信息安全的保护从被动走向主动,这样在网络防火墙基础上又增加了一道兼顾局域网内外的防护网。但是计算机系统的复杂化和网络数据的海量化,给安全审计网络数据带来极大的困难,数据挖掘技术的出现和机器学习理论的发展提供了解决这个问题的有效手段。我们可以从网络海量数据中开发出入侵检测模型。它的研究具有重大的理论和现实意义。 本文主要从数据挖掘的角度对网络数据进行分析,挖掘出入侵检测模型,用于入侵检测。 第一章绪论,回顾了网络安全的现状,讲述了计算机信息安全的一些概念,以及入侵检测研究的必要性,和数据挖掘的概念分类方法等内容。论述了基于数据挖掘的入侵研究的必要性和可行性。 通过使用数据挖掘和机器学方法得到入侵检测的模型,进行入侵检测是本文的重点部分,主要有以下内容: 第二章基于粗糙集的属性选择。网络侦听审计数据极其丰富,包括大量冗余信息,这不仅使生成入侵检测模型的代价过高,对于某些方法还是不可能的。本文对KDD99数据的约简上使用了粗糙集理论。经过约简,属性间的独立性得到了保证。这是朴素贝叶斯分类器使用的前提。 第三章贝叶斯分类器用于误用检测。在粗糙集约减的基础上,使用朴素贝叶斯分类器对KDD99数据进行学习和分类,将实验结果同决策树学习进行了比较。由于入侵检测系统不仅要保证一定的准确率,而且还应在此条件下考虑误报所带来的风险。本文又提出了使用基于最小风险的贝叶斯分类器用于入侵检测的方法。 第四章改进权值树并将其用于异常检测。本文使用的系统调用序列的短序列作为系统的正常库。根据系统调用的短序列首先生成权值树森林,后进行基于海明距离的剪枝。以此作为数据结构进行入侵检测,检测的过程中利用了检测经验同时也注意经验的更新。使用改进的权值树进行入侵检测,不仅可以检测出新的入侵行为,而且提高了入侵检测的时效性。