随着网络的普及和网络技术的飞速发展,网络安全问题日益严峻,时常爆发的网络安全事件已经造成了巨大的损失。现有的以防火墙和杀毒软件为主的安全防范体系已经不能适应当前网络的发展状况,入侵检测作为一个新兴的技术,成为原有的计算机安全体系很好的补充,正吸引越来越多的人参与到其研究中来。本文将数据挖掘技术引入到入侵检测系统。首先介绍入侵检测技术的概念、主流技术、研究现状和入侵检测系统的分类,然后对数据挖掘技术做了详细的阐述,讨论了多种相关算法。在此基础上,提出一种基于Agent的分布式入侵检测系统框架。本系统利用代理之间相对独立、有独自检测能力的特点,将其分布在网络的各个节点上,执行不同的检测任务。各代理之间相互协作,反馈信息到中央控制台,汇总后交由数据处理中心再处理,形成新的策略补充到各个代理上去。利用数据挖掘方法构建策略库,减少了对专家知识的依赖,同时增加自动建模的能力。采用混合检测的方式,对未知类型数据的检测能力有一定的提高。本文重点对应用于入侵检测的数据挖掘模型进行探讨。对审计数据的处理包括数据预处理、规则挖掘、模式比较和分类挖掘等。从海量的网络数据中提取多种类型数据的行为模式,形成规则,存储到策略库中,实验证明取得了相对较好的检测效果。