传统的网络安全技术如加密、防火墙、认证等只是一种静态的网络安全技术,不能适应当前动态变化的网络环境,于是作为一种动态网络安全技术的入侵检测技术这几年来开始引起人们的重视,成为当前网络安全技术研究的一个热点.然而由于入侵检测技术本身的复杂性和不成熟性,在当前的大规模、分布式和高速网络环境中还存在很多的问题,这些问题如果得不到解决的话,将严重影响入侵检测技术的可用性和发展前景.该文在对现有主机和分布式入侵检测系统的分析与研究的基础上,深入研究了将数据挖掘方法应用于主机日志检测和分布式入侵检测的报警信息分析、关联、规则产生的可行性,并先后实现于基于主机的入侵检测和分布式的入侵检测上,详细阐述了挖掘方法的实现.主要包括:(1)研究并实现了基于主机的异常检测模型,应用系统日志作为数据源,对用户及系统正常行为数据进行挖掘、分析,生成异常检测模型,并依据此模型进行检测.实现了频繁模式库更新,管理员可以定期更新频繁模式库;新日志检测,对待检测日志与频繁模式库的数据进行匹配;怀疑数据的分析,对于怀疑数据通过频繁模式挖掘进行分析.(2)研究并实现了分布式入侵检测报警信息的融合与关联,利用关联规则中的频繁模式挖掘技术,对相似或关联数据进行进行聚类、合并和压缩,从而减少报警数量并过滤了大量的错误报警;发现大量报警信息中隐藏的入侵者的入侵模式和未知的关联关系,对FP-growth算法进行了改进.加入了体现不同报警信息可疑程度的怀疑度概念,应用支持度和怀疑度两个限定阈值对数据进行判定;同时采用了IP分组的检测方法,对于源IP来自相同网段报警的信息进行集中处理,大大提高了报警的准确性和高效性.