入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。现有入侵检测系统不但误警率高,且实时性差,这是因为入侵检测需要处理大量数据。数据挖掘技术的优势在于能从大量数据中发现特征和模式。本文通过研究入侵检测系统和数据挖掘技术,将数据挖掘技术应用于传统的入侵检测系统来处理入侵检测系统中的海量数据。通过更新入侵检测系统的规则库以提高整个系统的检测性能,有效的减少整个系统的虚警率和误警率。而关联规则挖掘、序列模式挖掘等可以用于入侵检测从而得到入侵规则库。本文所做的工作有以下几点:1.通过研究和分析传统入侵检测系统,论证入侵检测系统规则库的建立对于海量网络行为数据的依赖性,而数据挖掘技术正是一个强有力的数据处理工具,从而说明了数据挖掘技术应用于入侵检测系统的必要性。2.在对常用的数据挖掘算法进行了深入研究的基础上,为了提高数据挖掘算法的效率,得到有用的规则,我们对关联规则算法从算法以及入侵检测实际应用环境的角度进行了改进和优化,并用实验证明了我们的算法的有效性。针对序列模式挖掘的应用情形,我们也给出了相应的优化方案。3.讨论了数据挖掘算法在入侵检测中运用的基本情形。针对基于误用检测的入侵检测系统的特点,提出一个混合运用关联规则及序列模式进行模式挖掘的解决方案,详细描述了用改进的关联规则及序列模式挖掘算法挖掘网络连接数据,然后将结果转化为入侵检测规则的算法具体实现过程。并以实验说明了应用模式挖掘算法构建入侵检测系统的可行性。通过我们的解决方案,还可以有效挖掘出攻击特征出现在数据包负载中的攻击,这是目前入侵检测中的一个难点,从而有效地提高了对攻击的检测率。4.基于前面实验中存在的问题,应用数据挖掘技术构建系统正常行为模式,将误用检测和异常检测相结合,给出一个改进的入侵检测系统模型。