该文首先对入侵检测系统的技术背景进行了简要的说明和归类,针对传统入侵检测技术的不足之处,将主要研究方向定在入侵检测模型的构建上,使用数据挖掘技术开发一套自动化、系统化的构建入侵检测系统的方法.接下来讲述分类问题,实现了C4.5分类算法,并应用分类算法进行实验,从审计数据中建立分类模型,以此研究特征属性的构造对分类模型准确性的影响,根据对实验结果的分析,为入侵模型添加了一定数量的特征属性,并证明利用分类算法建立入侵检测模型的可行性.随后根据DARPA提供的用于入侵检测系统性能评估的tcpdump日志,建立误用入侵检测模型.实验将tcpdump日志重组成网络连接纪录,在入侵行为和网络协议维上进行概念分层,进行训练数据的预处理和特征构造,最终建立了具有较好效果的分类模型.模型建立完成之后,根据现有入侵检测系统NFR的入侵描述语言,将生成的入侵规则进行了转化工作,并阐述了与模型建立相对应的检测过程,指出建立实时检测系统所需要解决的问题.最后,对今后的研究方向作了展望,指出检测新的入侵行为必须借助于异常检测,同时也在提高实时检测系统的检测效率方面提出了一些可行的思路.