黑客入侵事件的日益猖獗使人们认识到只从防御的角度构造安全系统是不够的,入侵检测技术作为“防火墙”、“数据加密”等传统安全保护措施后的又一个安全保障技术孕育而生。它对计算机和网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。然而随着计算机技术和网络技术的不断发展,海量存储和高带宽传输的普及,入侵检测系统所面临的数据日益庞大,用传统的方法对这些数据进行分析所耗费的时间相当惊人:同时现在的入侵手段千变万化,很难通过传统的手工编写特征码方式检测出复杂的以及未知的入侵方式。因此迫切需要在传统的入侵检测系统中融入一个对海量数据强有力的分析工具实现机器的无监督学习功能,发现数据中潜在的联系并交给整个入侵检测系统进行进一步处理。本文将数据挖掘技术和模糊数学的知识运用于传统的入侵检测系统来处理海量数据,以提高整个系统的检测性能,有效的减少整个系统的虚警率和误警率。所做的工作主要有以下几点:1.提出将改进的加权关联规则算法运用于入侵特征集的提取比较数据挖掘中诸算法后提出将关联规则的APRIORIN算法运用于入侵检测中。在深入分析了APRIORIN在运用过程中存在的缺陷后,提出了用基于改进的加权关联规则算法来实现入侵检测系统特征提取引擎。2.将基于模糊等价关系的动态聚类算法运用于入侵特征集的归纳学习由改进的APRIORIN算法提取的入侵特征集只是对历史入侵行为的总结,对未知的入侵方式缺乏预见性。因此提出了将模糊理论和聚类的相关技术运用系统中,对已有的特征库进行二次归纳学习,使系统能从更高的抽象程度识别入侵行为。该算法能够随着阈值设置的不同而灵活地生成不同抽象程度的聚类,这使得系统可以在不同的抽象级别识别入侵行为。3.完成基于特征学习功能的入侵检测系统的整体设计工作给出了一个系统的总体设计模型。该系统由特征学习和实时检测两大部分组成。提出了各个部分关键模块的实现过程。特别是在实现由以上两个算法获得入侵特征集的知识表示方面,本系统借鉴了开源软件snort系统中结构加以改进,并实现了相应的规则解析和实时匹配算法。