随着网络技术的飞速发展,计算机网络被广泛应用到人类活动的各个领域,网络对社会经济和人们生活的影响越来越大。网络的安全性问题也越来越受到广泛的关注,各种网络安全相关的技术和产品不断涌现。入侵检测技术是其中一个重要的技术。本文针对现有的入侵检测系统的不足,提出了将数据挖掘技术应用于入侵检测以提高其性能的方法。 本文在参考前人的基础上,提出了一种基于数据挖掘的实时入侵检测系统(RTDAIDS)框架结构。针对当前入侵检测系统检测策略单一,不能应对复杂的环境变化,误报与漏报率高。我们在分布式实时架构的基础上,增加了自适应策略管理器模块及自适应模式管理器。这两个模块采用数据挖掘技术,从而减少了对专家的依赖。它能够实现检测策略及检测模型的自动生成与分发。我们把研究重点放在RTDAIDS系统的体系结构的设计与配置上,它包括传感器、探测器、数据仓库、数据分析、自适应模式管理和策略管理等组件。该系统采用关联规则及频繁模式算法构造检测模型,大大的减少了人工编码,进一步提高了系统的自动化能力;采用RIPPER学习算法构造分类器及生成策略。这种体系结构使得审计数据的共享与存贮及增加或者更新模型和策略的配置非常便利。在一定程度上提高了IDS系统的高效性(efficiency)及可测量性(scalability)。 该系统模型,使用了独立组件的模块化设计,最大限度的降低对于被保护主机的资源占用,这对于入侵检测系统的实时性和对被保护主机的资源的占用性是非常重要的口而且采用集中式管理的办法,所有的组件都和数据仓库连接起来,这大大方便了对于整个系统的集中管理和监控。所有组件之间的相互联系,采用了通用的协议格式,采用XML格式来在各个组件之间传递信息,这使得系统的通用性和可扩展性得到了大大提高。这样可以很好的兼容一些已有的入侵检测系统的相对成熟的模块。