随着网络技术的发展,人们的生活和工作也越发地依赖于计算机网络。而且由于计算机网络本身缺陷和开放特性,使其安全受到严峻的考验。入侵检测是计算机安全领域的一个重要技术,也是当前计算机安全理论研究的一个热点。入侵检测系统能够对计算机网络和计算机系统的关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。传统的入侵检测系统采用模式匹配的方法来实现检测,在适应性方面表现得不够理想。大多数入侵检测系统通常只是将收集到的网络数据与已有的攻击模式库进行比较,从而发现违背安全策略的行为。这种模式匹配的方法对于已知的入侵检测效率很高,但对于一些最新的未知攻击却无法准确地检测。而使用数据挖掘技术从大量网络连接数据中提取有利于进行判断比较的入侵规则,则可以更新不断更新学习入侵规则库,现在已是入侵检测研究的热点问题,具有重大的理论意义和实用价值。本文的设计方案,对数据挖掘技术在网络入侵检测系统中的应用进行了进一步研究,提出了一种改进的可扩展入侵检测系统,并且给出了系统的模型和流程等体系结构。它增加了数据预处理模块,应用数据挖掘技术自动提取入侵规则集,使规则库可以自动更新。通过测试证明,我们的模型能够满足当前网络安全对于入侵检测系统的要求,对于攻击输入变化有比较小的敏感度,系统本身具有较好的适应性。本论文主要研究工作:在了解当前入侵检测发展的背景和现状的基础上,分析了传统入侵检测系统的优点和不足。介绍了入侵检测系统定义和各种检测技术,其中着重介绍数据挖掘方法和基于数据挖掘的入侵检测模型。提出了一种改进的可扩展IDS模型,增加了数据预处理模块(对原始数据进行标准化)和数据挖掘模块(自动提取入侵规则),并设计了入侵规则库(可以自动更新)。改进后的模型的结构由三个子系统组成,分为数据采集、数据分析和响应系统,并给出了运行流程。对于改进的IDS模型进行了性能测试,在给出的各种攻击情况下测试系统的抗攻击性,并对实验的数据进行分析和说明。通过测试数据分析表明,改进系统能有较好的抗攻击能力,具有较好的可扩展性。最后总结了本论文的主要工作和存在的问题,指出了今后进一步研究的方向。作者在读期间的主要科研工作:06年7月-07年8月期间,在山东省济南市得安计算机科技有限公司进行内网模块开发和网络安全设计,结合网络入侵检测系统和公司的VPN传输等工具,成功开发内网功能模块,经过测试后现已投入运行。期间查阅大量书籍和资料,对入侵检测系统的性能和模型有一定的研究。