随着Internet技术的迅猛发展,计算机技术得到了广泛的应用,人们的生活越来越离不开网络。然而,网络固有的开放性、共享性,使得网络面临巨大的安全威胁。传统的保护计算机或网络系统安全的方法是围绕它建立一个“保护罩”,并以此来隔离非法用户的访问,其中防火墙技术就是典型应用之一。随着网络环境的日趋复杂,攻击方式的变化多样,静态的防御技术已不能适应当前的网络安全状况。入侵检测作为动态的安全防御措施,可以准确地检测出各种已知攻击行为,但对于未知入侵行为的检测能力仍然较弱。为此,本文利用数据挖掘技术在发现潜在有用知识方面的能力,提出了应用数据挖掘技术的三层入侵检测系统。首先,本文详细介绍了入侵检测的背景、研究现状以及本文研究的实际意义。重点阐述了入侵检测的原理、过程以及模型；指出当前入侵检测技术的主要不足；讨论了信息安全领域中数据挖掘技术的应用,为基于数据挖掘技术的三层入侵检测系统的提出提供了理论基础。其次,着重介绍构建三层入侵检测系统的方法以及每一层的作用。预处理阶段,为了提高入侵检测的效率,本文提出了利用信息增益的方法来进行属性筛选,以减小数据集、缩短数据挖掘的时间；第一层比较了各种不同类型的数据挖掘算法在训练数据集和测试数据集上的分类能力,同时结合检测的性能标准进行评判。该层起到误用检测的作用,可以以较高的准确率检测出已知的攻击行为；第二层采用统计分析的方法来区分正常记录和未知入侵攻击记录。该层起到异常检测的作用,可以检测出未知的入侵攻击行为；第三层将入侵攻击记录映射到己有的四种攻击类型。最后,利用KDD Cup1999数据集对构建的模型进行仿真测试。实验结果表明,该模型是有效的、切实可行的。不但能检测出己知的攻击,而且还降低了漏报率,同时对于新的未知的入侵行为也有一定的检测能力。