随着互联网的迅猛发展,网络入侵技术也在不断更新换代,现有的攻击检测手段不能很好的应对这种变化,无法及时地检测出新的攻击,同时漏报率、误报率较高。为了能够改变这一状况,及时而准确地检测出攻击行为,本文将可视分析与入侵检测相结合,在提高检测准确率的同时还能发现新的攻击,主要从以下3个方面开展了研究工作:(1)自适应规则库的入侵检测模型设计。为提高检测准确率,利用信息熵聚类算法进行了异常行为特征提取,为适应异常行为特征变化,根据提取的异常行为特征进行了规则库更新,包括新增规则和调整已有规则的参数,最后利用该模型进行了异常检测。(2)多视图协同交互可视分析方案设计。按照安全管理员处理网络安全数据的习惯,提出了多视图协同交互可视分析方案。为分析整体的流量信息定义了总体流量视图,从而帮助用户分析整体流量及流量数据的变化趋势,定位异常;为进行攻击模式的分析定义了异常检测视图,便于分析数据关联性和攻击模式的匹配;为进一步分析异常,定义了异常分析视图,辅助分析人员进行IP、端口等信息的详细分析;总体流量视图、异常检测视图以及异常分析视图之间协同分析、人机之间灵活交互,能够有效发现信息内部的特征和规律,达到快速定位异常、分析异常、找出攻击的目的。(3)结合攻击检测算法与可视分析的优势开发了攻击探测可视分析系统,对某公司运行两个月的网络监控日志数据进行异常检测和可视分析,找出了DDo S、端口扫描,从而验证了本系统的有效性。