入侵检测是网络安全领域中的一个重要发展方向。入侵特征库在传统上是由专家根据已发生的入侵行为手工编制而成,它具有快速检测已知攻击的优点,但是对于新的攻击却无检测能力。为了解决这一缺陷,最大频繁项集被引入用来进行特征构造。最大频繁项由于包含了其子集所代表的频繁项、能最大程度地减小存储空间,因此在数据挖掘的各个领域中被广泛运用。在寻找最大频繁项的算法中,比较经典的有Apriori算法及其改进算法GenMax,由于他们产生的候选集合较多,严重影响了算法的运行效率。一种运用多层回退剪枝策略的MinMax算法的实现,成功解决了上述问题。理论和实验上均有力地证明了,MinMax算法比起以前的GenMax算法由于在深度优先遍历过程中大大减少了中间节点的生成个数,显示出了明显的时间性能优势。为了将MinMax算法产生的最大频繁项集运用到入侵特征库构造与攻击检测过程中,提出了一个特征模式(规则库)建立及数据流检测的模型。运用从网络入侵数据和主机纯净日志中挖掘出来的最大频繁项集分别构造入侵行为模式和正常行为模式,然后把待检测的数据流在网络层和应用层分别与入侵模式和正常模式进行(两次)比较,从而判断出该数据流中是否包含有网络入侵行为或者主机异常行为。该模型采取基于误用和异常的混合模式,适用于现今流行的基于网络和主机混合模型的入侵检测系统,对已知和未知攻击均有一定的识别度,有一定的实用性。