本文对分布式防火墙中的日志系统以及基于日志的入侵检测技术进行了深入研究,提出了综合应用误用检测和异常检测来对分布式防火墙日志进行入侵检测的方法,同时采用了数据挖掘相关领域的理论知识和技术方法,将数据挖掘知识应用于入侵检测技术中,对基于日志的入侵检测问题进行研究,并通过实验系统来验证该方法的正确性和有效性。实验数据及分析结果表明,通过将两种入侵检测方法相结合的方式对入侵行为具有较高检测率和较低的误报率,具有一定的实际应用意义。传统的入侵检测方法或者仅用误用检测,或者仅用异常检测来判断入侵行为,而这两种方法均有其固有的缺陷,而且容易出现漏检(如复杂入侵)的问题。本文在分析研究误用检测和异常检测两种检测方法的优、缺点之后,采用结合这两种入侵方法对分布式防火墙日志进行入侵检测分析的方法,并把数据挖掘算法应用其中。在组织结构上,本文首先从总体上给出了该分布式防火墙系统的设计,讨论了分布式防火墙日志系统设计目标及日志系统的特点。在此基础之上,给出了基于防火墙日志的入侵检测方法设计。分别从日志,入侵检测和数据挖掘三方面给出了设计方案。利用数据挖掘进行入侵检测是本文的重点,这一部分首先论证了数据挖掘应用于入侵检测系统的可行性和必要性的基础上,接下来介绍具体算法思想以及流程图,最后给出了实验。全文总结部分中对作者的工作进行了回顾,并对下一步的工作进行了展望。本文的主要工作一方面在于在分布式防火墙环境下,提出了一种综合应用误用检测和异常检测来对日志进行入侵检测的方法;另一方面是将数据挖掘技术应用于入侵检测中,通过聚类分析方法中的改进k-均值方法生成正、异常行为库,采用关联规则挖掘中的FP-growth算法和序列模式挖掘中Prefixspan算法来建立正常特征库。