入侵检测,作为信息安全保障体系结构中的一个重要组成部分,很好地弥补了访问控制、身份认证、防火墙等传统保护机制所不能解决的问题。然而,传统的入侵检测系统(IDS)在有效性、适应性和可扩展性方面都存在不足,尤其是在遇到新的入侵类型时变得无能为力。针对这些不足,本文从数据处理的角度,用数据挖掘的方法建立了入侵检测的模型。 本文在对入侵检测基本知识等进行介绍的基础上,提出了基于数据挖掘技术的入侵检测方案,设计了包含异常检测和误用检测的混合型网络入侵检测框架和实现算法,该方案实现了在没有任何手工规则的前提下,仅根据审计数据的特征,就能较为准确地检测出已知和未知攻击。 本文利用数据挖掘中的关联规则算法、频繁情节算法和分类算法,完成了对网络审计数据的分析和入侵模型的建立,为了使挖掘出的模式更加适用于入侵检测,文中提出用“关键属性”和“参考属性”作为关联规则和频繁情节算法产生规则的两个限制条件,提高了模式挖掘的有效性。此外,我们还讨论用聚类分析的方法找出纯正的正常数据记录,从而建立正确的正常模型。在分类算法中,本文使用多决策树合并方法对单一决策树算法进行改进,在DARPA提供的入侵检测数据上进行的实验结果表明使用多决策树算法能明显提高检测率并降低误检率。