随着计算机网络和信息技术的不断发展,人们在得益于网络的同时,其上网的数据安全性和人们自身的利益受到了严重威胁,信息和网络系统的安全性变得至关重要。入侵检测是一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时监控,在系统受到危害之前拦截和响应入侵。但由于网络结构的不断复杂化,传统的网络入侵检测技术已经无法适应网络新攻击层出不穷和数据量日益增大的趋势。当前入侵检测系统中误报率高、实时性差和很难发现复杂的分步骤攻击等问题成为当前安全领域亟待解决的问题之一。数据流挖掘技术是一种对高维的、动态变化的大量流式数据进行挖掘的新方法,如何在有限的空间和时间内对网络数据进行快速处理以获取有用信息,成为当前数据挖掘领域的研究热点。网络数据流是实时到达的,通过对实时数据进行处理,发现其中的频繁模式用来提取用户行为特征、建立检测模型,能够提高入侵检测系统的实时性和适应性,是实现入侵检测自动化的重要途径。本文分析了当前入侵检测系统的现状和面临的挑战以及数据流挖掘技术。针对数据流海量、快速、以特定次序到达等特点,通过采用事务与时间相结合的滑动窗口模型、使用带权的位对象和位对象组表示数据、构造位频繁模式树MFP-Tree等手段,提出了一个可以在非恒定流速的数据流中挖最大频繁模式的算法MFP-Stream.为了解决当前入侵检测系统实时性差、漏报率高等问题,本文提出了一个基于数据流挖掘技术的入侵检测系统,系统主要包括抓包及过滤模块、预处理模块、数据流挖掘模块、特征提取模块和控制模块等,利用Snort系统开源、系统规则简洁、易扩展、易操作等特性,将MFP-Stream算法挖掘出的最大频繁模式通过特征编码、加入规则文件等方式形成一个正常行为模式库,并将其应用到Snort系统中,正常行为模式库保存了用户的正常行为,当待检测数据与模式库中数据不匹配时即被认定为入侵行为。源源不断流入的数据流和MFP-Stream算法实时挖掘的特性,可以保证这个正常行为模式库实时更新,保证了系统的实时性以及面对未知方式入侵时的检测能力。最后用KDD99数据集对系统进行了测试。