随着网络的发展,黑客入侵日益猖獗,严重威胁着人们的安全。单纯的被动的静态安全防御策略已经无法满足现实需要。人们开始采用动态安全防御的思想来进行安全防护,入侵检侧系统(IDS)是动态安全防御里的重要环节。但是,现有的入侵检测系统存在一个致命的缺陷:误报率、漏报率居高不下。同时,现有的IDS无法展现警报间的逻辑关系,结果用户很难了解警报背后隐藏的攻击策略或逻辑步骤。因此,在实际应用中,不仅大量的误报混杂在正确的警报中,同时警报本身由于数目太大,没有明确的逻辑关系,很难管理,这些缺陷严重影响了IDS的应用。在对入侵检测系统进行改进的研究中,关联分析技术成为研究的热点,这些研究大多是在IDS系统中设计一个报警关联分析引擎,对IDS检测输出的数据进行关联分析,然后根据关联分析的结果进行报警,这样可以大大降低入侵检测的误报率、漏报率。然而,该方法也不是万全之策,因为该关联分析引擎始终摆脱不了IDS规则库的限制。所以,只有训练出好的规则库,才能从根本上解决IDS存在的问题。本文在深入研究Apriori算法的基础上,根据入侵检测数据源的特点对关联挖掘算法进行改进,首先根据攻击属性找到最大频繁项集,由Apriori算法的性质得出其所有非空子集都是频繁的,然后作进一步计算,求出所有的频繁项集,进而推出关联规则集,存放到入侵检测规则库中,最后把该规则库应用到基于网络的入侵检测系统模型中。由于入侵检测的数据源存在数量庞大、攻击数据比例小、正常数据比例大且各种攻击分布不均、数据复杂等特点,所以在使用改进算法时,研究了怎样确定最小支持度,因为最小支持度的选取直接关系到入侵检测的误报率和漏报率。另外系统介绍了本文设计的基于网络的入侵检测系统模型,包括数据采集、数据预处理、规则库训练、模式匹配等各模块的设计与实现。文章最后采用模拟的网络数据源进行训练,首先选择一种攻击类型进行训练,实验结果显示,在统一数据规模下,改进算法的检测率比经典的Apriori算法高,并且所需时间和空间明显减少;数据规模改变后的实验结果表明,当数据规模较大时,采用改进的算法可以节省时间和空间,提高检测率;然后针对不同攻击类型选出较合理的最小支持度,以提高检测率,降低误报率和漏报率。