随着互联网的普及及网络技术的日新月异,黑客入侵日益猖撅,对网络的各类攻击与破坏也与日俱增。每年有众多的个人、企业甚至国家由于计算机网络系统被破坏而遭受重大的经济损失,计算机网络安全问题已经成为全球共同关注的问题。为了有效地提高网络系统的安全性,提高入侵检测系统的性能,本文把数据挖掘技术应用于网络入侵检测系统,对网络数据分析采取数据挖掘中的关联规则算法,提出了一种IAID(Intrusion Detection System Base on the improved Apriori Algorithm基于改进Apriori算法的网络入侵检测系统)模型。本文的主要内容有如下三个方面:　　首先,对数据挖掘的概念、过程及功能等方面作了全面介绍,并对数据挖掘关联规则算法中的两种经典算法—Apriori算法和FP-Growth算法从思想、过程进行详细描述后,通过两算法的应用举例来分析比较它们的优缺点,接着对经典的Apriori算法进行了改进,详细说明了改进Apriori算法的改进过程、代码设计和应用。　　其次,详细阐述了入侵检测概念、功能和分类等相关知识,并在入侵检测系统设计原理的基础上,对现有的通用入侵检测框架CIDF(Common Intrusion Detection Framework)进行分析得出:原始数据的收集和采集通过CIDF中的事件产生器来实现,关联规则分析通过事件分析器和事件数据库来实现,对各种正常、入侵和未知行为的响应则需要响应单元来实现;在对原框架不断扩充之后,分别从系统结构和功能模块两方面设计了基于关联规则挖掘的入侵检测模型;并对各模块的实现过程进行了详细说明,为IAID模型的设计及实现奠定了坚实的基础。　　最后,在上述研究的基础上,提出了IAID(基于改进Apriori算法的网络入侵检测系统)模型,对该模型的五大主要模块—网络数据采集模块、网络数据预处理模块、改进的Apriori算法挖掘模块、模式匹配模块和预警响应模块进行了具体描述。网络数据采集模块的数据来源于局域网及广域网的网络数据包,采集工具为网络监听工具sniffer;网络数据预处理模块对截获的数据依次进行协议分析、数据清理、数据简化等操作;模式匹配模块采用BM(Boyer-Moore)单模式匹配算法;报警响应模块则采用了自动和被动相结合的响应方式;重点是对改进的Apriori算法挖掘模块中正常行为和入侵行为模式库的建立过程进行阐述:构建正常行为模式库的训练数据由sniffer工具截获实验室网络的数据获得,构建入侵行为模式库的训练数据则采用KDD Cup1999中的入侵数据,然后对两类训练数据利用改进的Apriori算法进行关联分析,产生正常和入侵行为模式。对模型的实现过程进行详细描述后,通过实验分析得出,IAID系统在一定程度上提高了入侵检测效率。