入侵检测,作为信息安全保障体系结构中的一个重要组成部分,很好地弥补了访问控制、身份认证、防火墙等传统保护机制所不能解决的问题.在这方面的研究国外从二十世纪八十年代末就已经开始了,并且从如何构建系统行为特征轮廓以及如何获取已知入侵行为知识的角度,给出了一些可行的知识描述方法和相应的检测算法,但这些入侵检测技术在面对日益更新的网络设施和层出不穷的攻击方法时,都缺乏有效性、适应性和可扩展性.该文在对现有入侵检测技术、模型进行分析研究的基础上,针对目前入侵检测系统存在的问题,提出了基于数据挖掘技术的入侵检测模型,解决了当前检测模型多用手工书写规则这一缺陷,实现了在没有任何手工规则的前提下,仅仅根据数据本身的特征,就可成功检测多种攻击和用户行为模式的异常.该文利用数据挖掘中的分类算法关联规则算法和频繁序列分析算法,完成了对系统审计数据的分析、分类规则的学习及入侵模型的建立,实现了对入侵攻击及系统异常行为的检测.为了使挖掘算法计算的模式更加适用于入侵检测,文中提出了用"关键属性"和"参考属性"作为关联规则和频繁序列算法产生结果的两个限制条件,提高了模式挖掘的有效性.最后,从基于网络数据挖掘和基于主机系统调用数据挖掘方面给出了该模型的实现过程,并通过实验验证了模型的有效性.该课题的研究不仅为今后在入侵检测领域的研究工作提供了可靠的理论、技术依据,而且还具有重要的应用价值.