随着网络和其它信息技术的广泛应用,网络系统的安全变得至关重要。入侵检测系统是保护网络系统安全的关键技术和重要手段,是网络安全领域的研究热点。入侵检测系统(Intrusion Detection System,IDS)是为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的系统,是一种重要的用于检测计算机网络中违反安全策略行为的系统。基于状态迁移的入侵检测系统是一种误用检测系统。它将传统入侵检测系统产生的孤立报警,进行因果关联,构建出攻击场景,然后根据一系列的逻辑场景来判断各种网络入侵行为。这种入侵检测系统的核心部分是基于规则的网络数据关联分析器,但网络数据关联分析器存在运行效率较低,维护困难等问题。本文提出一种基于规则的网络数据关联分析器的优化方法,该方法的主要思想包括以下内容:首先,针对系统入侵检测规则的建立和维护问题,设计了规则库、可视化规则编辑器和语法检查器,使得入侵检测规则可以通过绘制状态迁移图的方式进行设计。然后,针对原有系统运行效率较低的问题,对入侵检测系统产生的原始报警进行数据预处理,将这些初始事件按照一定的标准进行分类、统计,过滤掉冗余的信息,这样可以压缩需处理数据量,然后将提取出的有用数据交给专家系统进行下一步处理,使得系统运行速度提高;并且结合有向图的知识,提出了规则合并算法和循环规则链的检测算法,从而使得系统的关联规则的运行效率和有效性都得到了有效的提高。本方法的优点主要体现在针对原有的网络数据关联分析器,提出了有效的优化方法,一方面通过可视化规则编辑器和语法检查器的设计,使用户可以直观、方便、快捷地创建和编辑适合自己使用的入侵检测规则,而不必对专家系统相关知识进行了解。另一方面又通过原始事件预处理和对关联规则的优化使得系统效率有了明显的提高。本方法使原有的网络数据关联分析器更加完善,有效,使用也更加方便,提高了原系统的实用价值。