随着Internet的迅速发展,操作系统规模的不断增大,传统的静态防火墙技术不能满足当今网络安全的需求。入侵检测作为一种主动的防御技术,是传统计算机安全机制的有效补充。从本质上讲,入侵检测技术是对各种审计数据的分析。数据挖掘是一种高级的数据分析技术,把其用到入侵检测领域,构建智能、自适应的入侵检测系统得到了很多研究人员的关注。 传统的数据挖掘技术在入侵检测系统中的应用大多是改进现有数据挖掘算法或者将多种数据挖掘方法相结合来构建入侵检测模型。传统的数据挖掘技术以静态的数据集为数据源,多遍扫描数据集挖掘有用的知识模式。而入侵检测系统处理的数据是无限、高速的多维网络数据流,把网络数据保存后再进行分析有着一定的滞后性,并且把海量的网络访问数据保存后分析也是不可行的。因此需要直接分析网络数据流,构建基于数据流挖掘技术的入侵检测模型。 本文分析了数据集KDD99中的四类攻击数据,论证用户的行为可以通过分析访问数据进行追踪,即可以通过分析用户的访问数据来刻画用户的行为。网络访问数据有着数据流的特点,因此本文设计了基于数据流挖掘技术的入侵检测模型,利用数据流挖掘技术分析不断到来的高速网络数据流,得到用于刻画用户行为的访问模式,利用得到的访问模式检测新到来的数据是否为入侵数据。 构建基于数据流挖掘技术的入侵检测模型的关键在于有高效的数据流挖掘算法的支持。本文设计一种新型数据结构MaxFP-Tree,并在MaxFP-Tree的基础上设计了基于衰减窗口机制的挖掘网络数据流上用户访问模式的算法APinNDS。APinNDS与传统的基于Apriori的算法思想(通过频繁项集之间的并集操作寻找新的频繁项集)完全不同,它以在数据记录中实际出现的节点为根据,通过抽象操作实现对频繁项集支持度的记录,它不是从空集开始正向生长的树,而是从全集开始反向生长的树。同时采用衰减机制来消除历史数据的影响,使内存中维护的MaxFP-Tree树能真实反映用户当前的状况,并使MaxFP-Tree树的规模保持在一个合理的规模,从而可以高效的处理不断到来的网络数据流。 最后通过实验验证本文设计的基于数据流挖掘的技术的入侵检测模型是可行的。