随着网络数据流量不断增大,基于人工建模的入侵检测技术已经无法适应新的网络环境,为了从海量的数据中提取出有用信息,把数据挖掘技术引入到入侵检测中。由于入侵手段的不断提高,有时根据孤立的网络事件很难判断是否发生入侵,如果按时间顺序把网络事件排列成一个整体就会发现攻击,于是将数据挖掘中的序列模式挖掘技术引入到入侵检测中。如何利用序列模式挖掘技术提取用户行为特征模式,消除冗余规则,是实现入侵检测的关键。本文从以下几个方面做了深入的探讨,主要贡献如下:1.首先介绍了入侵检测的概念及其经典模型,主要介绍了常见的入侵检测类型,并对各种类型的优缺点进行了分析,深入探讨了入侵检测的发展方向及其面临的挑战。然后阐述了数据挖掘技术,重点讨论了数据挖掘技术中的序列模式挖掘技术,并详细介绍了经典的序列模式挖掘算法,并对这些序列模式挖掘算法的优缺点进行了对比分析。2.面对海量的数据会挖掘出大量的模式规则,而实际上用户感兴趣的常常只是其中的一部分。为此,本文结合轴属性理论和约束性质,在PrefixSpan算法基础上,提出了属性约束的UPrefixSpan算法,并应用于入侵检测中,根据用户预先设置的属性值进行约束挖掘。结果分析表明UPrefixSp3n算法能够有效地挖掘出用户感兴趣的频繁事件模式,以便用户对特定模式进行分析。3.提出基于IPrefixSpan的入侵检测方法。通过引入兴趣因子,以克服原有方法中置信度忽略模式规则后件中出现的项集(记录)的支持度的不足,来加强模式规则中项集之间的相关性,提高入侵检测中模式规则的实际应用价值,进一步减少弱规则冗余。4.综合异常检测和误用检测的优势建立一个新的入侵检测实验模型。利用双重检测来提高检测精确度,实验表明IPrefixSpan算法在新的模型上能够进一步减少冗余模式,提高检测精度,降低误报率。