随着计算机网络的日益普及,信息安全已经成为一个急待解决的世界性问题。传统的安全保护技术采用认证、授权、访问控制和加密等机制,这不能阻止利用计算机软硬件系统的缺陷非法闯入计算机系统的行为,而对于针对程序设计的缺陷发起的攻击和通过加密通道的攻击,目前的防火墙技术也无能为力。入侵检测技术是一种重要的动态安全防护技术,已经成为计算机科学与技术的一个重要研究领域。入侵检测系统是以数据分析为核心的采用主动防御策略的安全系统,已经成为保护网络安全的一道重要屏障。入侵检测作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷。数据挖掘作为数据分析的有效手段自然被引入到入侵检测系统的构建当中。基于网络的异常检测的优点是可以检测出新的攻击以及其高检测率,而它的缺点是虚警率很高,导致真正的攻击淹没在大量的虚警之中,从而使入侵检测系统失去作用。基于网络的误用检测的优点是虚警率低,而它的缺点是不能检测出新的攻击,因此当攻击者使用新的攻击手段进行攻击时,入侵检测系统就会失去作用。本文在总结异常检测和误用检测的特点的基础之上,结合其优点,并克服其缺点,提出了基于混合入侵检测技术的网络入侵检测系统模型。对于同一行为,异常检测结果和误用检测结果不总是一样的,本文的跟踪算法有效地解决了异常检测结果与误用检测结果不一致的问题。本文采用了序列模式挖掘方法建立正常行为轮廓库以及入侵规则库,并采用了模式匹配的方法实现异常检测引擎和误用检测引擎。最后通过对实验结果的分析与比较,表明了本文提出的混合检测模型较基于单一入侵检测技术的模型相比,具有更好的检测效果。