入侵检测是网络安全机制中重要的一环,是通过对系统审计数据进行检测分析来发现入侵企图并采取相应保护措施的一种技术。 现有的大多数实用入侵检测系统通常只是将收集到的审计数据与已有的攻击模式数据库进行比较,从而发现违背安全策略的行为。这种模式匹配的方法对已知的入侵检测效率很高,但对于一些未知的或者现有的入侵方法的变种却无法准确的检测。利用数据挖掘技术对审计数据加以分析,总结出一些正常模式,用来进行异常检测,将有助于提高入侵检测系统的检测准确性和完备性。本文在对入侵检测系统和数据挖掘技术进行深入研究的基础上,分析讨论了数据挖掘在入侵检测系统中的综合应用。 论文的主要工作包括: 1、分析了Snort中的模式匹配算法,并讨论了一些改进的思路。 2、研究了基于聚类分析的非监督式异常检测方法,并改进了K均值算法用于聚类分析。通过实验证明,改进后的算法,提高了实时性。 3、分析了关联规则挖掘算法和频繁情节挖掘算法,将这两种方法应用于异常检测中,讨论了计算挖掘正常流量与异常流量得到的规则集之间的相似度来判断网络是否发生异常的检测方法,并通过实验证实了该方法的有效性。 4、设计了一种基于Snon的混合入侵检测模型。该模型将多种检测方法结合起来,保证系统检测的准确性和完备性。