随着网络规模的不断扩大,网络用户的不断增多,网络知识的不断普及,网络和信息的安全受到越来越大的威胁。信息的机密性、完整性和可用性遭到严重侵害的事件时有发生,信息安全问题已经成为人们越来越关注的问题。 要保护信息的安全,保障信息的机密性、完整性和可用性,就要能够有效的检测出入侵行为。入侵行为往往夹杂在正常的数据之中,这样就给检测带来了一定的困难。有些入侵行为是分布式的,其中单个行为的特征和系统的正常行为差别不大,很难将他们检测出来。入侵检测系统的目标就是能够有效地检测出混杂于大量的数据信息中的入侵行为。通过引入数据挖掘技术,系统可以对大量的各种数据源进行挖掘,进而提取有效的规则模式等,用于指导IDS网络入侵分析。结合入侵检测的特点,本文提出了一种时间序列模式挖掘的方法(TFSE算法),用于在大量的时间相关数据(网络数据包,系统日志等)进行模式挖掘。 本文首先对网络入侵检测技术进行了研究,根据入侵检测不同的分类标准,对入侵检测类型作了介绍。详细描述了异常检测技术,误用检测技术,基于主机和基于网络的入侵检测系统,分别分析了它们所采用的技术和优缺点。然后深入研究了数据挖掘技术,对其流程和所用的方法做了简要介绍,将数据挖掘和入侵检测相结合来弥补IDS自适应能力不强,建模代价高,可扩展性差的缺陷。最后对现有的序列模式挖掘算法作了详细的介绍,但是这些算法都不是针对较长时间序列数据流的,因此本文提出一种序列模式挖掘的方法——TFSE算法,该方法引入了情节时间表的概念,一个情节模式对应一个情节时间表,通过在情节时间表之间做数据库联接操作,生成相应新的情节时间表。情节时间表记录个数即是该情节的支持数。该方法不仅利用了中间结果一情节时间表,而且可以将其存储,所以该方法具有测试候选情节开销较小、二次挖掘便捷的特点,从很大程度上解决了长情节挖掘困难的问题。通过添加和改变挖掘参数,可从中间结果中挖掘出更多的有价值的信息。