随着Internet在全球的普及和发展，越来越多的计算机用户可以通过网络足不出户地享受丰富的信息资源，方便快捷地收发信息。计算机网络已经和人们的学习、工作紧密的联系在一起，成为许多人生活中不可或缺的重要部分。但是，在人们享受网络带来的巨大便利时，计算机网络的安全性也日益受到关注。一方面随着网络结构的日趋复杂和应用的多元化，使得系统存在漏洞的可能性大大增加；另一方面黑客攻击手段日新月异，加之内部工作人员有意或无意的非法越权操作，对于网络的正常运行均构成了极大的威胁。原有的安全保障措施，诸如：信息加密、授权访问和防火墙等已经无法满足实际需要。入侵检测系统作为一种新兴的安全技术，主要通过监控网络与系统的状态、用户行为及资源的使用情况来发现系统内部用户的越权使用和外部入侵者的入侵攻击企图。入侵检测技术是对原有计算机网络安全机制的合理补充，它的应用极大地扩展了网络和系统安全的防御纵深。目前，入侵检测系统正在成为网络安全体系中不可或缺的重要组成部分。 本文首先阐述了当前网络所面临的安全问题以及常见的安全保障措施，并且说明了入侵检测技术的现状和发展趋势；继而针对当前入侵检测系统所面临的主要问题开展了大量的研究工作，并提出了相应的解决方法。本文的研究内容主要包括： 分析了当前主要的入侵检测技术和检测模型的优缺点，探讨了入侵检测系统当前所面临的急待解决的标准问题以及入侵检测系统性能的评估方法。 分析了当前主要的数据挖掘方法，并将关联挖掘与序列模式挖掘方法应用到基于网络的异常检测中，提出了计算挖掘正常流量与异常流量得到的规则集之间的相似度来判断网络是否发生异常的检测方法，并通过实验证实了该方法的有效性。对于包含数值属性并且带标识的网络流量数据，我们提出了先对数值属性进行聚类划分，而后再使用关联规则挖掘的检测方法。实验结果表明，该方法可以有效地进行网络误用检测。 针对现有异常检测方法实时性较差的缺陷提出了基于关联规则的在线式检测方法，并根据当前网络攻击的特点提出了自底向上合并IP地址和子网地址的域层次关联规则挖掘方法，从而增强了系统检测分布式集团攻击的能力。 提出了基于模糊挖掘技术的入侵检测新方法，将模糊逻辑结合到关联规则挖掘和频繁情节挖掘方法中。根据模糊集来分类网络流量中的数值属性，并采用遗传算法构造了描述模糊集的隶属函数，从而避免了经典集合理论分类时存在的“尖锐边界”问题。实验结果表明结合模糊逻辑的数据挖掘方法是一种有效的异常检测手段。 提出了一种自适应的入侵检测系统框架，该框架最初根据训练数据建立用于异常检测的正常行为规则库，而后在检测过程中采用了一种基于滑动窗口的动态关联规则挖掘算法，通过挖掘窗口中的数据来动态地更新原有的规则库，从而使入侵检测系统具备了自适应的功能。 提出了非监督式的异常检测方法，该检测方法的特点是无需专门训练，而且对于低密度的攻击检测效果良好。因此，采用该方法对基本处于正常情况下的网络流量数据进行检测，通过调整检测率就可以获得监督式检测方法所必需的训练数据。