近些年,随着网络上的入侵事件越来越多,系统及网络的安全成为一个热门领域。防火墙等安全设备已不能满足现在人们对安全的要求,入侵检测成为安全领域一个热点问题。入侵防御系统就是在这样的大环境下产生,它不但能检测出已知的攻击行为,还能探测出网络中部分未知的攻击方式,更能对这些攻击行为进行主动的、积极的响应、处理和防御,这是入侵检测系统所不能具备的。但是入侵防御目前对于入侵的检测多集中在单点检测,即一个独立的入侵防御系统,这样的构架将不能对整个网站中的攻击行为进行确切的检测。本论文将数据挖掘中的序列挖掘与分布式架构相结合,综合分析多个独立的入侵防御系统收集的信息,采用序列模式匹配的方式,使针对入侵的检测更加准确。本文研究和实现了入侵防御系统的主要功能模块。论文主要工作如下:1、将基于时序数据分层的序列挖掘算法应用到了入侵防御系统中来。该方法首先将多维时序行为序列分层,并从中筛选频繁项,最后生成关联规则。最终的关联规则是多维时序的,应用于入侵检测系统,可以基于更多的信息,更准确地分析识别更多的攻击行为。2、提出了双层入侵防御系统体系架构。该系统架构由两层组成:本地系统和交互系统。本地系统是一个集中式的架构,有探针用于初步分析处理本地数据,也有数据处理中心负责管理本地信息。其中,数据处理中心是本地系统的中心节点。交互系统是一个纯分布式的架构,该系统内的节点即是本地系统中的数据中心。交互系统用于在各个数据中心间共享信息,以收集更多的证据来发现攻击。3、本文根据所提出的双层入侵防御系统体系架构以及相关关键技术的解决方案,具体设计并实现了一个双层入侵防御系统。通过现实中的网络数据和模拟的攻击数据,本文从功能和性能两个方面对双层入侵检测系统进行了测试。测试结果表明,本文所提出的双层入侵防御系统具有高准确度和高性能等特点。总体上,基于行为序列模式匹配的双层入侵防御系统,其性能要优于传统的入侵防御系统,使用该系统可以有效地防御常见的网络攻击。