数据库系统往往保存着对公司或组织极为重要的数据，其重要性和价值对攻击者有很大的吸引力，受到蓄意攻击的可能性很大。同时，数据库系统本身的弱点也使其成为易受攻击的目标，如数据库的数据经常需要更新以及许多数据库提供优化接口。 一些传统的安全机制，如身份认证，存取控制，加密等重点在于预防，是被动的安全机制，无法完全阻止入侵。所以，需要入侵检测—一种主动的安全机制，把这些传统安全机制无法阻止的攻击找出来，并阻断攻击。现在，入侵检测的研究取得了不少的成果，但是这些研究大多集中在对网络和操作系统的入侵检测上，对数据库的入侵检测则较少涉及。数据库入侵检测重点在于检测数据库内部的攻击，属于应用层的入侵检测，能对恶意事务进行检测，这是网络和操作系统入侵检测系统无能为力的。 数据挖掘是从大量的、不完整的、有噪声的、模糊的、随机的数据中，提取隐含在其中的、人们事先不知道的，但又是潜在有用的信息和知识的过程。入侵检测在本质上是一个对审计日志等大量数据进行数据处理的过程，将数据挖掘应用于入侵检测中，即使根本不知道各种攻击手段的作用机制，也可以从安全审计数据本身所隐藏的规律中发现异常行为，从而使入侵检测系统具有更好的自学习、自适应和自我扩展的能力。本文即是将改进的关联规则算法应用于数据库的入侵检测中。本文的主要贡献如下： 1)对关联规则挖掘算法FP—Growth进行了基于效率的改进，提出了MFP—Growth算法。该算法建立事务—项矩阵表示事务数据库，并在频繁模式矩阵上产生条件矩阵来挖掘频繁模式集合。该方法避免了FP—Growth算法中递归产生条件模式树这一时间开销大的操作，而且该方法在支持度变化和数据更新时，不需要重新扫描数据库，直接在事务—项矩阵上操作。实验证明该方法比FP—Growth算法有效。 2)MFP—Growth算法在数据库入侵检测中的应用研究及优化。为了使MFP—Growth算法更好的应用于数据库的入侵检测中，本文对其进行了优化，引入了属性相关支持度和距离度量的概念。属性相关支持度保证了规则库的完备性，在生成的规则里就不会漏掉出现频率低但非常重要的特征属性。距离度量考虑了数据库模式的数据结构特性和用户行为的语义特性。经过优化的MFP—Growth算法挖掘的模式更好的表示了数据库用户的行为模式，提高了入侵检测的精度。 3)数据库入侵检测系统原型设计。本文设计了数据库入侵检测系统原型，给出了原型的框架。在数据采集中，使用了ORACLE9i的审计日志作为数据源；在模式挖掘模块中使用了经过优化的MFP—Growth算法来挖掘历史行为模式；为了使模式库中的模式更加准确、可信，将异常的记录由管理员判断后认定为正常的模式作为模式库的数据源，更新模式库。经实验验证，设计的数据库入侵检测原型能很好的对数据库的内部入侵进行检测。