入侵检测软件在现在的安全软件中占有重要的地位。近十年来,数据挖掘技术在入侵检测系统中得到广泛的研究。随着实际的要求和技术的进步,现在的网络速度越来越快,因此网络数据大多以数据流的形式存在,如何从数据流中获取知识也变得越来越重要,面向数据流的挖掘技术的优势逐渐显示出来。将数据流挖掘技术应用到入侵检测系统中,有着如下优势：网络数据流是实时到达的,对实时数据进行处理,发现其中隐藏的模式,能够提高入侵检测系统的实时性；能够检测出未知类型的或者已知类型的变种的入侵行为。所以,利用面向数据流的数据挖掘方法来提取入侵特征、建立检测模型,无疑是实现入侵检测自动化的一条重要途径。由于数据流环境的特殊性,在数据流中提取知识,挖掘有用信息相比在数据库环境下要困难的多,其中面临的挑战主要有两个：一是概念漂移的处理,数据流中隐藏的模型或者知识的定义可能是随着时间变化的,如何发现这种变化并作出反应是一个非常值得探讨的问题。二是对算法效率的要求,由于现在的高速网络非常快,数据量是无限的,并且网络数据一般是高维的,如何快速并且有效的对数据进行处理也同样值得深入研究。另外,如何将数据流挖掘算法实际应用到入侵检测系统,充分发掘数据流挖掘的优势,也是摆在当前的一个问题。本文做的工作主要有以下几个方面：提出了基于数据流挖掘的入侵检测模型,在这个模型中数据流管理系统处在核心地位,面向数据流的挖掘算法都是应用在这个系统中,在模型中使用数据流管理系统可以实现对网络数据的统一管理,也更加有利于数据流挖掘算法在入侵检测中的应用。将Hoeffding树算法做了改进,将其应用到了数据流环境,然后将其和感知器分类方法和朴素贝叶斯方法融合到了一起,提高了算法的分类精度；另外,在这个算法中使用了ADWIN滑动窗口技术,实验表明这个算法对于概念漂移的检测能力非常好。本文提出了一种基于信息熵降维的混合属性数据流聚类算法,这个算法采用信息熵的方法进行特征选择,采用频度矩阵的方式来处理名词属性,对聚类簇的设计采用了可加减的数据结构,适应了数据流挖掘算法对有限内存的要求。实验表明这种算法能够有效处理高维的混合属性数据流,对于数据流的中的异常点检测效果也非常好。在本文的最后,对经典的入侵检测系统Snort进行了扩展,将上面两章中提到的算法应用到了入侵检测模型中,采用从传统入侵检测系统中得到的正常数据流来指导聚类算法,和数据流分类算法结合在一起,使模型能够对传统的入侵检测模型作出更新,检测出未知类型的入侵或者攻击方式。