随着网络技术的发展,网络环境变得越来越复杂,对于网络安全来说,单纯的防火墙技术暴露出明显的不足和弱点,如无法解决安全后门问题;不能阻止网络内部攻击,而调查发现,50％以上的攻击都来自内部;不能提供实时入侵检测能力;对于病毒束手无策等.因此很多研究机构致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测.入侵检测系统可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络连接等.入侵检测就是识别那些非授权使用计算机系统的个体(如黑客)和虽然有合法授权但滥用其权限的用户(如内部攻击).根据检测方法,入侵检测分为两大类型:滥用检测和异常检测.滥用检测是指将已知的攻击方式以某种形式存储在知识库中,然后通过判断知识库中的入侵模式是否出现来检测,如果出现,则说明发生了入侵.这种方法的优点是检测准确率较高,缺点是只能对已知攻击类型和已知系统安全漏洞进行检测.异常检测是指将用户正常的习惯行为特征存储在特征数据库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差足够大,则说明发生了异常.这种方法的优点是能检测未知的攻击类型,缺点是误检率较高.现有的入侵检测系统大都采用专家系统或基于统计的方法,这需要较多的经验,而数据挖掘方法的优势在于它能从大量数据中提取出人们感兴趣的、事先未知的知识和规律,而不依赖经验.将数据挖掘技术应用在基于数据库的入侵检测系统中,可以从大量的审计数据中发现有助于检测的知识和规则.该文讨论了基于数据挖掘的数据库入侵检测模型的结构及各部件的功能,利用关联规则Apriori算法,对用户正常历史数据进行挖掘,并对产生的规则进行归纳更新,通过训练学习生成异常检测模型,并利用此模型实现基于数据挖掘的异常检测.实验表明数据库入侵检测模型可以检测伪装攻击、合法用户的攻击,通过实验给出了相应攻击的检测率、假报警率、漏报率和检测正确率.