入侵检测系统是计算机网络安全的重要组成部分,它实现对入侵信息实时检测的功能。入侵检测系统一般采用基于网络的、误用检测技术。采用误用检测技术的优点是精确;但它的主要弱点是速度上的限制和对新的攻击无能为力。异常检测技术能够检测到新的攻击行为,是入侵检测系统发展的热点,是误用检测技术的有益补充。但这种技术方法目前还不是很完备,还处于研究热点之中。本文所研究的入侵检测系统是基于网络的,采用异常检测技术。本论文在分析了目前常用的异常入侵检测方法和网络入侵攻击手段的基础上,提出了一种基于异常模式的入侵检测系统,它从两个方面来实现异常检测。一方面是对异常数据包的检测,另一方面是对异常网络流量来进行检测。在运用数据挖掘中的关联分析算法对网络连接记录进行分析中,根据入侵检测的具体情况,对标准的Apriori算法进行了修改,排除了一些无意义的规则。并提出了一种运用得到的规则进行检测的方法,提高了系统检测的速度,降低了系统资源的使用率,比较适合于目前的高带宽大流量的网络环境。在运用数理统计的方法对数据包流量进行检测中,通过统计每台机器在各个时间段内的数据包流量,与当前流量比较,计算异常行为的异常度,当异常度超过指定的阀值就产生报警。该模块是从“宏观”的角度来监测网络行为,可以有效地发现以消耗网络带宽和系统资源为手段的拒绝服务攻击,有效地弥补了关联分析算法的不足。