??????? 通過分析現有入侵檢測技術，提出了一種建立入侵檢測系統的新方法。該方法結合誤用檢測技術和異常檢測技術，利用數據挖掘能高效地從大量的審計數據中挖掘出代表行為特征的頻繁模式和本體可以對對象的本質進行描述的特點，并加入相似度以判斷是否發生入侵，同時決定是否更新規則本體庫。經分析該系統可以有效地提高檢測的效率。
關鍵字: 數據挖掘；本體；入侵檢測；頻繁模式增長
??????? ?隨著科學技術的發展，網絡的應用越來越廣泛，網絡環境變得越來越復雜，使得人們對網絡安全問題也越來越關注。入侵檢測系統（Intrusion Detection System，IDS）因可以彌補防火墻的不足，為網絡系統提供實時的入侵檢測以及必要的防護手段，如記錄證據、跟蹤入侵、恢復或斷開網絡連接等[1]，受到了人們的重視成為研究的熱點。但是目前的入侵檢測系統在可適應性，可擴展性、可靠性、容錯性、可用性、可檢驗性等方面不能盡如人意。數據挖掘(Data Mining)是從大量的、不完全的、模糊的、有噪聲的以及隨機的數據中提取隱含在其中的潛在有用的信息和知識。與單純的統計方法相比, 數據挖掘的優勢在于它能從數據中發現未知的知識和規律[3]。本體是描述概念及概念之間關系的概念模型,通過概念之間的關系來描述概念的語義。
基于此本文提出了一種基于數據挖掘和本體的入侵檢測系統。該系統采用數據挖掘技術
從主機和網絡的歷史數據中發現知識，用本體建立規則模式庫，并在其中加入相似度。在實時檢測時系統從實時信息中挖掘出當前的行為模式，產生規則，通過規則匹配器與規則本體庫中的規則進行匹配，由相似度判斷出是正常還是異常，并將結果體供給結果顯示接口，如果發現新的正常規則或異常規則就通過更新器和本體生成器存將其到規則本體庫中。