随着计算机网络的迅速发展,人们面临的网络安全威胁日益严重。网络安全问题已经成为制约网络发展的主要问题,它直接影响到国家的安全以及社会的稳定。如何解决网络安全问题,已经成为摆在我们面前的一项重要的课题。入侵检测作为一种动态的主动防御安全技术,可以在系统发生危害前检测到入侵攻击,并利用报警与防护系统响应入侵攻击,从而减少入侵攻击所造成的损失。入侵检测实质上是分类问题,即把收集到的网络数据分为正常或异常两类。而关联分析作为一种利用关联规则来进行数据挖掘的方法,它可以发现大型事务或关系数据集中项之间有趣的、隐含的关联或关系。同时,关联分析还可以把关联规则和分类结合起来,挖掘出数据之间潜在的一些分类关联规则来建立分类器。由于分类器是由一系列的分类关联规则组成,所以通过分类关联规则挖掘获得的分类器更容易理解和应用。因此,关联分析可以应用到入侵检测中,发现网络数据的属性之间的联系,挖掘出潜在的、有效的入侵检测规则。本文主要研究了关联分析在入侵检测中的应用,建立了一个基于分类关联规则的入侵检测系统模型。由于Apriori算法在挖掘频繁项集时,需要反复扫描数据集,并产生大量的候选项集,这导致该算法运算时间过长以及占用过多的内存。I-Apriori-TFP(Total-from-Partial)算法是基于Apriori-TFP算法的改进,它减少生成的P树和T树的结点数,并只产生带类标号的频繁项集,由这些频繁项集产生分类关联规则。本文通过结合I-Apriori-TFP算法与CMAR算法,实现了一种关联分类算法I-Apriori-TFP CMAR.首先,系统对数据集进行预处理,然后利用I-Apriori-TFP算法来产生所有的分类关联规则,并基于已产生的分类关联规则使用CMAR算法建立一个分类器。分类器经测试数据测试后,生成检测代理。最后,利用检测代理对网络数据进行检测。本文最后对Apriori-TFP算法与I-Apriori-TFP算法进行了对比实验,实验结果表明,I-Apriori-TFP算法比Apriori-TFP算法节省存储空间和运行时间。同时使用KDD Cup99入侵检测实验数据集对入侵检测模型进行训练和测试,实验结果也表明,该入侵检测模型能够有效地检测网络数据中的入侵行为。