入侵检测是一项重要的网络安全技术，已得到了广泛应用，对这一技术的研究也日益深入。通过构建动态的安全循环，入侵检测可以最大限度提高系统的安全性，减少安全威胁对系统带来的危害。随着网络的大规模化和入侵形式的复杂化，人们对入侵检测技术也提出了更高的要求。传统的入侵检测系统从某种意义上说是一种被动的检测机制，只有当攻击已经到来或入侵发生时，才能发现入侵/攻击事件并作出响应，从本质上讲它是一种事中发现，事后报告的分析机制，对入侵/攻击行为只能事后检测，不能事先预测和防范。本文针对传统入侵检测技术存在的被动检测机制问题，从延长系统的防护时间以及减少检测时间和响应时间的角度，提出了将时间序列数据挖掘理论与入侵检测技术相结合的主动入侵检测方法，并论证了实现基于时间序列数据挖掘的主动入侵检测技术的可能性，基于时间序列数据挖掘的主动入侵检测技术，可看作是传统入侵检测技术的延伸和扩充。我们的目的是建立一套切实可行的主动入侵检测理论和方法，以满足当前计算机网络安全发展的要求，实现计算机网络安全从被动应付型向主动保障型的转变。本文的具体研究内容包括： (1)基于SNMP(SimpleNetworkManagementProtocol)的分布式主动入侵检测体系研究。针对传统入侵检测系统体系结构的局限性，结合入侵检测和网络管理的各自特点，将入侵检测和网络管理集成，提出了一种基于SNMP的分布式主动入侵检测架构。通过共享SNMP的管理信息库(ManagementInformationBase，MIB)，利用管理信息变量的数据作为入侵检测的数据源，把入侵检测和网络管理有效地融合在一起，建立了一种新型的、能够动态适应环境变化、具有协同工作能力并可实施有效监管的主动入侵检测体系。通过定义系统各组成部分之间的数据共享安全策略和通信机制，在检测架构上形成一个比较完整的安全策略体系。基于SNMP的分布式主动入侵检测体系不仅扩大了检测范围，而且还能对网络实现有效的管理。 (2)基于时间序列相似模式挖掘的网络异常检测研究。网络攻击日趋隐蔽化和复杂化，如何快速准确地发现网络中的异常行为对于保证计算机网络安全至关重要。本文提出了一种基于时间序列相似模式挖掘的网络异常检测方法。它以SNMP的MIB作为数据源，以流量变化、时间和空间三个维度描述网络的状态，用自回归模型近似MIB变量的时间序列数据，自然地把时间序列数据分割为不重叠的有序子序列的集合，采用似然率检验将时间序列集合映射为状态向量空间，然后基于相似性从状态向量空间中提取正常模式，得到一组模式集合，并利用该模式集实现网络的异常检测。最后，通过实验结果验证了该方法的有效性。 (3)基于时间序列时态因果关联的主动入侵检测规则的构建。主动入侵检测最显著的特点是采用时态规则作为入侵检测规则，因此如何建立规则前件和后件的时序关系是一个关键问题。基于时间序列时态因果关联的主动入侵检测规则的提取是在离线状态下通过对MIB变量的时间序列数据的挖掘而实现的，其中包括MIB关键变量的选择、入侵征兆提取、入侵征兆与入侵事件之间的时态关系检验等内容。解决这一问题的基本思想是：利用网络管理系统中的MIB数据源，建立多源时间序列数据集，并分为输入时间序列和输出时间序列两类，利用时序分析技术提取输出变量的入侵事件序列和输入变量的异常点(入侵征兆)序列，建立两者之间的时态关联的传递函数，采用因果关系检验，提取主动入侵检测规则。实例分析和基本验证试验表明，该方法能有效地发现攻击源端的攻击行为与目标主机的攻击流之间的时序关联关系，使入侵检测具有预警的能力，改变了传统入侵检测系统单一检测和被动响应的检测机制。 (4)分布式拒绝服务攻击的主动检测问题。分布式拒绝服务攻击可对单个或多个目标发起大规模的协同攻击。它针对网络安全的有效性，采用消耗目标系统资源或其他网络资源的手段，干扰或者完全阻止为合法用户提供的服务或系统资源。由于攻击来自多个节点，使得分布式拒绝服务攻击隐蔽性很强、破坏性极大，威胁范围很广，从而难于检测和防范。本文利用主动入侵检测的思想，通过监测分布于网络管理区域内节点的MIB变量的数据变化来发现攻击的征兆，在分布式拒绝服务攻击的初始阶段就可以检测攻击，从而使系统有足够的时间作出响应并采取相应的安全措施，防范或阻止随之而来的真正的攻击行为。