1.?一種基于數據挖掘的實時入侵檢測方法，其特征在于實現本方法的步驟如下：

1).?感應器從系統環境或者網絡環境里面收集信息并格式化，然后發送到數據倉庫存儲起來，所有的感應器實現一個基本審計模塊框架，它在可擴展標記語言XML中編碼，由原始數據計算特征；

2).?數據分析引擎實時的從數據倉庫提取信息，將數據分成異常數據集與正常數據集，并利用標記工具做相應的標記，對己標記的信息進行特征提取，并將標記的數據存儲到數據倉庫中，以便模式生成器進行模式挖掘；

3).?檢測器接收由感應器處理過的數據，用一個檢測模型來檢查數據，判斷是否有攻擊，檢測器也把結果發送給數據倉庫去做進一步的分析；

4).?自適應模式管理器訪問數據倉庫里面標記的及未被標記過的異常的數據，經模式生成器生成新的檢測模式后，存儲到數據倉庫中備用，當生成一種新的模式后，模式分發器負責將檢測器的模式更新；

5).?自適應策略管理器提取數據倉庫中的入侵特征，經過分類器分類后，策略生成器生成一種新的檢測策略，將這些數據分類為可疑的或者是正常的，一旦一個策略產生出來，它就會存儲在數據倉庫中的策略庫中，策略分發器將產生的新的策略配置到檢測器上。

2.?根據權利要求1所述的基于數據挖掘的實時入侵檢測方法，其特征在于自適應模式管理器的實現步驟包括：

1).?模式生成器查詢數據倉庫中的數據，開始運行并且產生出一個模式；

2).?將該模式編碼為XML格式并且發送到數據倉庫中去；

3).?模式生成器給模式分發器發出信號表明一個新的模式己經生效；

4).?模式分發器收到信號后自動的發送該模式來更新檢測器模塊的模式庫。

3.?根據權利要求1所述的基于數據挖掘的實時入侵檢測方法，其特征在于自適應策略管理器的實現步驟包括：

1).?對數據倉庫中被標記成正常和異常的數據進行比較，提取出與正常數據集相差較大的入侵數據集，形成入侵模式；

2).?提取入侵模式的特征屬性，使用分類器生成新的分類規則；

3).?根據新的分類規則，策略生成器生成一種新的檢測策略并存儲到策略庫；

4).?策略分發器將生成的檢測策略配置到檢測器上。