高速网络的出现、攻击者技术水平的不断提高,攻击规模日益扩大,攻击方法日益复杂化、多元化、分布化,传统的入侵检测系统已经远远不能满足要求,此课题就是在这样一种背景下提出的。本文通过对现有入侵检测系统特别是基于移动代理的IDS原理及系统结构进行研究分析,并在此基础上提出一个新的系统模型——C-MAHIDS。 良好的系统构架是影响入侵检测系统整体性能的关键部分,本文对传统的IDS,特别是基于移动代理的IDS作了详细的系统结构分析与研究,分析各类系统的优缺点,由此对C-MAHIDS系统结构进行了设计和规划。该系统吸取以往各类IDS——AAFID、IDA、JAM、MAIDS的优点,并尽力消除它们的缺陷。C-MAHIDS选用移动代理技术来完成入侵检测的数据收集与分析功能,因此它和IDA、MA-IDS一样具有网络负载轻、系统性能高等显著优点。其次该系统采用分散式的系统结构,各个结点的地位和作用都是等同的,这样可以消除层次型或树型系统结构所具有的检测实时性差、容错性不好、单点失效等问题。可以增强了系统的稳定性、容错性及抗攻击能力。另外该系统采用一种新的数据关联分析技术,即采用分布式关联脚本来定义代理之间的协作,它可以有效解决代理协作问题,而且使得系统具有极强的可配置性,因此系统具有很强的适应性、可扩展性。该系统具有的另一个特点是可以重用现有的入侵检测系统,这样可以避免不必要的重复开发活动。 随后本文对该系统的性能作了理论上的分析,理论结果是该系统比传统的层次型或树型的结构的IDS具有更强的容错性和伸缩性,入侵检测能力与其他IDS相当。 最后,本文对本文所设计的入侵检测模型进行了初步实现,以验证系统设计的可行性。