入侵检测作为一种主动防御技术,弥补了传统安全技术的不足。本文在对已有的入侵检测模型研究的基础上,提出了一个多代理的入侵检测模型,该模型中各代理之间的通信方法可以适应异构的网络环境。在对入侵检测算法的改进上,本文同时提出了一个改进的SOM神经网络检测算法,可以有效提高入侵检测系统的检测率。本文中的入侵检测模型包括以下几个代理:岗哨代理(Sentry Agent),分析代理(Analysis Agent),响应代理(Response Agent)和网络代理(Network Agent)。他们分别负责信息采集,数据检测,响应入侵和协调管理的作用。为了使代理间的通信能够在异构网络环境下进行,本文提出了XML和OpenJMS的方法来实现代理间的通信。即代理在通信前使用XML作为数据传输的统一格式,而代理在通信时采用第三方开源软件OpenJMS作为消息中间件。在对采集到的网络数据进行检测前还需要对数据特征进行标准化。本文针对这一问题,根据KDDCUP’ 99标准,对截获的网络数据包进行41维特征抽取,并采用数值编码方法,使这些特征转化为能被神经网络处理的数值形式。检测算法是入侵检测的一个重要组成部分。本文在对大量入侵算法研究的基础上,提出了SOM神经网络和K-Means算法相结合的检测算法。传统的SOM神经网络不能提供分类后精确的聚类信息。而传统的K-Means算法的聚类结果严重受到随机初始值的依赖。为克服两种算法的缺陷,本文将两种算法结合起来,SOM首先进行一次初聚类,将其作为K-Means提供初始聚类,然后用K-Means来对SOM的聚类进行精化,既克服了两者的缺点,又使两种算法的优点得到完美的结合。文章的最后采用KDD CUP’99数据源对该算法的性能进行测试,实验表明应用了改进的检测算法可以明显提高入侵检测系统得检测率,并在一定程度上降低了误探率。