入侵检测技术是目前网络安全领域的一个研究热点,虽然目前入侵检测技术已经有了长足的进步,开发出了许多针对不同需要的产品,但传统的入侵检测系统仍然存在一些缺陷,例如在分布性,智能性,灵活性,效率方面都存在不尽如人意的地方。随着计算机智能化和网络化进程的发展,Agent技术迅速崛起并且得到了广泛应用,移动Agent技术是为解决复杂、动态、分布式智能应用而提出的一种全新的计算手段,本论文提出并深入研究了一个基于移动智能体技术的入侵检测系统的体系结构。该体系结构将移动智能体技术应用于入侵检测,解决了传统的集中式入侵检测系统的缺陷,将任务处理和数据分布到网络各个结点上,自动适应复杂多变的网络环境,能通过自我学习、自我进化提高系统的入侵检测能力,能充分利用网络资源协同完成入侵检测任务。该体系结构是一种混合形结构:一方面,该结构同时利用基于主机和基于网络的数据源,使得IDS能收集到更加全面的信息;另一方面,该结构同时使用了异常检测技术和误用检测技术,既能检测已知的攻击模式,又能发现新的攻击模式。在系统的具体实现中,本文对异常检测技术做了深入的研究,并且把他应用到了相应的检测模块。本文首先详细介绍了入侵检测技术和移动agent技术,然后对本系统做了需求分析,确定了系统的性能要求以及本系统的开发环境和应用环境,并且对系统的测试做了简要的介绍。本文详细论述了所提出的入侵检测系统体系结构的主要特点及其采用的主要技术,并依据此结构设计了一个入侵检测原型系统。论文详细论述了整个原型系统的各功能模块。本文还重点介绍了两种异常检测的方法,一种是针对主机数据源提出的基于隐马尔可夫模型的异常检测,一种是针对网络数据源提出的基于服务特征的异常检测,这两种异常检测方法的使用有效地提高了整个系统的检测能力,极大地增强了系统的自适应能力,在不需要任何攻击领域知识的情况下,能够很好地检测出未知的攻击。