随着互连网规模和复杂程度的迅速增长，网络安全的重要性不容忽视。入侵检测系统作为一种能够自动检测计算机系统或网络上入侵行为的系统，成为网络安全的重要组成部分。它是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术，它不仅能检测来自外部的入侵行为，还能同时监测来自内部网的入侵活动。 然而，大规模高速网络的出现、日益猖撅的黑客活动、日新月异的入侵手段、越来越大的破坏性，对传统的入侵监测系统提出了前所未有的挑战。 本文在对传统入侵检测系统模型和检测原理的研究分析基础上，将传统的入侵检测技术与移动Agent技术结合起来，设计了一种基于移动Agent的分布式入侵检测系统原型。移动Agent独特的自主性和移动性可以提高入侵检测系统的健壮性和容错性，增强适应性和可扩展性。 本文所做的主要工作有： 1．系统分析研究了国内外入侵检测技术基本发展状况和基本思想，系统分析了入侵检测系统的分类、常见的入侵检测的方法及目前的入侵检测系统的优缺点。 2．详细论述了移动Agent技术。Agent是指模拟人类的行为和关系、具有一定智能并能够自主运行和提供相应服务的程序，随着网络技术的发展，可以让Agent在网络中移动并执行，完成某些功能。把移动Agent应用到入侵检测系统中，能提高入侵检测的速度，使检测方法多样化，提高系统的可伸缩性、可扩充性，有效解决不同入侵检测系统间互操作的问题及不稳定的网络服务质量问题。 3．设计了一种基于移动Agent的分布式入侵检测系统模型。利用移动Agent承载入侵检测系统模型中部分组件的功能，使之成为灵活性非常强的系统。整个入侵检测系统模型由两大模块组成，管理模块和监测模块。管理模块，用来对返回的数据进行分析并判断是否入侵，肩负响应功能。监测模块安装在每个被监视的主机上，用来发现MLSI(Marks Left by Suspected Intruder)。主机监测模块采用移动Agent来启动，并特别增加一种移动Agent负责入侵追踪的任务。本方案不对庞大的日志信息和网络连接记录进行完全性分析，而是定义可疑的入侵标记，当出现这种标记时才进行相应的审计记录收集。这种做法不但提高了整个系统效率，同时由于占用资源比较少，大量的个人主机都可以加入到系统中来，使得入侵者无处可逃。整个方案的设计使得系统具有很强的伸缩性，要求主机只需要安装移动Agent运行环境并给予适当的系统访问权限。 本系统的原型实现采用Java作为开发语言，IBM Aglet作为移动Agent运行环境。由于Aglet是采用纯Java开发的，因此本入侵检测系统可以很方便地移植到各种系统平台。 论文给出了一种基于移动agent的分布式入侵检测系统的架构设计及其实现，对移动agent平台与入侵检测系统设计实现过程中所遇到的关键问题给出了相应的解决办法，并有一些创新点。本文对移动agent在入侵检测中的应用以及入侵检测与其它技术的结合具有一定的参考和促进作用。