入侵检测技术是网络安全防御中一项重要技术，它和防火墙一起对网络流量中数据包进行分析过滤，能够对进入内网的数据包进行检测，判断是否有非法入侵，增强了整个系统的安全性。本文在对传统的入侵检测模型研究的基础上，提出了一个基于移动代理的入侵检测模型。在入侵检测系统的检测算法方面，本文将自组织特征映射（SOM）和模拟退火（SA）聚类算法结合起来，经实验证明，有效的提高检测的精确度。　　 本文提出的基于移动代理的入侵检测模型主要由受检主机和管理控制单元两大部分构成。这两部分之间的移动代理主要有：巡行代理、维护代理和响应处理代理。其中，巡行代理和维护代理由中心控制模块操控，巡行代理主要是在分布式主机中检测是否有工作性能受损的主机，若有则派遣维护代理前来修复，以确保整个系统工作的实时性和健壮性。响应处理代理负责在检测到异常行为时，将处理措施及时的发放到含有异常数据包的主机中，能最大限度的减少损失。此外，本文还简要介绍了各种代理间的通信方式，各个代理的协调管理由中心控制模块负责。在数据预处理方面，本文先是描述了几种常见的攻击行为和数据包的截获方法，然后详细介绍了几种不同的数据特征提取方式，由于本文实验部分采用的数据均来自于KDDCUP99标准数据集中的数据（该数据集对截获的网络数据包进行41维特征提取），为了使各个特征都能以数值形式表示，我们采用数值编码和规一化的方法，这样就使得所有的特征均以数值形式表示，方便后来在检测算法中的计算。本文的另一个重要部分就是在入侵检测中的对检测算法的改进，采用的检测算法是SOM神经网络和SA聚类算法相结合。因为传统的SOM在聚类后很难提供精确的聚类信息，而SA算法也会因为初始值相差太大，在每一次降温时都需要许多次的迭代，这样会耗费很多时间。为了弥补这些不足，本文将这两种算法结合在一起，先用SOM进行初次聚类，再对聚类的结果采用SA算法进行二次聚类，在较短的时间上达到收敛。本文的实验部分很好的证明采用这种改进的检测算法可以明显的提高对DoS攻击的检测精确度，并降低误报率。