近些年,随着网络攻击技术的不断发展,入侵检测系统在应对网络入侵的同时本身也受到了越来越多的安全威胁,设计一种安全的稳定可靠的入侵检测系统模型已经变得非常必要。本文分析了一种基于静止代理的入侵检测系统模型,指出了该模型在安全性上存在的漏洞、网络负载问题以及系统结构安全性问题,并针对这些问题提出了一种身份认证方案和利用移动agent来解决网络负载问题和系统的整体安全性的方案。本文在此基础上从系统的整体安全性、检测效率、系统计算负载平衡和可扩展性上考虑,提出了一种新的基于移动代理的抗攻击入侵检测系统模型。该模型是一种基于M-S的主从模式与心跳通信相结合,Hash数据包分组技术与功能子动态特征库并用的新模型。该模型以日本IBM实验室提供的Aglets为移动代理平台,在此平台上构建了各种移动代理aglet,包括管理控制中心MCC、监控aglet、入侵检测aglet以及全局分析aglet,同时各个入侵检测aglet在所在主机上配置两套规则库并维护一个动态更新的aglet表。本模型在系统的整体安全性上提供了双重保障：一方面采用控制中心MCC与监控aglet、监控aglet与入侵检测aglet以及全局分析aglet进行心跳通信的策略,发送系统中定义好的语义信息,达到一种相互监督的局面,使四者在任何一个失效的情况下,系统都会自动触发相应的处理模块进行撤销并重新派遣新aglet,保证了系统的稳定可靠的运行的目的；另一方面,采用M-S模式,使得各MMA得到了一定程度的保护。系统在检测效率上,采用了两套规则库的策略,使得各入侵检测aglet在正常的检测情况下只加载对应的功能规则库,从而大大地提高了效率。当入侵检测aglet在得到全局分析aglet的入侵广播后,才加载完全规则库,保证本地免受相同的攻击。在计算资源负载平衡上,我们采用了Hash数据包分组算法结合aglet申请计算资源的策略,在保证来自同一地址的数据包被同一个aglet处理的前提下,使得计算资源相对贫乏的主机上的处理能被SMA迁移到相对空闲的主机上,从而达到整个系统的计算负载平衡的目的。在可扩展性上,系统采用了一个移动aglet库,使得在不影响其他实体运行的情况下,进行动态的调整。