入侵检测作为一种主动的信息安全保障措施,能根据入侵行为的踪迹和规律发现入侵行为,从而有效地弥补了传统安全防护技术的缺陷,成为防火墙之后的又一道安全防线。 本文首先介绍了网络安全的概念及当前网络安全技术和产品,说明了传统的安全防御措施存在的缺陷与不足,进而引出了入侵检测系统的概念并详细介绍了其历史、发展、分类、检测方法等。 本文接着介绍了移动代理技术。移动代理是近几年来提出的一个新概念。它提供了一个新的计算方式,即程序以软件代理的形式出现,能在一台主机上停止对它的执行,并通过移动到另一台主机上恢复执行,具备移动性、灵活性、适应性、跨平台性和代码可重用等特性。 本文随后提出了一种基于移动代理的分布式入侵检测系统的模型;详细论述了该模型中各模块的功能、结构;实现了基于此模型的移动代理式入侵检测系统MAIDS(mobile agent-based intrusion detection system)。其中,鉴于当前众多网络入侵检测系统中的网络协议分析方法主要是对网络层和传输层协议进行分析,本系统尝试在此基础上针对协议的攻击和变体攻击等较难检测的攻击,进一步对应用层协议进行分析,结合采用基于误用或异常检测技术,从而更加精确地定位检测域,更加有效地检测协议执行时的异常。 本文最后给出了MAIDS入侵检测系统的实验测试结果,初步证明了该系统对入侵检测的有效性和合理性。