本文对入侵检测技术进行了分析和研究,通过分析入侵检测领域亟待解决的一些问题产生的根源,提出了在基于软件代理的分布式入侵检测模型框架下,使用一种以增强型入侵检测引擎为核心的入侵检测代理,并引入辅助的信息收集代理,协同解决基于模式匹配的网络入侵检测系统高虚警率低检测效率的设计思想,并在此想法的基础上实现了一个增强型的入侵检测代理(Enhanced Network Intrusion Detection Agent, E_NIDA)和一个辅助的信息收集代理(Assistant Information Collecting Agent, .A_ICA)。A_ICA负责收集受监控网段内主机的系统和应用服务的部署状况信息,使用以指纹识别技术为主的多种系统和服务识别方法完成对网络主机应用服务轮廓的勾画,采用多线程技术提高信息收集效率,采用插件机制扩展应用服务的识别范围和能力,即时有效地为E_NIDA提供决策信息。E_NIDA采用基于规则的模式匹配方法进行入侵检测,它使用协议分析的手段,并结合A_ICA提供的决策信息,对模式匹配的范围和频度进行最大限度的缩减,提高了检测速度。并通过扩展入侵规则表达能力的方式,达到减少虚警的目的。E_NIDA和A_ICA成对出现,相互协作,可以在网络中以任意数目部署,接受控制台系统的控制,使得系统具有很强的分布性和扩展性。它们与另外的数据挖掘代理和控制台系统灵活地融为一体,共同构成了一个统一的入侵检测系统。经测试证明是这一个可行而且有效的入侵检测系统。