目前，网络和各种信息技术被广泛应用，但同时也存在严重的风险和威胁，安全问题备受关注。入侵检测系统是网络安全领域的重要分支和研究热点，是保护网络系统安全的关键技术和重要手段。随着入侵技术变得更加综合化、复杂化，入侵规模不断扩大，网络安全设备的处理速度尚不能满足需求，如何降低入侵检测系统的误报率和漏报率，增强互动性和智能化的程度等方面始终是有待进一步研究的课题。基于网络的入侵检测系统(NIDS)是目前入侵检测系统研究的热点。随着人工智能以及Agent技术的发展，利用具有一定自主推理、自主决策能力的Agent以及由其组成的多Agent系统已经成为网络应用系统中的热门工具。多Agent系统是一种分布式人工智能方法，以智能Agent技术为基础，将多Agent技术应用到入侵检测系统中的研究已经取得了一定的成果，它能使逻辑上和物理上分散的检测系统并行、协调地求解问题，有利于实现分布式的处理，可以平衡多处理器的负载，具有动态可扩展性和智能化等优点，显著提高了检测系统的性能。基于Agent的分布式入侵检测系统的研究设计是目前智能化入侵检测技术研究的重要方向之一。规则库描述入侵攻击事件的特征和相应的响应规则，控制入侵检测引擎，是入侵检测系统能否有效检测入侵的关键。检测规则的表示模式的选择直接影响着规则获取能力和规则运用效率，是入侵检测系统中最基本的问题之一。因此，对入侵检测系统规则的表示模式、规则库的构建的研究和改进具有重要的价值。本文在详细分析目前国内外基于多Agent的入侵检测系统研究现状的基础上，面向NIDS对规则库的构建进行了研究和探讨。主要研究工作涉及以下几个方面：1、运用知识工程和面向对象的方法，提出了基于面向对象的攻击知识表达模型，并采用Java语言实现了攻击知识的表达。研究中把网络攻击事件看作一个对象知识，把一些具有相似性质的攻击知识定义为一个攻击类知识，定义了攻击知识对象的抽象结构、方法集、规则集。2、定义了一种基于知识工程方法的规则描述语言对检测规则进行结构化描述，对规则头、规则协议、规则选项和数据结构进行了详细设计，定义的规则描述语言简单、灵活、高效。3、在分析NIDS模型的功能特点和协议数据包的基本特征基础上，规划了针对不同类型数据包的特征提取和检测规则表示，在基本特征提取基础上，提取生成复杂特征，能够有效地对入侵行为进行全面检测。4、对基于多Agent的入侵检测系统中各种Agent的功能及其相互之间的联系进行了分配，对与规则相关的Agent进行了详细设计。5、利用表的形式实现简单攻击事件和关联攻击事件的定义与推理规则；使用脚本存储方案设计了基于数据模式的单行为攻击事件描述和基于统计与关联的行为关联事件描述语法。6、以面向对象的知识表达模型为基础，融入层次规则库设计思想，探讨了NIDS规则库的实现方式和自动更新方法，给出了可行的规则库实现方案。论文提出的攻击知识表达模型能够正确有效的描述组合、分布式攻击等复杂的攻击知识，所设计的规则库模型和实现方案体现了良好的知识管理机制，具有检测效率高、自适应等特点，以期对网络入侵检测系统智能化提供参考和帮助。