随着计算机网络应用的普及,网络安全已经成为不容忽视的问题。如今数据加密、病毒防护程序、防火墙、入侵检测等网络安全防护措施日趋成熟。防火墙能够阻断大多数来自外部的入侵攻击,但仍会有一部分绕过防火墙渗透到网络内部。入侵检测不仅可以识别来自外部的攻击行为,也可以检测来自内部网络的未授权活动及破坏,成为继防火墙之后网络安全第二道防线,日益得到重视。而攻击工具与手法日趋复杂多样,对入侵检测系统的要求也越来越高。目前有很多基于主机和基于网络的入侵检测系统,存在着诸多不足,后来有了分布式入侵检测系统,其性能也有待改进。为提高入侵检测系统的性能和效率,有关组织提出基于代理技术的入侵检测系统,目前已有一定的研究成果。本文详细分析了已有的传统入侵检测系统和基于移动代理的入侵检测系统的现状,介绍移动代理在入侵检测技术中的应用及优势。在此基础上,采用典型移动代理系统IBM Aglets设计了一种基于移动代理的入侵检测系统框架,并设计了不同功能的移动代理,分析多个移动代理协作进行数据采集与跟踪检测入侵攻击的过程,这些移动代理实时跟踪监视网络设备和主机,了解网络上的流量和主机的状态,并对结果数据进行分析审计,做出一定的响应。传统的入侵检测系统采集分析大量的主机日志或者网络数据包流量,降低了系统的性能。本文利用移动代理的智能性与移动性和SNMP(Simple Network Management Protocol)协议的简单高效的特性,通过移动代理按需动态的采集日志及SNMP MIB (Management Information Base)中主机和网络相关的数据,并利用SNMP的扩展协议AgentX对SNMP MIB进行扩充,为数据采集提供了更多的数据源。本文最后选用几种典型的DoS(Denial of Service)攻击工具对数据采集模块进行测试与简单的结果分析,通过在不同情况下对相关参数的观察,证明了数据采集的有效性。