入侵检测技术是继“防火墙”和“数据加密”等传统安全保护措施后的又一新的安全保障技术,是一种动态的安全防护技术,它从计算机系统和网络的不同关键点采集信息,然后分析这些信息以寻找入侵的迹象,针对外部攻击,内部攻击和误操作给系统提供安全保护。入侵检测研究重点之一是如何建立具有有效性,自适应性和可扩展性的入侵检测模型。基于移动代理的入侵检测系统利用代理的独特性能即自治性和移动性能追踪到攻击者所在位置并进行准确取证,从而可解决传统入侵检测系统只能消极响应的问题。 本文在对现有的入侵检测系统模型进行分析和研究的基础上,提出了基于移动代理技术和协议分析技术的分布式入侵检测系统模型。建立的基于移动代理和协议分析技术的入侵检测系统模型框架由三个层次组成:第一层为中心控制器;第二层为控制器;第三层由监视agent、分析agent、响应agent和追踪agent组成。各移动agent形成森林型控制结构。各个控制agent所控制的子网段采用不同的入侵检测分析方法。本文只讨论采用模式匹配和协议分析方法的子网段。 本文重点研究了协议分析技术。采用简单协议分析和基于状态转换协议分析两种方法进行协议分析。前者根据协议类型检测是否满足相应规则,再由相应分析机来检测;后者利用协议的状态信息检测入侵,提高了检测的全面性和准确性。 本文还重点研究了移动agent的迁移和通信。提出了移动agent的迁移策略并根据移动agent通用通信框架给出了通信算法思想、数据结构、以及算法步骤。最后还提出了入侵检测系统中采纳移动agent实现负载平衡的策略。