随着对计算机网络安全需求的日益增长,传统的防火墙技术和单机入侵检技术已经不能完全满足人们对入侵防御的需求,分布式入侵检测技术成为一个重要的研究方向。但是传统分布式入侵检测模型不同程度上存在网络负载大、响应时延长、扩宽性差和单点失效等问题。另一方面,移动代理(Mobile Agent )技术作为目前计算机科学领域的一门新兴技术,其独特的迁移性和自治性给分布式计算带来了巨大的革新,随着入侵检测技术的发展和应用,移动代理技术也被引入到分布式入侵检测技术的研究中。本文首先总结了入侵检测技术的一些研究现状和成果,介绍了相关分布式系统及关键技术、移动代理基本概念与体系结构,以及移动代理技术在入侵检测方面的优势,最后分析了现有典型的移动代理系统。本文将网络划分为域,在此基础上提出了一种基于移动代理的分布式入侵检测模型。在模型中,静止代理和移动代理的划分保证了审计数据源的计算减少了额外的网络负载;域的划分解决了系统单点失效问题并且容易扩展;将整个系统的协作检测任务划分到各个域管理服务器,避免了集中计算的负载高的缺点;在系统容错方面,本文提出了一种改进的容错模型及算法,当一个管理域服务器失效,静止代理和移动代理可以加入其他的管理服务器继续执行任务,使得系统具有较高的可靠性。本文还研究了现有基于规则推理的FPN(Fuzzy Petri Net)误用入侵检测算法。为提高推理计算的性能提出了一种新的算法,并对该算法和现有的算法进行了分析比较,本算法提高了推理的通用性与计算速度。在此基础上,针对入侵检测报警阈值,本文提出了一种基于阈值的FPN改进算法并对改进算法进行了分析。为验证所提出算法的有效性,对MYCIN算法和本章的两个算法编程实现进行了比较实验,实验结果表明所提出的算法性能较MYCIN有一定的提高,基于基于阈值的FPN改进算法的性能较FPN算法也有一定的提高。最后,本文采用Snort进行网段数据提取,采用IBM Aglets移动代理平台实现了基于所提出算法与移动代理的分布式入侵检测原型系统,并对该原型系统进行了测试,运行结果表明本系统能检测分布式的扫描,域管理服务器失效后,静止代理能加入另外的域管理服务器继续工作。