随着网络的普及和网络用户的增加,网络已经成为人们日常生活不可缺少的一部分,然而网络入侵等行为严重影响了网络的正常使用,甚至给网络用户带来巨额的损失,网络安全的研究成为当前的热门课题。网络安全中普遍使用的技术是防火墙技术,它可以使用访问控制机制限制非授权的访问,但是防火墙技术对于合法用户的恶意访问等是无能为力的。而入侵检测系统可以较好的解决这些问题,入侵检测系统是主动的网络防御设备,可以对未知的攻击进行防御。因此网络中一般使用防火墙与入侵检测系统共同完成网络安全防御的任务。由于传统的入侵检测系统具有一些缺陷,如在效率、灵活性和可操作性上不如人意,因此一些先进的技术被应用于入侵检测系统中。本文在研究了移动agent技术的基础上,借鉴了传统的分布式入侵检测系统模型与Snort入侵检测系统,提出了一种基于移动agent和Snort的分布式入侵检测系统(Mobile Agent and Snort based Distributed Intrusion DetectionSystem,简称MASDIDS)。本系统数据的收集、分析、响应工作都在监控节点上完成,其中由监控节点上驻留的静止agent完成的日志和审计数据进行收集、分析和响应,由Snort完成网络数据的收集、分析、响应工作,同时系统的移动agent针对多处监控节点的分析结果作出深层次的分析,系统处理中心只需要做到统计入侵行为以及管理组件工作,大量的数据计算被分布在了监控节点上,其中因此就不存在系统处理中心流量过大的问题,可以增强系统的实时性。本文首先介绍了入侵检测系统和agent的相关概念和基本原理,接着对移动agent在分布式入侵检测系统中的应用进行了深入的研究,进而提出了基于移动agent和Snort的分布式入侵检测系统(MASDIDS)的功能体系结构,同时对Snort的匹配算法进行了改进,最后通过实验验证了系统的可实现性。