随着互联网从学术研究网向商业网络的演化，越来越多的组织与个人将他们的内部网络和计算机连接上来，基于网络的应用也就越来越广泛。商业与学术的信息得到共享。可是伴随而来的新的威胁，网络安全问题已经变成了一个严重的问题摆在我们的面前了。黑客入侵事件的日益猖獗，人们发现只从防御的角度构造安全系统是不够的。入侵检测技术是继“防火墙”、“资料加密”等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动。本文介绍了入侵检测的概念、组成，对非法入侵的过程和手段进行了细致的了解，并深入分析研究了目前主要入侵系统的体系结构及入侵检测的关键技术。提出一种基于代理的入侵检测系统，具有良好的分布性能和可扩展性。它将基于网络和基于主机的入侵检测系统有机地结合在一起，提供集成化的检测、报告和响应功能。由于网络数据传输量的增加，普通的检测系统的数据处理能力已无法满足要求。分布式入侵检测系统是今后大型网络的入侵检测系统的发展方向，基于代理的高性能网络入侵检测系统既可以作为分布式主动协同检测系统中的一个子系统向其提供检测分布式入侵所需的信息，也可以作为一个独立的网络入侵检测系统运行用于保护一个网络。本文所设计的分布式入侵检测系统，采用了移动代理和多代理合作技术，解决了传统的检测系统资料量过大、对入侵事件反应不及时的问题，它的移动代理技术，起到了主机负载均衡的效果。这个入侵检测系统采用了特征匹配和资料统计相结合的方式对入侵事件进行检测，大大降低了误<WP=66>警率。该检测系统由代理系统、存储系统、控制系统、分析系统和响应系统六部分组成。控制系统是控制中心和控制台的通信接口，它接受并解析来自控制台的请求，向控制单元和数据库管理模块发送相应的请求；接受从数据库管理模块传回的资料，经处理后传回控制台。它包括安全事件管理、事件报表管理、检测器管理和虚告警管理。存储系统的作用是用来存贮事件产生器捕获的原始资料、分析结果等重要资料。储存的原始资料在对发现入侵者进行法律制裁时提供确凿的证据。存储系统也是不同部件之间数据处理的共享数据库，为系统不同部件提供各自感兴趣的资料。因此，存储系统应该提供灵活的资料维护、处理和查询服务，同时也是一个安全的日志系统。分析系统是检测系统是否可靠的关键，而分析系统主要依靠检测算法检测入侵行为。本论文介绍了两种入侵检测算法，第一种匹配算法，属于基于知识的入侵检测方式，依据入侵行为是否与它的知识库相匹配，因此它对入侵行为检测的准确率依靠它的知识库的入侵知识是否完备,否则必然会出现漏警现象。另一种聚类式检测方式属于基于行为的入侵检测方式，它依据对系统资源的访问频率来区分入侵行为，通常入侵行为会伴随着频繁的资源访问。但由于异常行为未必就是入侵行为，因此这种检测算法常常会出现很大的虚警。响应系统是检测系统的重要组成部分，它是入侵检测系统得以存在的关键，我们设计的入侵检测系统采用自动反击与管理员提醒相结合的方式，以减少黑客利用响应系统对用户进行攻击，并且达到对入侵事件的实时响应。检测系统部件本身也是攻击者的攻击目标，攻击的方法可能包括监听、破坏知识库及响应报警信道等。所以，检测系统必须采用一定的安全措施来保证自身工作的安全，并且应具有一定的自我修复功能。另外，还可以采取冗余告警方式来防止潜在的威胁活动。最后，本文讨论了入侵检测目前面临的问题和未来的发展趋势。随着<WP=67>网络在规模与速度上的快速发展，对入侵检测技术的要求也相应地得到了提高，对系统的实时性和智能性都有了很高的要求。同时，还需要系统具有自我学习的功能，这样便可以大大降低漏警率和虚警率。现在的入侵检测系统还很难达到让我们满意的程度，还需要我们进一步的研究和完善。