1、隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，針對計算機和網(wǎng)絡(luò)的攻擊也逐漸增多，手段也變得更加復(fù)雜和隱蔽，安全問題越來越受到人們的重視。相對于防火墻和數(shù)據(jù)加密來說，入侵檢測是一種主動的安全防御措施，能夠在更大程度上保護用戶信息安全，但是現(xiàn)有的入侵檢測系統(tǒng)仍有諸多缺陷：首先是無法應(yīng)對高速傳輸速率和海量數(shù)據(jù)；其次，不能及時有效地檢測出變異的攻擊或新型的攻擊手段；第三，居高不下的虛警率使得網(wǎng)絡(luò)管理員不堪負重。這些問題嚴重制約了入侵檢測系統(tǒng)的發(fā)展和普及。

2、 本文針對以上入侵檢測系統(tǒng)的不足進行了研究，提出一種基于智能Agent的分布式入侵檢測和防護系統(tǒng)模型。它具有分布性、智能性、實時性和聯(lián)動性的特點，旨在提供全方位的網(wǎng)絡(luò)安全防御和系統(tǒng)保護。 因為基于規(guī)則的入侵檢測具有實時快速的特性，該系統(tǒng)沿用了傳統(tǒng)的基于規(guī)則的誤用檢測模式，在此基礎(chǔ)之上，本文利用概念學(xué)習(xí)的思想使其具有判斷并分類用戶行為、自動歸納新規(guī)則和更新已有規(guī)則的能力，用以檢測變異入侵和未知攻擊。使用有色Petri網(wǎng)描

3、述入侵行為有利于特征的提取和歸納，從而生成更加有效的檢測規(guī)則，增加系統(tǒng)智能性。文中還把基于主機的入侵檢測和基于網(wǎng)絡(luò)的入侵檢測模塊分別設(shè)計成不同類型的Agent，每種類型根據(jù)實際需要可以創(chuàng)建多個實例并分布到不同的主機上，負責(zé)處理各種類型的數(shù)據(jù)，從而實現(xiàn)數(shù)據(jù)分流和并行檢測。針對基于網(wǎng)絡(luò)的子系統(tǒng)，本文提出了一種按照協(xié)議和流量分類的算法，將網(wǎng)絡(luò)數(shù)據(jù)盡可能均衡地分配給多個Agent處理，以提高檢測速度，應(yīng)對高速網(wǎng)絡(luò)環(huán)境下的速率瓶頸問題。網(wǎng)絡(luò)檢測引