1、入侵檢測作為一種動態(tài)的網(wǎng)絡安全技術近年來引起了人們的足夠重視，并成為網(wǎng)絡安全研究的一個熱點。隨著計算機和網(wǎng)絡技術的發(fā)展，網(wǎng)絡規(guī)模和用戶數(shù)的不斷增長，攻擊工具和手法的日趨復雜多樣，改進入侵檢測技術、維護網(wǎng)絡安全已刻不容緩。 移動代理技術作為一種新興的分布式技術，具有移動性、自治性和智能性等特點，為基于網(wǎng)絡的應用如入侵檢測提供了一種全新而且可行的方案。研究基于移動代理的入侵檢測技術具有重要的理論價值和應用價值。 本文對當前基

2、于移動代理的分布式入侵檢測技術中存在的問題進行了深入的分析與研究，把研究重點放在若干關鍵問題上，包括多代理協(xié)作的分布式入侵檢測系統(tǒng)模型設計及入侵檢測分析引擎關鍵技術研究等。 本文的主要貢獻和創(chuàng)新點包括： (1)針對傳統(tǒng)的集中式和層次化入侵檢測系統(tǒng)在容錯性、可擴展性等方面存在的問題，本文提出一個基于多代理協(xié)作的分布式入侵檢測系統(tǒng)模型MACDIDS。該系統(tǒng)模型將整個網(wǎng)絡劃分成呈層次化結構的若干個域，域的入侵檢測工作分配到域中

3、各臺主機上進行；將系統(tǒng)管理和分布式入侵檢測任務交給域管理agent(DMA)來處理。同時在系統(tǒng)原型設計上引入了代理備份的安全機制，對于關鍵代理采用代理備份的安全機制進行備份，以此來抵御其可能遭受的攻擊，這些措施的實施使得MACDIDS具有良好的可擴展性和魯棒性，較好地解決了層次化入侵檢測系統(tǒng)所存在的單一點失效和處理能力瓶頸問題。 (2)研究了數(shù)據(jù)挖掘在入侵檢測領域中的應用，提出了基于擴張矩陣理論和遺傳算法的規(guī)則挖掘算法，將其用于

4、網(wǎng)絡連接檢測，并利用業(yè)界公認的MITLincolnLab的KDD99數(shù)據(jù)集對其進行評估。實驗結果表明，該算法具有較高檢出率和較低誤報率，比較適合于對入侵攻擊比較敏感同時也允許少量誤報的場合。 (3)針對誤用入侵檢測無法檢測未知攻擊的弱點，本文嘗試在人體免疫學研究的基礎上，借鑒其基因選擇、負選擇和克隆選擇等工作機制，結合J.Kim和S.Forrest等人的相關理論研究，提出一種基于免疫策略的未知攻擊探測模型，它可以擺脫已知脆弱性的

5、限制，能夠檢測出以前未曾出現(xiàn)過的新的攻擊方法，可作為上述基于擴張矩陣理論的規(guī)則挖掘算法的有益的補充。 (4)針對目前移動代理系統(tǒng)普遍存在的安全問題，提出了一種可行、實用的安全解決方案。在局部安全方面：利用Aglet和Java自身的安全機制來解決移動代理的權限問題：就移動代理在網(wǎng)間遷移的安全問題提出一種基于混合加密的移動代理安全傳輸模型HESTM。在整體安全方面，通過改變移動代理的任務執(zhí)行模式和改進密鑰管理機制等措施，使之具有較強