![](https://csdnimg.cn/release/download_crawler_static/87956380/bg6.jpg)
数据监视入侵活动的思想。这被公认为是 IDS 最初的理论基础。
从 1984 年 到 1986 年 , 斯坦 福 研 究 所 的 Dorothy E. Denning 和 Peter
Neumann 研 制 出 了 一 个 实 时 入 侵 检 测 系 统 模 型 , 取 名 为 IDES(Intrusion
Detection Expert System,入侵检测专家系统)。它具有以下的特点,独立的特
定系统平台、应用环境、系统弱点以及入侵类型,为构建 IDS 提供了一个通用的
框架,后来在 1988 年,Teresa Lunt 等人改进了该入侵检测模型,并开发出了该
检测系统。该系统包括异常检测器和专家系统,分别用于统计异常模型的建立和
基于规则的特征分析检测。
1988 年 11 月莫里斯蠕虫事件发生之后,军方、学术界和企业对网络安全高
度重视,这促使了人们投入更多的资金和精力去研发 IDS。
现在,入侵检测技术的研究正朝智能化和分布式两个方向前进。对入侵检测
的研究,从早期的审计跟踪数据分析,到实时入侵检测系统,到目前应用于大规
模网络的分布式入侵检测系统,基本上已发展成具有一定规模和相应理论的研究
领域。
1.3 本文主要内容
入侵检测至今已发展了 20 余年,在这过程中出现了数百种基于不同的技术
和环境的入侵检测系统,但大多数都具有误报和漏报率高,灵活性有限,可移植
性差等缺陷,本文针对这些缺陷,在移动代理(Mobile 代理)技术和多系统互操
作性的通用入侵检测模型基础上,提出了具有伸缩性的、重用性的、适应性好的
基于移动代理的分布式入侵检测模型,并加以了实现。在一定程度上降低了误报
和漏报率,并解决了移植性和灵活性差等问题,使网络检测和效率有所提高。
本文除了该章外,还有以下主要内容。第二章概述入侵检测和移动代理技术,
主要包括入侵检测的概念和分类,以及移动代理的定义和功能。第三章在现有的
移动代理和入侵检测工具基础上,分析对比各自的优缺点后,提出面向移动代理
的分布式入侵检测系统模型。第四章是系统的具体设计与实现,分析了该模型的
一些问题,如移动代理和入侵检测的选材和实现等,并加以实现。第五章对本文
作了全面的总结。
2 入侵检测和移动代理技术
2.1 入侵检测技术
2.1.1 入侵检测概述
入侵是指任何试图危及计算机资源的完整性、机密性或可用性的行为,而入
侵检测是对入侵行为的发觉,它通过从计算机网络或系统中的若干关键点收集信
息,并对这些信息进行分析,从而判断是否有违反安全策略的行为和遭到攻击的