入侵检测是系统安全防御体系中继防火墙之后又一项重要的安全技术,可以在系统入侵的全过程对系统进行实时检测与监控。入侵检测系统能在入侵危害发生前,检测到入侵攻击,并利用预警与防护系统驱逐入侵攻击;在入侵攻击过程中,能及时报警,并将入侵攻击造成的损失减至最小。在入侵攻击发生后,可以收集相关信息,作为入侵特征,加入知识库内,以避免系统再次受到入侵。但传统的入侵检测系统存在嗅探器与控制台的通信繁重、控制台失效而导致整个系统的瘫痪和发现入侵时响应滞后等诸多难以解决的问题。本文将智能体(Agent)技术应用到入侵检测系统中,并在此基础上提出了模式匹配和规则相结合的思想,主要完成以下内容:(1)搭建了基于多智能体(Multi-Agent)的网络入侵检测系统(Net Intrusion Detection System Based Multi-Agent ,NIDSMA)的新架构。系统采取Multi-Agent结构,充分利用Agent本身的独立性与自主性,尽量降低各检测部件间的相关性,避免了单个中心分析器带来的单点失效问题。各个数据采集部件、检测部件都是独立的单元,不仅实现了数据收集的分散化,而且将入侵检测和实时响应分散化,提高了系统的健壮性。(2)构建一种简单灵活、高效的规则描述语言,使NIDSMA的检测引擎能根据规则所描述的入侵特征迅速识别攻击事件,并做出相应的动作。(3)提出了一种改进的多模匹配算法(NPMS),并通过实验证明该检测算法在检测时间和效率上都比经典多模匹配算法AC_BM有了进一步的提高。