1.一種網絡安全防御系統，用于監控計算機網絡各個節點上的主機，以發現和防御網絡攻擊行為，其特征在于，該系統包括

管理模塊，負責管理、協調、控制被監控主機上的智能實體，生成帶檢測器的智能實體，在收到采集模塊的信號之后，派發智能實體到相應的主機中，所述智能實體是一類特殊的軟件模塊，具有獨立處理事務的功能，并且具有可遷移性，可以從一個網絡節點遷移到另一個網絡節點，智能實體產生之后，其工作過程是獨立的，與管理模塊無關，即就算管理服務器受到攻擊，也不會影響已經產生的在系統內的智能實體的工作，這些智能實體也可以通過克隆，將克隆出的智能實體移動到需要檢測的主機上進行檢測；

訓練模塊，用于提取數據庫中存儲的網絡攻擊模式，根據每個網絡攻擊模式進行訓練，從而創建相應的網絡攻擊模式的檢測器，同時還對檢測器進行總結、分類和合并，使得一個檢測器可以檢測多種攻擊模式，盡可能減少檢測器數量，所述數據庫是系統管理員根據已知的網絡攻擊模式建立的一個攻擊模式的訓練數據庫；

采集模塊，分布在計算機網絡中的各個節點上，負責對網絡數據包的截獲，以及對截獲的網絡數據包進行預處理，從采集到的數據信息中過濾出相關的信息，減小無用的信息入庫，并對采集到的數據進行編碼，將編碼后的數據提供給分析模塊進行分析；

分析模塊，由系統中運行的所有智能實體構成，負責對采集模塊所傳送的數據進行檢測分析，智能實體可以在主機間遷移，可以相互進行通信協作來完成對網絡攻擊的檢測，智能實體分為B-智能實體和M-智能實體，每個B-智能實體都有一個檢測器集合，該集合中的所有的檢測器均為通過訓練的成熟檢測器，B-智能實體對采集模塊所傳送的數據進行檢測分析，發現攻擊行為后及時向處理模塊發出處理請求，同樣，每個M-智能實體也都有一個檢測器集，該檢測器集中的檢測器均為通過訓練的記憶檢測器，也就是針對此前出現過的攻擊的檢測器，當采集模塊傳送數據后，若此時M-智能實體不為空，則由M-智能實體先進行檢測，若匹配不成功，再交由B-智能實體進行檢測；

處理模塊，負責處理發現的網絡攻擊行為或可疑網絡行為，在智能實體檢測到有網絡攻擊行為或者可疑網絡行為時，它們便會及時激活處理模塊，處理模塊會立即發出警報，并作出相應的處理；

主動模塊，負責控制智能主體產生新的可疑網絡行為檢測器，智能實體發現可疑的網絡行為時，將上報給主動模塊，在主動模塊的控制下，該智能實體將主動產生一個可以檢測該可疑網絡行為的新的檢測器，然后立即將該檢測器發送給其他網絡節點的智能實體，以幫助其他智能實體及時發現該網絡行為。

2.如權利要求1所述的網絡安全防御系統，其中采集模塊提取網絡數據的特征，包括基于會話的特征、基于時間的統計特征和基于連接的統計特征；對于離散的特征，采集模塊直接進行編碼，對于連續性特征，使用隸屬度函數對其進行離散化處理后再編碼。

3.如權利要求2所述的網絡安全防御系統，進一步包括：采集模塊采用三角形隸屬度函數對基于會話的特征duration進行模糊處理，duration表示的是連接持續的時間，分別采用降半階梯形和升半階梯形作為“很短”和“很長”的隸屬度函數，三角形隸屬度函數作為“較短”、“正常”和“較長”的隸屬度函數，以隨機變量x為函數自變量，各隸屬度函數公式如下：

其中，a=μ-4σ，b=μ-3σ，c=μ-2σ，d=μ+2σ，e=μ+3σ，f=μ+4σ，，μ和σ分別是在學習階段為系統提供的正常樣本集中該duration屬性的期望與標準差，隨機變量x是duration屬性值。

4.如權利要求2-3的網絡安全防御系統，其中使用“正常”、“懷疑”、“異常”三個模糊化概念來描述基于時間的統計變量。分別采用降半階梯形和升半階梯形作為“正常”和“異常”的隸屬度函數，三角形隸屬度函數作為“正常”的隸屬度函數，將值為“很短”、“較短”、“正常”的屬性認為是正常，若某屬性值為“較長”，則列入懷疑的范圍，若某屬性值為“很長”，則列入異常的范圍。