本發(fā)明為一種父實(shí)體選擇通信機(jī)制入侵檢測(cè)方法,包括以下步驟:主機(jī)子實(shí)體通過(guò)主機(jī)父實(shí)體表判斷主機(jī)是否存在合適父實(shí)體;若判斷結(jié)果為是,則所述主機(jī)子實(shí)體與合適父實(shí)體建立連接關(guān)系;若判斷結(jié)果為否,則所述主機(jī)子實(shí)體向網(wǎng)絡(luò)發(fā)送廣播信息;主機(jī)外父實(shí)體接收到所述廣播信息后回饋信息到所述主機(jī)子實(shí)體;主機(jī)子實(shí)體分析所述回饋信息,根據(jù)分析結(jié)果更新主機(jī)父實(shí)體表并與主機(jī)外合適父實(shí)體建立連接關(guān)系,已建立連接關(guān)系父實(shí)體檢測(cè)所述數(shù)據(jù)包是否存在入侵行為。本發(fā)明還提供了一種基于移動(dòng)代理機(jī)制的父實(shí)體選擇通信機(jī)制入侵檢測(cè)裝置及系統(tǒng)。本發(fā)明可以減少IDS系統(tǒng)誤報(bào)率和漏報(bào)率,有效解決網(wǎng)絡(luò)“單點(diǎn)失效”問(wèn)題,同時(shí)有效提高各代理之間的數(shù)據(jù)共享。