1 引 言     移动代理(mobile agent，ma)是指能在同构或者异构网络主机之间自主地进行迁移的有名字的程序。ma是agent的一种，除了具有一般agent的特性外，还具有移动性，可在一定控制机制下，携带自身状态，信息和代码等在网络中转移到另一个环境中去，并在该环境中恢复执行。ma应用于dids，可以实现主机间的动态迁移，从而改变传统的将数据传给程序的方式，改将程序传给数据。     入侵是指任何企图破坏资源的完整性、保密性和有效性的行为，也指违背系统安全策略的任何事件。入侵行为不仅仅指来自外部的攻击，同时也包括内部用户的未授权行为，有时内部人员滥用他们特权的攻击是系统安全的最大隐患。入侵检测是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时作出响应。入侵检测系统(intrusion detection sys-tem，ids)是实现入侵检测功能的一系列的软件、硬件的组合，他是入侵检测的具体实现。     目前，入侵检测技术存在以下的问题：误报警率高；自适应性差；自动反应程度不高；智能化程度不高。另外，随着黑客入侵手段的提高，尤其是分布式攻击方法的出现，传统单一的、缺乏合作的入侵检测系统已经不能满足要求，分布协同的分布式入侵检测系统(distributed instrusion detection system，dids)成了当今入侵检测领域的研究重点。     2 基于ma的dids模型的提出     本文提出的基于ma的dids借鉴了美国普度大学设计的aafid系统原型。在dids中引入移动代理技术将大大减少系统的通信负载，并且能够检测到新的或未知形式的攻击。他使用mlsi(mark left by suspected in-truder)来表示由可疑的入侵者留下的踪迹，并且通过观察可能与入侵有关的事件而不是所有用户活动来实现检测。如果发现了mlsi，那么将收集与mlsi有关的信息，分析这些信息并且决定是否发生了入侵。在许多传统的ids中，每个目标系统都将他的系统日志传送给入侵检测服务器，由服务器分析整个系统日志，判断是否发生了入侵。这种方法在如今的客户／服务器(c／s)架构的网络环境下已经无法有效地工作了，因为在一个部署有ids的大网络中网络通信量将是极大的，日常传输的系统日志的通信量也是非常惊人，但这些数据中绝大多数与入侵无关。因此，在大网络中，这类入侵检测系统的执行效率很低，浪费了大量的系统资源。而移动agent将自动迁移，收集只与入侵有关的信息，这样就不再需要把系统日志传输给服务器，极大地提高了工作效率。系统结构如图1所示。     这种基于ma的dids模型可以分布在网络中任意数目的主机上，在一台主机上可以运行任意数目的功能agent，功能agent是相互独立运行的实体，他们的运行和删除不会影响其他agent的运行，功能agent负责ids的数据采集和数据分析功能，把他们所发现的事件和相关的数据发送给收发器agent。每台主机上只有一个收发器agent在工作，收发器agent管理本机上所有功能agent的运行情况包括运行、停止和传递配置命令给功能agent，并且负责将自身汇总的数据报告给一个或多个控制台agent。每个控制台agent管理着多个收发器agent的运行，控制台agent可以使用跟踪agent来使多个收发器agent协同工作完成分布式入侵检测任务，控制台agent可以看到整个网络范围的数据，因此他可以进行高层次的相关性检查，进而检测到与多台主机相关的入侵。控制台agent可以按照层次方式进行组织，即有些控制台agent会向上一级的控制台agent进行汇报或一个收发器agent向多个控制台agent汇报，这样可以提供数据冗余，降低单点故障出现的可能性。但无论层次如何划分，最终必须有一个控制台agent与用户界面交互，提供信息给使用者(也就是系统的管理员)。     3 ma在dids中的应用及其关键技术     基于agent的ids可以将agent植入到目标系统，数据的收集、检测以及入侵的响应都可以在目标系统中完成，不再需要把检测数据发到数据收集中心进行处理，改变传统的将数据传给程序的方式，改将程序传给数据，大大提高了入侵检测的实时性，而且避免了网络通信过载的问题，从而提高了系统的工作效率。     由于agent是独立的功能实体，在一多代理系统中，单个的agent能够增加到系统中去或从系统中删除，并且能够对某个agent进行重新配置，而不会影响到系统的其他部分，从而可以通过添加新的agent或添加新的检测规则来发现新的入侵行为，这就较好地解决了常规入侵检测系统的缺陷。虽然ma技术已经广泛用于dids的检测中，但仍然存在一些关键问题，需要得到更好的解决。不过相信随着移动代理技术的