摘要：在分析了入侵检测系统的基本状况和移动代理的特点后，指出了目前入侵检测系统存在的不足，提出了基于移动代理的分布入侵检测模型（madids）。在这个入侵检测系统中，引入了移动代理技术，使入侵检测系统能够跨平台使用；将基于主机和基于网络的检测结合起来，配置多个检测部件处理，各检测部件代理侧重某一方面的工作；并且将所有配置信息存放在数据库中，实现了数据和处理的分离、数据收集、入侵检测和实时响应的分布化。

关键词：入侵检测 分布式 移动代理

随着计算机技术尤其是网络技术的发展，计算机系统已经从独立的主机发展到复杂的、互连的开放式的系统，这给人们在信息利用和资源共享上带来了无与伦比的便利。与此同时，人们又面临着由于入侵而引发的一系列的安全问题的困扰。传统的安全防御策略（如访问控制机制、加密技术、防火墙技术等均属于静态的安全防御技术）在某种程度上无法满足越来越苛记得的安全需求。正是由于静态的安全技术本自身存在着不可克服的缺点，从而引出了入侵检测这一安全领域的新课题的诞生。入侵检测是动态安全技术的最核心技术之一，是防火墙的合理补充，是安全防御体系的一个重要组成部分。

1 入侵检测系统概述

1．1 入侵及入侵检测（intrusion detection）

入侵是指任何企图破坏资源的完整性、保密性和有效性的行为，也指违背系统安全策略的任何事件。入侵行为不仅仅指来自外部的攻击，同时也包括内部用户的未授权行为，有时内部人员滥用他们特权的攻击是系统安全的最大隐患。

入侵检测是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时作出响应。入侵检测系统（ids：intrusion detection system）是实现入侵检测功能的一系列的软件、硬件的组合，它是入侵检测的具体实现。入侵检测系统就其最基本的形式来讲，可以说是一个分类器，它是根据系统的安全策略来对收集到的事件/状态信息进行分类处理，从而判断出入侵和非入侵行为。

1．2 入侵检测系统的分类

按获得原始数据的方法，入侵检测系统可分为基于网络的入侵检测系统和基于主机的入侵检测系统两种。

通常，基于主机的ids可监测系统、事件和window nt下的安全记录以及unix环境下的系统记录。当有文件发生变化时，ids将新的记录条目与攻击标记相比较，看其是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。

基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的ids通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。

1．3 现有入侵检测系统的不足

（1）入侵检测系统不能很好的检测所有的数据包。基于网络的入侵检测系统难以跟上网络速度的发展。截获网络的每一个数据包，并分析匹配是否具有某种攻击的特征、需要花费时间系统资源。现在很多网络都是100m甚至千兆网络，网络速度的发展远远超过了数据包模式分析技术发展的速度。

（2）攻击特征库的更新不及时，绝大多数的入侵检测系统都是适用模式匹配的分析方法，这需要攻击特征库的特征值应该是最新的。但现在很多入侵检测系统没有提供某种如“推技术”的方法来时刻更新攻击特征。在如今每天都有新漏洞发布、每天都有新的攻击方法产生的情况下显然不能满足安全需求。

（3）检测分析方法单一。攻击方法的越来越复杂，单一的基于模式匹配或统计的分析方法已经难以发现某一些攻击。现在几乎所有的入侵检测系统都使用了单一的分析方法。

（4）不同的入侵检测系统之间不能互操作。在大型网络中，网络不同的部分可能使用了不同的入侵检测系统，但现在的入侵检测系统之间不能够交换信息，使得发现了攻击时难以找到攻击的源头，甚至给入侵者制造了攻击的漏洞。

（5）不能和其他网络安全产品互