摘要：分析当前分布式入侵检测系统中存在的一般性缺陷，在此基础上，研究了移动智能体在入侵检测系统中的可用性。提出一种具有网络拓扑结构感应能力和行为自主性的、基于移动智能体的分布式入侵检测系统模型，能有效保证网络系统的安全。

关键词：移动智能体 分布式入侵检测系统 智能体传输协议

入侵检测技术ids（intrusion detection system）是一种主动保护目标网络或目标主机免受网络攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。

由于单个入侵检测系统检测能力和检测范围的限制，入侵检测系统一般采用分布监视集中管理的结构，多个检测单元运行于网络的各个网段或系统中，通过远程管理功能在一台控制中心上实现统一管理和监控。

仅仅依靠分布式监管，仍有以下问题：（1）系统的可伸展性受限制：单一的控制中心基数据处理能力无法适应网络规模的迅速扩张和网络速度的大幅提高；（2）中心处理主机具有单点失效性，导致整个系统的受到攻击时不能正常工作；（3）缺乏灵活性：增加新的功能模块需要对整个系统重新配置或安装。

因此，本文提出基于移动智能体技术的分布式入侵检测系统mabdids（mobile agent based distributed intrusion detection system），在保证agent自身安全前提下，采用智能体传输协议atp（agent transfer protocol），实现移动策略，agent可以自由地在主机和网络间穿梭，构建灵活、稳定的可伸展性入侵检测系统。

图1

1 分布式ids及移动智能体技术

1．1 分布式ids

在网络拓扑中，入侵监测系统处于防火墙之后，对网络活动进行实时检测、记录和禁止。图1是入侵检测系统在网络拓扑中的位置。防火墙将内部网络与外部网络隔开，起物理隔离的作用；在入侵检测系统通过执行以下任务，实现对内、外网络数据流的监控：（1）监视、分析用户及系统活动；（2）系统构造和弱点的审计；（3）识别反映及已知进攻的活动模式并向相关人士报警；（4）异常行为模式的统计分析；（5）评估重要系统和数据文件的完整性；（6）操作系统的审计跟踪管理，并识别用户违反完全策略的行为。

1．2 一般分布式ids的缺陷

一般的分布式入侵检测系统通常是由许多分布在信息系统各处的数据采集模块和一个处理能力很强的中心处理模块组成。它主要有两方面的缺陷：一是随着网络带宽的增加，中心处理模块计算能力的要求也越来越高，一旦中心处理模块失效，整个系统就会瘫痪；二是这样入侵检测系统本身的通讯量很大，占用过多的网络带宽。

1．3 移动智能体

智能体是包含程序代码及状态、代表用户自主执行任务的软件。基于面向对象与分布式人工智能相融合的面向智能体技术能够实现先进的应用软件系统。作为系统计算单元或模型构造单元的agent以层次结构形成各种粒度的组件，组件再按需求导向和事件驱动的过程进行智能化集成，在agent技术平台及其环境设施支持下，形成运行中的软件实体。

移动智能体的服务设施由智能体传输协议层、服务层和接口层三个逻辑层组成。智能体传输协议层是与现有网络通信协议的接口；服务层为智能体建立运行环境和安全保护机制，协调和监视智能体的运行；接口层为智能体与各主机、其他智能体之间的通信提供了底层的界面。

1．4 移动智能体与分布式ids

移动智能体具有如下几个特征，可以很好地应用于分布式ids：

（1）自主性和智能性：由于ma可以自由地在主机之间迁移，使得ma的运行场所不再局限于网络中的某一个特定位置，从而比较容易获得与网络安全相关的全面和有针对性的数据。

（2）减轻网络负载：ma能够离开其产生的平台，独立地生存和执行其功能，在驻留地对数据进行分析，避免了一般ids必须将数据从叶子节点传输到中间节点和根节点