基于移动代理的分布式 入侵检测系统

任新华

　　基于移动代理的分布式入侵检测系统是目前校园网中的一个有意义的研究课题。

　　什么是入侵检测(Intrusion Detection）？就是通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称IDS）。

　　理想入侵检测系统的功能主要有：监视分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻击行为，对异常行为进行统计，自动地收集和系统相关的补丁，进行审计跟踪识别违反安全法规的行为，使用诱骗服务器记录黑客行为等。

　　入侵检测系统根据检测的数据来源可以分为，基于主机的入侵检测系统（Host-based IDS）和基于网络的入侵检测系统（Network-based IDS）。

　　根据检测使用的分析方法可以分为异常入侵检测型（Abnormal Detection）和误用入侵检测型（Misuse Detection）。

　　根据IDS的体系结构可以分为集中式入侵检测系统（Centralized Intrusion Detection System，简称CIDS）和分布式入侵检测系统（Distributed Intrusion Detection System，简称DIDS）。

　　移动代理（Mobile Agent）技术

　　移动代理是指能在同构或异构网络主机之间自主地进行迁移的有名字的程序。
程序能自主地决定什么时候迁移到什么地方。它能在程序运行的任一点挂起，然后迁移到另一台主机上，并接着这一点继续往下执行。

　　移动代理应用于DIDS，可以实现主机间的动态迁移，从而改变传统的将数据传送给程序（计算）的方式，改将程序（计算）传送给数据；此外，还能具有智能性、平台无关性、分布的灵活性、低网络数据流量、协作性等优点。

　　研究基于移动代理的分布式入侵检测系统在理论和实践上都具有深刻的意义。它可以基于现有的成熟的入侵检测技术，结合移动Agent技术应用于入侵检测系统的优势，设计一种基于移动代理的分布式入侵检测系统模型；并在基于Java的移动代理平台IBMAglets上，构建实验监测系统，完成对一些典型的入侵攻击的检测。