Agent技术在分布式入侵检测系统中的应用

将移动Agent技术应用于入侵检测可以带来诸多的优点[4][5]：减少网络负载、克服网络拥塞、自治执行、与平台无关、动态自适应、静态自适应、可扩展等等。但是Agent和Agent平台的引入也带来了许多问题：

安全性一方面，外来的恶意移动Agent试图获取信息的访问权，延缓或终止移动Agent运行环境的工作，篡改或销毁信息资源；另一方面，恶意移动Agent环境试图通过篡改信息或修改移动Agent的编码来扰乱、干涉或终止移动Agent的正常工作；恶意移动Agent试图在与其它移动Agent协商中提供假信息或监视和干涉其他移动Agent的正常活动。

这些安全威胁在很大程度上都不同于一般的分布式系统和传统的入侵检测系统所面临的安全威胁，因为它们很难被准确定位（上述第二种情况除外），要预防和消除此类安全威胁存在不少困难，主要原因有两个：移动Agent有时需要在安全区域外移动和独立工作，但在一个未知运行环境中运行很难保证此移动Agent的安全。其次，当移动Agent从一个运行环境中移动到另一个运行环境中执行时，接受运行环境无法判断此移动Agent是否已经被篡改，而移动Agent也无法判断此运行环境是否存在恶意的攻击。

代码大小入侵检测系统是一个复杂的软件系统，实现其功能的Agent代码会很大，在网络中传输Agent会消耗系统时间。

性能为保证在不同平台之间容易移植，Agent常常使用脚本语言或解释性语言编写代码。这种执行模式相比较使用非脚本语言和解释性语言（如java语言和C++语言）性能较低。特别地，当一个入侵检测系统必须处理大量具有较强实时要求的数据时，使用移动Agent会降低系统性能。

4、入侵检测未来发展趋势

移动Agent技术可以有效地提高分布式入侵检测系统的灵活性和合作检测能力。它的主要特点是：代替传统的系统中将大量的数据移向处理部件，使用移动Agent只需将代码（Agent）移向要处理的数据，从而避免了在网络中传输大量的数据造成网络拥塞。特别地，由于移动性，使得系统可以借助相关数据分析合作检测找到分布式入侵。

随着网络的不断发展，入侵检测系统作为一种网络安全系统的重要组成部分，仍然将发挥越来越重要的作用。预测它的发展趋势如下：

（1）检测模型走向自适应。自适应模型结合了自学习系统的优点和特征系统的检测效率，这种混合模型已经被学术界公认为发展特点；

（2）大规模分布式入侵检测技术研究。其中的关键技术为检测信息的协同处理与入侵攻击的全局信息提取；

（3）面向应用的入侵检测。由于应用程序解释的各种不同类型的数据（如加密过的数据），它们的语义只有在应用层才能理解，若想能够分析并理解这些数据，入侵检测系统必须面向应用层。现在已经有了如何进行应用程序级入侵检测的初步分析。可以预见，应用层的入侵检测将成为新一代的入侵检测系统的特色。这样，入侵检测系统就成为一个以主机为中心，以网络为扩展面，以应用程序为高度的立体式的、全面的复杂系统；

（4）入侵检测系统应该标准化，增强入侵检测系统的互操作性。目前，入侵检测系统的研究基本上没有标准化，入侵检测系统之间与其它安全产品之间的互操作性很差。多个系统的相互配合有利于应对攻击规模的扩大化，也有助于检测一些新型的入侵攻击方式；

（5）安全性需要增强。作为安全防护体系中的重要组成部分，入侵检测系统必须加强本身的安全性。