基于网络移动代理技术的入侵检测系统的分析研究

　　摘要：计算机和网络技术已经走进了我们日常的生活，网络给我们带来了巨大的便利，同时也带来了负面影响。本文通过对移动代理技术与入侵检测系统相结合两个方面进行分析，帮助专业人员了解新的入侵检测系统的性能，对于开发研究新的网络安全监测系统具有重要的意义。

　　关键字：移动代理技术；入侵检测；系统；分析研究

　　计算机和网络技术已经走进了我们日常的生活，包括工作、娱乐、社区、交通和通信，都需要依赖计算机和网络。网络给我们带来了巨大的便利，同时也由于我们过分的依赖于网络，我们也越来越感觉到网络带来的负面影响。信息网络必须要有足够的安全措施，才能确保网络信息的保密性、完整性和安全性。

　　一、移动代理系统的分类

　　（一）移动代理环境（MAE）

　　移动代理运行环境可以提供安全，正确的运行环境，实现移动代理的移动、执行状态的建立、启动、实施的约束机制、容错策略、安全控制、通信机制，并提供基本服务模块。它一般建立在操作系统之上，为MA提供运行的环境。MA只能存活在MAE中的软件实体。

　　（二）移动代理

　　移动代理的移动就是从一个移动代理运行环境移动到另一个移动代理运行环境。一般而言，移动代理要具有如下的特征：

　　1.代理模型。代理模型主要代理的是智能部分的内部结构，它包括有一些特性，如代理的自治、学习、协调、写作、反应和预动等特性。当然，从研究人员的角度出发，他们关心的还是代理移动的框架，所以我们现在关注的还主要是和代理的自治性有关的情况。

　　2.计算模型。计算模型是从运行方式考虑，如MA是编译运行还是解释运行，是通过线程方式还是以进程方式生存于运行环境中等。所以说它决定代理是以通信还是以移动的方式来完成任务，从而达到最佳的运行效果。

　　3.安全模型。它本身是一个开放的系统，MAE既有可能接受不信任的移动代理，也有可能到不信任的MAE中去执行，因此，就要从安全性方面去考虑。移动代理的安全模型主要是用于如何保证代理的完整性，防止它携带的数据泄露，代理和服务器的相互验证以及代理的授权和服务器的资源存取控制策略等。

　　4.通信模型。它存在于分布式应用中，主要用于用户、静态代理、其他移动代理、其他移动代理系统甚至是其他非移动代理系统等实体。为了实现它特定的功能，就需要具备与这些实体通信的能力，特别是需要具有协商、协作、解决问题的能力，促进代理间的通信手段必须方便灵活，这是通信模型所必须解决的。

　　5.迁移模型。他解决的的主要是代理如何移动的问题，从三个方面来说：一是代理要移动是怎样刮起代理、俘获代理的运行状态并把代码及有关数据打包；二是以什么方式把代码传送到目的地；三是如何让接受代理并恢复代理的运行。

　　除此之外，还有命名和定位模型、服务定位模型等特征。例如，移动代理系统会产生很多不同的主机，他们的目的往往都是不同的，所以就需要有命名和定位，从而保证代理名字的唯一和方便查找等功能。还有需要满足服务的手段，当本地服务不能满足时，需要及时提供所需的服务站点，便于前往该地提供良好的服务等。从这些方面，我们就能发现移动代理系统有很多优越性，值得我们研究和分析。

　　二、将移动代理与入侵检测结合的原因

　　基于Agent的分布式入侵检测系统可将多种入侵检测分别装载在不同的Agent中，并动态地让这些Agent分布到整个网络上，通过这些Agent的交互、协作完成对网络内外入侵检测。Agent是独立运行的实体，能够在不改变系统别的组件的情况下进行增减。另外，Agent可以在引入更复杂环境之前进行独立测试，Agent也可以与其他Agent协作，通过交换信息，帮助提供更复杂的检测结果，Agent可相互独立地启动和停止，减少检测系统的单点失效。具体而言，基于Agent的入侵检测系统可以获得如下优点。

　　1.独立性，它是个可以独立运行的实体程序，自己进行开发和调试。把它放入具体的环境中，可以进行独立测试。

　　2.灵活性，在操作中可以独立启动和停止，也可以进行动态配置，不会影响其他方面的正常运行。即使要收集新数据或检测新类型的入侵，也可以对原Agent进行重新配置或增加新Agent来实现。

　　3.可扩充性，在操作简单的基础上，它可以作为检测实体独立运行，同时也可以放入分布式的环境中作为一个零部件帮助协作检测，这也是它非常明显的一个优点。

　　4.错误扩散小，从整体上说，该软件系统本身的错误不会影响其它方面的运行。如果系统某个方面出现问题或者受到损坏，它仅仅会影响相关的检测部分失效，并且快速的检测到它的状态，并作出相应处理，使危害面限制到最小化。

　　5.数据来源不受限制，因为它本身具有独立性，不受其他方面的影响，所以系统可以选择不同的数据源。通过不同的数据源来选择相应的形式，这也是它非常明显的一个优点。

　　6.兼容性，它不同于传统的入侵检测模型，它既有主机的Agent，又有基于网络的Agent。在入侵检测的过程中，检测方法上不受限制，所以具有非常强的兼容性，只要是有效的入侵检测方法都可以加入到模型中来。

　　此外，还有它的协作性和语言特征也是其很大的优点。虽然在操作上它比其他软件系统更加简便，但是通过彼此协作，它可以进行更加复杂的入侵检测。因为它的独立性，他可以自行开发和调试，在不同的平台上使用不同的编程语言开发，更值得关注的是，只要遵循统一的通讯协议和通信格式，它们之间就可以进行通信协作。

　　结语

　　在未来的生活中，我们会遇到很多网络入侵攻击的情况，网络安全也成为严重的隐患，所以我们要更加关注保护网络使用者安全装置的软件系统中来，用更为精巧的控制技术和攻击同步化技术来帮助使用者防御网络入侵攻击。作为计算机专业的研究人员，我们不仅要明确网络带来生活便利的同时也带来了安全的隐患。因此研究高效的网络安全防护和检测技术，帮助专业人员了解新的入侵检测系统的性能，对于开发研究新的网络安全监测系统具有重要的意义。

　　参考文献：

　　[1]熊伟.入侵检测系统的研究与实现[D]武汉：武汉科技大学，2006

　　[2]韩东海，王超，李群.入侵检测系统及实例剖析[M].北京：清华大学出版社，2002

　　[3]曹元大，入侵检测技术[M].北京：人民邮电出版社，2007.

　　卢秋华