移动Agent技术是分布式技术和Agent技术相结合的产物，它除了具有智能Agent 的最基本特性：自主能力、社交能力、适应能力和一致主动性，还具有移动能力、可靠性和安全性。移动Agent不同于基于过程的RPC，也不同于面向对象的对象引用，其独特的对象传递思想和卓越的特性给分布式计算乃至开发系统带来了巨大的革新。移动Agent技术在实际中得到了广泛的应用，主要应用于电子商务、分布式信息检索、无线通信服务、入侵检测和网络管理等方面。本文仅讨论移动Agent技术在网络入侵检测方面的应用。

　　2.2  基于移动Agent的分布式入侵检测系统

　　该系统模型由如下3部分组成：（1）入侵检测处理部件（Intrusion Detection Processor，IDP）；(2) 移动Agent 平台（ Mobile Agent Platform，MAP）；(3) 网络溴探器（Sniffer）。系统模型如图2所示：

图2 移动Agent入侵检测系统结构图

　　入侵检测处理部件（Intrusion Detection Processor，IDP）：该部件是系统的基础，它被安装在一个关键的节点上，主要负责网络监控、中心入侵检测、Agent数据处理。网络中的审计数据由移动Agent送往中央处理部件进行包的解码和处理工作，IDP负责监控此Agent在网络中的移动，并且当发现异常活动时引导Agent定位关键节点，当检测到有问题包时，还负责发出报警信号。为了保证与移动Agent合适的交互作用，IDP需要与移动Agent平台交换数据和信息。该部件有3个主要的功能：包检测（packet sensing），包记载（packet logging），入侵检测。IDP提供的入侵检测服务主要有以下几种：

　　a.  监控网络流；

　　b.  集成由单个移动Agent发送来的相关数据，实现多点检测，处理来自网络内部的分布式攻击；

　　c.  通过扫描包来监控网络内部的连接；

　　d.  搜集在某时间窗口内攻击者行为的证据；

　　移动Agent 平台（ Mobile Agent Platform，MAP）：MAP可以建立、解释、执行、传输、和终止Agents。MAP主要负责接受来自IDP的请求，产生移动Agent，并且将它们发送到网络中去执行特定的任务（例如，开始监控，向IDP回送搜集到的数据等等）。

　　网络溴探器（Sniffer）：嗅探器是网络黑客(Cracker)经常采用的、有效的工具之一。所谓嗅探器，是指在运行以太网协议、TCP／1P协议、IPX协议或者其他协议的网络上，可以攫取网络信息流的软件或硬件。嗅探器不同于一般的键捕获工具，后者只能捕获当地终端控制台上的按键内容，而嗅探器所“嗅”到的是动态的以信息包形式(如IP数据包或者以太网包)封装的信息流．其中可能携带了重要数据或敏感信息。嗅探器可以捕获这些信息包并存档，利用相应工具可以作进一步分析。

　　 IDP、MAP、Sniffer之间的关系： 系统初启时，IDP启动自己的Sniffer并且向MAP发送一个‘START’请求。MAP接到来自IDP的请求后，建立Agent并将它们发往网络。此时，若一个Agent在行程中向IDP发送一个报告，引起一个报警，IDP将向该Agent发送一个消息使它再次激活Sniffer，并且试图搜集较多的有关当前攻击的证据用于研究攻击行为。 IDP将提示MAP建立一个新的Agent用于接管前Agent的任务，这样一来，网络中将有较多的活动Sniffers，以较快的速度响应报警。

　　系统中的Agent组成及功能：

　　在系统中，依据功能的不同我们将Agent分为以下两大类六种Agent^[3][4]：

　　1）静态Agent