·主机监控Agent（Host Monitor Agent，HMA）  网络中每一台受监控的主机上都安装有一个HMA，负责与其它Agent合作完成局部检测。当某受控主机上的入侵可以确定时，该主机上的HMA 直接向管理Agent报告，否则向管理Agent发送求助信息同时记下可疑活动。当管理Agent收到求助请求后，它将派遣一个Agent到网络上其它节点巡视，搜集相关信息，确定是否不同主机上的可疑活动组合起来构成一个分布式入侵。如果检测到一个分布式入侵，管理Agent将发送一个响应Agent做出智能响应。

　　· 配置Agent（Configuration Agent） 每当主机上的一个用户请求连接时，该主机上的配置Agent即开始执行。它的功能就是提供用户接口以及其它移动Agent在本主机上执行的一些配置。

　　2）移动Agent（Mobile Agent）

　　·巡逻Agent（Patrol Agent） 它在网络中所有主机上巡逻，在巡逻到的主机上搜集连接到该主机上的用户信息或流量数据，并检测可疑的用户行为。当发现可疑行为时，它就向管理Agent发送求助信息。

　　·派遣Agent（Dispatch Agent） 一组含有能够鉴别某种类型入侵的智能Agent，它们由管理Agent派遣到有可疑行为的主机上，通过对比、协商来共同确定可疑行为是否为入侵，并将结果报告给管理Agent。

　　·响应Agent（Response Agent） 当出现入侵时，由管理Agent将其发送到被入侵主机上以取消非法用户连接和阻塞非法用户帐号的形式来防御入侵。

　　3、分布式入侵检测系统中使用移动Agent技术所存在的问题

　　将移动Agent技术应用于入侵检测可以带来诸多的优点^[4][5]：减少网络负载、克服网络拥塞、自治执行、与平台无关、动态自适应、静态自适应、可扩展等等。但是Agent和Agent平台的引入也带来了许多问题：

　　·安全性   一方面，外来的恶意移动Agent试图获取信息的访问权，延缓或终止移动Agent运行环境的工作，篡改或销毁信息资源；另一方面，恶意移动Agent环境试图通过篡改信息或修改移动Agent的编码来扰乱、干涉或终止移动Agent的正常工作；恶意移动Agent试图在与其它移动Agent协商中提供假信息或监视和干涉其他移动Agent的正常活动。

　　 这些安全威胁在很大程度上都不同于一般的分布式系统和传统的入侵检测系统所面临的安全威胁，因为它们很难被准确定位（上述第二种情况除外），要预防和消除此类安全威胁存在不少困难，主要原因有两个：移动Agent有时需要在安全区域外移动和独立工作，但在一个未知运行环境中运行很难保证此移动Agent的安全。其次，当移动Agent从一个运行环境中移动到另一个运行环境中执行时，接受运行环境无法判断此移动Agent是否已经被篡改，而移动Agent也无法判断此运行环境是否存在恶意的攻击。

　　·代码大小  入侵检测系统是一个复杂的软件系统，实现其功能的Agent代码会很大，在网络中传输Agent会消耗系统时间。

　　·性能  为保证在不同平台之间容易移植，Agent常常使用脚本语言或解释性语言编写代码。这种执行模式相比较使用非脚本语言和解释性语言（如java语言和C++语言）性能较低。特别地，当一个入侵检测系统必须处理大量具有较强实时要求的数据时，使用移动Agent会降低系统性能。

　　4、入侵检测未来发展趋势

　　 移动Agent技术可以有效地提高分布式入侵检测系统的灵活性和合作检测能力。它的主要特点是：代替传统的系统中将大量的数据移向处理部件，使用移动Agent只需将代码（Agent）移向要处理的数据，从而避免了在网络中传输大量的数据造成网络拥塞。特别地，由于移动性，使得系统可以借助相关数据分析合作检测找到分布式入侵。

　　 随着网络的不断发展，入侵检测系统作为一种网络安全系统的重要组成部分，仍然将发挥越来越重要的作用。预测它的发展趋势如下：