对代理(Agent)技术的研究源于人工智能领域。代理是一种软件实体,它具有一定的自主性、灵活性和智能性,能够在特定的环境下执行特定的任务。代理可以是静态的,也可以是移动的。静态代理(Stationary Agent)驻于某一固定的位置或某一固定的平台,而移动代理(Mobile Agent)可以从某一个位置移动到另一个位置,或从一种平台移动到另一种平台,移动之后仍能执行该移动代理具备的功能。GNQ黑色海岸线网络安全资讯站
代理技术具备不少优点, 比如可以自主完成特定的功能,具备一定的智能等,特别是移动代理,可以就地分析、处理问题,进行响应,这恰好符合入侵检测系统快速检测和响应的要求。代理和移动代理技术的特点和优点,正好可以弥补现有入侵检测系统的一些缺点和不足。因此,近几年研究人员将代理技术引入到入侵检测系统中,陆续开展了此方面的研究。GNQ黑色海岸线网络安全资讯站
在入侵检测系统中使用代理可以完成数据采集、数据预处理、数据分析等功能,用移动代理可以实时就地处理数据和突发事件,减少系统内部通信量,对入侵进行响应和追踪等。具体说来,使用移动代理有如下优点:GNQ黑色海岸线网络安全资讯站
(1)移动代理可以自主执行,动态适应 GNQ黑色海岸线网络安全资讯站
移动代理具备一定的自主性和智能性,它提供一种灵活多样的运型机制,使得自身可以比较“聪明”地适应所处的环境,对环境的变化做出反应,比如移动代理可以移动到负载较重的地方.协助处理数据以实现负载的平衡 同时移动代理也可以方便地被系统中负责管理移动代理的协调模块进行克隆、分派、挂起、回收(或杀死)。GNQ黑色海岸线网络安全资讯站
(2)使用移动代理可以减轻网络负载和减少网络延时,减少系统内部通信量由于移动代理可以移动到事发地进行现场处理,因此使用移动代理可以有效减轻和平衡网络负载,有利于提高网络的使用效率.减小网络延时。需要在网络中传输的数据少了.系统内部的通信量也就减少了。 GNQ黑色海岸线网络安全资讯站
(3)移动代理可以运行于多种平台之上,或说代理的运行是与平台无关的由于移动代理可以从一种平台移动到另一种平台,移动后仍能正常运行,因此移动代理的运行是与平台无关的: 移动代理的这种性能对于系统及时采取响应很有好处,因为人侵和对入侵的响应随处都可能存在和发生.GNQ黑色海岸线网络安全资讯站
(4)使用移动代理可以实时就地采取响应措施这是移动代理最大的优点和潜力 由于入侵是不可预知的,而响应又需要及时作出,再加之移动代理可以跨平台运行,因此采用移动代理对于加强和完善大规模分布式入侵检测系统的响应机制很有帮助。使用移动代理可以从攻击的目标主机进行响应,从发动攻击的源主机进行响应,可以及时切断源主机和目标主机的连接。另外,使用移动代理还可以实现对入侵者的追踪一GNQ黑色海岸线网络安全资讯站
(5)移动代理的使用有利于大规模分布式入侵检测系统的分布式结构和模块化设计的实现由于移动代理具备的特点,使得可以把一个大规模分布式入侵检测系统根据功能进行模块化,比如有的代理或移动代理专门负责数据采集,有的只负责检测一种或少数的几种入侵等 这种模块化的设计使得我们可以比较容易地实现大规模分布式入侵检测系统的分布式结构.使得系统有比较好的扩展性使用移动代理技术,也会带来一些新问题,最突出的就是安全问题:移动代理的安全问题可以分为四类:代理到代理、代理到平台、平台到代理和其它外部实体到平台。移动代理的自主性和可移动性增加了系统对移动代理识别和管理的难度,攻击者可能会冒充某一合法的移动代理,或修改某一个移动代理,使其成为攻击者可操纵的工具。