（译文 页数：5 字数：3788）基于移动代理的入侵检测

摘要：实现有效的入侵检测能力是一个困难的目标，不容易简单解决，特别是难以仅使用一种机制解决。但是我们认为移动代理技术能为实现入侵检测系统所要求的理想性能提供帮助。本论文讨论了移动代理在检测入侵行为并作出响应的多种方法。本论文不仅关注到移动性所能带来的好处，而且关注到软件代理普遍相关的利益。在探究这些好处后，我们概略说明一些移动代理技术在克服当前入侵检测系统设计与实现的寻址缺点的方法，并描绘了牵涉到的相关安全问题。我们还着眼于一些新的途径，以期望检测到入侵时能自动响应。本论文由Elsevier Science B.V.出版。

关键词：入侵检测，移动代理，计算机安全

目录

1. 背景
2. 目前入侵检测系统的缺点
3. 移动代理


1. 背景
入侵检测系统（IDS）被构思为一种专家系统，他能够在入侵检测行为被发现时通知系统管理员。这个观点由Anderson在1980年第一次提出[1]，但是一直没有被关注，直到1987年Denning发表了她的第一个入侵检测模型[9]。早期的入侵检测系统由单一主机收集并处理关键节点或几个邻近节点收集来的数据[21,27,28]。由于单一主机的监测不能检测到复杂的攻击行为，入侵检测系统的设计者后来开发了基于网络的入侵检测系统。这种系统从网络传输的数据包的滥用或者误用来检测入侵[13]。基于网络的入侵检测系统被认为是以主机为中心到以网络为中心的跳跃性发展。以网络为中心的方法解决了许多性能提高和完整性问题，也解决了关联问题[25]。
IDSs（入侵检测系统）的特点在于发现入侵行为。入侵行为可根据一种行为是否反常于系统或者用户正常行为来判断。计算机行为可以按输入击键、命令行描绘或者日常应用时间分类。当某个系统极限门槛之外的行为发生时，将产生告警。入侵行为还可以通过与已知入侵行为特征库对比匹配来发现。这是典型地基于规则差别的比较方法，规则词典即是入侵行为特征库。一个事件或事件序列对应于一个特征。