基于智能代理技术的分布式IDS及自治代理的引入为什么可以改善IDS?

目前现存的入侵检测系统体系结构所具有的局限性主要体现在：

1)中心分析器往往存在成为单点故障的可能。

2)扩展性限制。在一个中心主机上处理所有的信息，限制了所能监视的网络的扩展。而且随着网络的扩展，网上的通信数据加大，可能给分布式数据收集带来困难。

3)不易于对IDS进行更新配置和增加配置功能。为了使配置生效，IDS需要重起。

4)网络数据分析可能出错。由于网络数据的收集是在不同于目的主机的主机上进行的，这样使得攻击者可以采用插入和逃避(Insertion and Evasion)攻击手段来攻击系统。这种攻击利用不同主机的网络协议栈不一致性，隐藏入侵者或造成拒绝服务。

自治代理是指在主机上执行特定安全监视任务的软件代理。其自治性主要体现在它们是独立运行的实体，它们的执行只与操作系统的调度有关，而与其他进程无关。尽管自治代理之间可能需要进行数据通信，但仍认为它是自治的。自治代理可以执行简单的任务，也可执行复杂任务。

自治代理的引入可以改善IDS，利用自治代理来做IDS的数据采集及数据分析部件，可以克服上面所说的局限性：

1)如果自治代理不正常工作，且自治代理是完全独立运行的，产生的后果是该代理自己的数据丢失，不影响其他代理;如果自治代理产生的数据要给其他代理用，产生的后果是阻碍了该代理所在的代理组的正常工作。无论哪种情况，对系统的损害都最多限于一组代理。如果合理组织代理组，使之真正独立，则大大降低了单点故障出现的可能。

2)将代理组织成分层结构，减少了数据的交换和传输，从而使系统具有可扩展性。

3)启动和终止一个相互独立的代理，不需启动整个系统而重新配置IDS。当要增加新的配置时只需启动相关的代理，而不需启动其他正在运行的代理。

4)如果代理只收集与它所运行主机的相关信息，就不存在网络协议栈不一致的问题，因而也减少了遭受插入和逃避攻击的可能。