Сергей Гриняев 
Системы обнаружения вторжений и 
реагирования на компьютерные 
инциденты на основе мобильных 
программ-агентов 
Аналитический доклад 
Москва – 2005 

Центр стратегических оценок и прогнозов www.csef.ru 
2 
Содержание 
1. 
Введение в проблему ...........................................................................................................4 
2. 
Технология мобильных агентов ........................................................................................5 
3. 
Основные работы.................................................................................................................7 
3.1. 
Самонастраивающиеся агенты для обнаружения вторжения ......................................7 
3.2. 
Hummingbird...................................................................................................................8 
3.3. 
Агенты Java для метообучения......................................................................................8 
3.4. 
Интеллектуальные агенты для обнаружения вторжения .............................................9 
3.5. 
Программа исследования перспективных телекоммуникаций и распределения 
информации ...............................................................................................................................9 
3.6. 
Система обнаружения вторжения на основе агентов .................................................10 
4. 
Требования к системе обнаружения вторжений............................................................10 
4.1. 
Функциональные требования ......................................................................................11 
4.2. 
Требования к функционированию...............................................................................13 
5. 
Мобильные агенты для обнаружения вторжения.........................................................14 
5.1. 
Преимущества ..............................................................................................................14 
5.2. 
Преодоление задержки в сети......................................................................................14 
5.3. 
Сокращение загрузки сети...........................................................................................15 
5.4. 
Асинхронное выполнение и автономность.................................................................16 
5.5. 
Структура и состав.......................................................................................................16 
5.6. 
Динамическая адаптация .............................................................................................17 
5.7. 
Функционирование в гетерогенных средах ................................................................17 
5.8. 
Устойчивое и отказоустойчивое поведение................................................................18 
5.9. 
Масштабируемость ......................................................................................................19 
6. 
Недостатки..........................................................................................................................20 
6.1. 
Защита ..........................................................................................................................20 
6.2. 
Производительность ....................................................................................................21 
6.3. 
Размер кода...................................................................................................................22 
6.4. 
Недостаток априорного знания ...................................................................................22 
6.5. 
Ограничения изученности многоагентной технологии.............................................22 
6.6. 
Трудности программирования и внедрения................................................................23 
7. 
Новшества в системах обнаружения вторжения ...........................................................23 
8. 
Полезные свойства многоагентных систем....................................................................24 
9. 
Области исследования.......................................................................................................25 
9.1. 
Многоточечное обнаружение ......................................................................................26 
9.2. 
Структуры, устойчивые к нападению .........................................................................27 
9.3. 
Обобщенные интерфейсы............................................................................................27 
9.4. 
Совместное использование знаний .............................................................................28