但是正因为它的分层结构也导致了它自身的不安全性。表现在两个方面：

　　（1）在这种系统中，网络中有大量的数据传送将造成网络拥塞。

　　（2）由于分层结构使得IDS极易受到攻击。攻击者通过攻击内部节点有可能切断某一控制分支，甚至破坏整个IDS。

图1 层次架构的分布式入侵检测系统模型

　　移动Agent是一种软件对象，它能携带执行代码、数据和运行状态，在复杂的网络中自治的、有目的迁移，并能响应外部事件，在迁移过程中能保持状态的一致性。移动Agent就是一个能在异构网络中自主地从一台主机迁移到另一台主机，并可与其它Agent或资源交互的程序。

　　移动Agent技术是分布式技术和Agent技术相结合的产物，它除了具有智能Agent 的最基本特性：自主能力、社交能力、适应能力和一致主动性，还具有移动能力、可靠性和安全性。移动Agent不同于基于过程的RPC，也不同于面向对象的对象引用，其独特的对象传递思想和卓越的特性给分布式计算乃至开发系统带来了巨大的革新。移动Agent技术在实际中得到了广泛的应用，主要应用于电子商务、分布式信息检索、无线通信服务、入侵检测和网络管理等方面。本文仅讨论移动Agent技术在网络入侵检测方面的应用。

　　该系统模型由如下3部分组成：（1）入侵检测处理部件（Intrusion Detection Processor，IDP）；(2) 移动Agent 平台（ Mobile Agent Platform，MAP）；(3) 网络溴探器（Sniffer）。系统模型如图2所示：

图2 移动Agent入侵检测系统结构图

　　入侵检测处理部件（Intrusion Detection Processor，IDP）：该部件是系统的基础，它被安装在一个关键的节点上，主要负责网络监控、中心入侵检测、Agent数据处理。网络中的审计数据由移动Agent送往中央处理部件进行包的解码和处理工作，IDP负责监控此Agent在网络中的移动，并且当发现异常活动时引导Agent定位关键节点，当检测到有问题包时，还负责发出报警信号。为了保证与移动Agent合适的交互作用，IDP需要与移动Agent平台交换数据和信息。该部件有3个主要的功能：包检测（packet sensing），包记载（packet logging），入侵检测。IDP提供的入侵检测服务主要有以下几种：

　　a.  监控网络流；

　　b.  集成由单个移动Agent发送来的相关数据，实现多点检测，处理来自网络内部的分布式攻击；

　　c.  通过扫描包来监控网络内部的连接；

　　d.  搜集在某时间窗口内攻击者行为的证据；

　　移动Agent 平台（ Mobile Agent Platform，MAP）：MAP可以建立、解释、执行、传输、和终止Agents。MAP主要负责接受来自IDP的请求，产生移动Agent，并且将它们发送到网络中去执行特定的任务（例如，开始监控，向IDP回送搜集到的数据等等）。

　　网络溴探器（Sniffer）：嗅探器是网络黑客(Cracker)经常采用的、有效的工具之一。所谓嗅探器，是指在运行以太网协议、TCP／1P协议、IPX协议或者其他协议的网络上，可以攫取网络信息流的软件或硬件。嗅探器不同于一般的键捕获工具，后者只能捕获当地终端控制台上的按键内容，而嗅探器所“嗅”到的是动态的以信息包形式(如IP数据包或者以太网包)封装的信息流．其中可能携带了重要数据或敏感信息。嗅探器可以捕获这些信息包并存档，利用相应工具可以作进一步分析。