随着计算机网络的快速发展和广泛应用,网络安全问题日益严重,因而入侵追踪技术成为当前网络与信息安全领域的一个研究热点。因特网的构架和规模给入侵追踪造成了极大的困难,通常的入侵追踪系统结构庞大,执行效率较低。为了解决以上问题,分布式的、采用移动Agent技术的、能够将各种网络安全设备集成起来的体系结构将成为入侵追踪技术的发展方向。本文采用了移动Agent技术,提出了利用Snort网络入侵检测系统和IBM的Aglet移动代理平台对分布式攻击和跳板攻击进行追踪的方法,建立了基于移动Agent的分布式入侵追踪系统模型。根据该模型设计了系统基本框架并实现了系统原型。文中通过设计一系列移动代理实现系统的主要功能。首先,系统使用基于Snort的网络封包截获机制捕获攻击数据包,对数据包进行协议分析和特征匹配,提取出适于追踪的特征信息。然后,信息收集代理对追踪特征信息以及攻击数据包的分析得到攻击地址信息。之后,在中间设备上运行追踪代理完成攻击链路的关联。最后,分析代理通过有效结合ACID技术,建立基于Web的入侵事件数据库分析控制台,提供强大的搜索功能,以帮助网管人员进行分析。本文实现的系统原型采用Java语言作为主要的开发语言,IBM的移动Aglet平台作为移动代理的运行环境。因此,本系统具有安全性强、移植性好和效率高的优点。随着ATP技术和Java即时编译技术的发展,系统的性能还将得到进一步的改善。