1.9.1. Agent mobile
Un agent mobile est défini dans [13]comme étant
un programme autonome qui peut se déplacer de son propre chef, de
machine en machine sur un réseau hétérogène dans le
but de détecter et de combattre les intrusions. Cet agent mobile doit
être capable de s'adapter à son environnement, de communiquer avec
d'autres agents, de se déplacer et de se protéger. Pour ce
dernier point, une des fonctions de l'agent doit être l'identification et
l'authentification pour donner l'emplacement et l'identité de celui qui
l'a lancé.
Il est également défini dans [14] comme
étant «une entité logicielle qui fonctionne de
manière continue et autonome dans un environnement particulier capable
d'effectuer des activités de manière flexible et intelligente qui
réagit bien aux changements d'environnement. Idéalement, un agent
fonctionnant continuellement serait capable de s'enrichir de ses
expériences. De plus, nous attendons d'un agent qu'il puisse cohabiter
avec d'autres dans un même environnement et accomplir ses tâches en
communicant et en coopérant avec eux, voir même effectuer cela en
se déplaçant sur différents postes ».
Le principal avantage de l'utilisation des agents mobiles est
la mobilité des ces derniers sous forme des entités
indépendantes. Ils peuvent être ajoutés ou retirés
d'un système sans altérer les autres composants et ils peuvent
être aussi testés seuls avant d'être introduits dans des
environnements plus complexes. En outre, ils peuvent faire partie d'un groupe
et fournir alors des fonctions simples mais qui peuvent être
échangées de façon à donner des résultats
plus complexes qu'ils ne pourraient pas obtenir seuls. Le fait qu'il n'y ait
pas de programme principal qui se sert des autres modules comme esclaves mais
plutôt la présence de plusieurs entités intelligentes qui
collaborent, fait que si une des entités s'arrête, le
système continue son fonctionnement.
Figure 11.I: Couche
physique d'un système de détection d'intrusions par des agents
mobiles.
1.9.2. Architecture du
système avec les agents mobiles
Cet exemple est donné dans [15] pour mettre en place
des systèmes de détection d'intrusions utilisant des agents
mobiles pour la collecte des données et leur analyse en employant une
structure hiérarchique. Celle-ci permet une grande souplesse par sa
faculté à s'adapter à la dimension du réseau.
La figure 6 montre un exemple simple d'IDS qui adhère
à l'architecture des agents mobiles pour les systèmes de
détection d'intrusions. Cette figure montre les trois composantes
essentielles de l'architecture : agents, transmetteurs et moniteurs (ou
contrôleurs).
Un système de détection d'intrusions basé
sur des agents mobiles peut être distribué sur un nombre
quelconque de stations au sein d'un réseau. Tous les agents d'une
station rapportent les résultats de leurs recherches à un ou
plusieurs transmetteurs. Ces transmetteurs surveillent les opérations
effectuées par tous les agents. Ils ont la capacité de lancer,
d'arrêter et d'envoyer des commandes de configuration à ces
agents. Ils peuvent également réaliser de la compression de
données à partir des informations reçues par les agents.
Finalement, ils rapportent leurs résultats à un ou plusieurs
moniteurs. Ces derniers surveillent les opérations de plusieurs
transmetteurs à la fois. Ils ont accès aux données du
réseau de manière étendue et de là ils sont
capables d'effectuer des corrélations de haut niveau et de
détecter des intrusions impliquant plusieurs machines. Ils peuvent
être organisés hiérarchiquement de telle sorte qu'ils
réfèrent eux-mêmes leurs activités à un
contrôleur supérieur.
Aussi, un transmetteur peut reporter ses activités
à plus d'un contrôleur pour fournir des informations redondantes
permettant de résister à une panne provenant de l'un d'entre eux.
Pour finir, un contrôleur est responsable de fournir des informations et
d'obtenir des commandes de contrôle à partir d'une interface
utilisateur.
Pour conclure cette section, si les agents mobiles
possèdent des avantages importants, les inconvénients qu'ils
engendrent ne sont pas négligeables. Cependant, l'approche par agents
mobiles semble pouvoir donner des résultats meilleurs que les autres
technologies et la recherche est en train de développer une nouvelle
architecture pour cette technologie.
| 
