簡單介紹了動態取證系統(DFS)的基本概念，指出了目前的動態取證系統存在的不足。為了解決傳統動態取證系統中的不足，將移動Agent 引入動態取證系統。本文提出建立基于移動Agent 的自適應動態取證系統(MADFS)，該系統采用基于移動Agent 的分布式體系結構，且具有自適應性、分布性、自識別能力和擴展性等特點。
關鍵詞：移動Agent；自適應；犯罪；證據；動態取證
隨著計算機網絡的廣泛應用及以數字形式存在的信息的急劇增加，由于 OSI 模型及TCP/IP 協議的開放性、脆弱性和潛在的威脅，以網絡為犯罪目標和以網絡為犯罪手段相關的法庭案例呈現出驚人的增長趨勢。動態取證技術是近年來出現的新型網絡安全技術，目的是提供實時的動態取證及采取相應的防護手段，它以探測、控制和分析技術為本質，可以提供法庭需要的證據，它從主動防御的角度保護著網絡安全。人們在構建高效的動態取證系統方面進行大量深入研究，并取得了很大的成就，出現了很多動態取證系統的原型系統以及商業化的產品。但目前的動態取證系統仍然存在如下問題：
（1）自適應能力：目前的動態取證都是針對特定的犯罪入侵行為和特定的網絡環境，對于新的犯罪入侵方法和復雜多樣及不斷變化的環境必須不斷設計增加新的智能檢測取證模塊，當犯罪入侵者采用新的犯罪入侵方案時動態取證系統不能及時做出響應并提取證據。
（2）網絡瓶頸：目前的動態取證系統中央數據分析器是唯一的分析處，在分布式環境中，需要傳送的信息量巨大，會導致網絡阻塞；同時，所有數據都集中到一臺主機進行處理，分析主機將成為系統瓶頸。中央管理節點是一個單一的失效點，不適用于大型、復雜的和日益膨脹的網絡。
（3）伸縮性：目前的動態取證系統中分配的資源是一定的，這些資源不能根據實際情況的變化而相應的改變，既不能在犯罪攻擊大量發生時增加，也不能在系統處于相對安全的時期減少占用的有效資源。在高速網絡下，需要處理的審記數據和網絡數據大量增加，系統應具有可靠的伸縮性來收集和分析這些數據。
（4）決策機制：目前的動態取證系統不能根據對取證系統生成的取證報告的有效性的可信程度動態調整響應決策機制，也不能根據已使用過的各種不同的響應機制實際的成功率來進行調整，不能根據出現的誤警和漏報的歷史取證數據的反饋動態調整動態取證策略。