羅 新， 王會林， 朱映輝

（韓山師范學(xué)院數(shù)學(xué)與信息技術(shù)系，廣東潮州 521041）

0 引言

移動Agent本質(zhì)上是實現(xiàn)某種功能的代碼塊，它最大的特點就是移動性，即它可以在不同主機間進行遷移。相對于 RPC（Remote Procedure Call），移動Agent可以把在一臺主機上的當(dāng)前執(zhí)行狀態(tài)保存下來，到了新的主機后再把狀態(tài)恢復(fù)，從而可以方便地完成一些需要在不同主機間連續(xù)作業(yè)的任務(wù)。另外，它還具有一定的智能，具有自主性，能夠根據(jù)外界的信息控制自己的決策。與傳統(tǒng)的 C/S模式相比，移動Agent具有無需與服務(wù)器端建立持續(xù)連接，能夠以一種離線的方式在不同的客戶端進行任務(wù)處理，同時又具有自主遷移特點。另外，Agent之間有專門的通信機制，所以它們具有協(xié)同工作的能力。由于移動Agent技術(shù)本身具有的特點，它在很多方面得到了應(yīng)用［1-3］，如分布式信息檢索，并行任務(wù)，電子商務(wù)等。

具體應(yīng)用時，為了節(jié)省開發(fā)時間，通常會使用一些第三方提供的移動Agent開發(fā)及運行平臺，包括基于java語言的Aglets、JADE等，基于 C/C++的Mobile-C等，用戶只需按照自己的應(yīng)用需求，編寫各種功能的Agent，然后在應(yīng)用環(huán)境中的各個主機中安裝移動Agent的運行平臺，就可以利用移動 Agent的各種功能。

1 移動Agent應(yīng)用于機房安全檢測的可行性

目前高校的公共機房［4-8］由于向?qū)W生開放，為了保證系統(tǒng)的穩(wěn)定性，一般都會在電腦上安裝基于硬件或軟件的還原系統(tǒng)［9-10］。通常還原模式是每次啟動還原，即電腦重啟后，系統(tǒng)就會恢復(fù)到一個還原點，用戶新增加的數(shù)據(jù)全部丟失。對于從網(wǎng)絡(luò)或U盤感染的大部分木馬或病毒，每次重啟后，系統(tǒng)可以恢復(fù)到正常狀態(tài)。但是，目前已經(jīng)出現(xiàn)過多種可以突破保護系統(tǒng)的保護機制的病毒，如幾年前的熊貓燒香病毒等，這些病毒基本上都具有蠕蟲病毒的特征，即只要有一臺機器被感染，機房的其它的機器也不能幸免。通常情況下，這些病毒還會自動從網(wǎng)上下載大量的木馬程序存貯在硬盤上，并進行轉(zhuǎn)儲。最終造成機器性能低下，或者是網(wǎng)絡(luò)癱瘓，嚴(yán)重影響了機房的正常使用。

對于公共機房的電腦，本身有還原系統(tǒng)，能抵御大部分的病毒入侵。另外，通常公共機房電腦的硬件配置不會太高，運行占用大量系統(tǒng)資源的安全防范軟件效果也不好。所以可以從另一種實時防范及檢測的角度進行解決，對機房電腦的文件系統(tǒng)及機房網(wǎng)絡(luò)狀況等進行監(jiān)控，就可以獲知還原系統(tǒng)是否被破壞，是否運行著惡意的進程以及網(wǎng)絡(luò)中是否存在惡意的攻擊行為等。機房管理員在獲知這些信息后，就可以采取相應(yīng)的解決措施，從而確保機房電腦處于良好使用狀態(tài)。

將Agent技術(shù)應(yīng)用于機房安全檢測［11-12］，具有下面幾個優(yōu)點：① 移動Agent天生具有分布式計算的特性，可以把各種安全檢測及處理功能的代碼模塊以移動Agent的形式派遣到各個主機上，然后執(zhí)行相應(yīng)的任務(wù)。在這個過程中，工作Agent與擔(dān)當(dāng)主控服務(wù)器角色的Agent不會一直進行通信，只有當(dāng)需要數(shù)據(jù)交換時，才會以消息（message）的形式進行。公共機房的機器數(shù)量一般都很大，如果能夠以移動Agent的技術(shù)對各臺機器進行檢測，對服務(wù)器的性能及網(wǎng)絡(luò)性能都不會造成太大的影響。② 移動Agent可以較好解決安全檢測功能模塊的升級問題。機房安全檢測可以涉及到多個方面，開發(fā)人員應(yīng)不斷開發(fā)新的功能模塊。這些新模塊以工作Agent形式，發(fā)送到各個主機上完成特定的任務(wù)，所以不存在功能更新模塊在被檢測主機上進行安裝的必要性。③ 多個移動Agent之間的協(xié)作性。移動Agent技術(shù)提供了Agent間的協(xié)作機制，以消息或本體知識形式進行交流。這個特性應(yīng)用于機房安全檢測可以用來提高安全檢測的準(zhǔn)確度，一個工作Agent在檢測一臺主機時候，如果遇到一些不確定的情況，就可以與其他Agent進行交流，從而為自己的判斷決策提供參照。對于一些網(wǎng)絡(luò)蠕蟲類病毒，Agent間的協(xié)作性能大幅提高檢測的準(zhǔn)確度。

2 系統(tǒng)的設(shè)計

系統(tǒng)由多Agent構(gòu)成，包括擔(dān)當(dāng)主控端角色的Agent以及完成各種檢測功能，在主機間移動或駐留的任務(wù)Agent。每個Agent的生存都必須依賴運行在主機上的Agent平臺，所以必須先在每臺主機上安裝Agent平臺，并永久轉(zhuǎn)儲起來。Agent平臺可使用第三方開發(fā)的開源或商業(yè)軟件，Agent應(yīng)用程序開發(fā)人員主要關(guān)注Agent的功能、調(diào)度及協(xié)作的設(shè)計與實現(xiàn)。系統(tǒng)的架構(gòu)圖如圖1所示。

圖1 系統(tǒng)架構(gòu)圖

在系統(tǒng)的架構(gòu)圖上，實線表示移動Agent的遷移方向，虛線表示 Agent間的通信。如圖所示，移動Agent由服務(wù)器上主控Agent控制生成，然后可以遷移到各個機房電腦。遷移的方向可以按照一定的線路，依次訪問線路上的每臺主機;也可以并發(fā)的方式，同時向每一臺主機發(fā)送一個移運Agent，由于服務(wù)器與機房電腦的連接網(wǎng)絡(luò)是全連通的，所以主控端Agent可以直接訪問每一臺主機。從Agent間的通信線路看，包括了移動Agent與主控Agent，移動Agent與主機上的靜態(tài)Agent，以及移動Agent間的三種通信。第一種通信主要是傳遞控制信息或匯總處理結(jié)果，第二種通信是移動Agent與靜態(tài)Agent間相互功能調(diào)用或信息交換，第三種通信主要實現(xiàn)移動Agent間的協(xié)作。

機房安全檢測系統(tǒng)的主要實現(xiàn)思路如下：把各種安全檢測功能模塊編寫成Agent，然后由服務(wù)器上運行的主控Agent負(fù)責(zé)調(diào)度生成各個檢測Agent，再派遣到機房內(nèi)的各個主機上執(zhí)行相應(yīng)的任務(wù)。主控端Agent根據(jù)機房網(wǎng)絡(luò)及電腦的使用狀況，選擇合適的時間及合適的Agent個數(shù)派遣到主機上執(zhí)行檢測掃描任務(wù)。移動Agent的遷移路線既可按照主控Agent安排的路線，也可根據(jù)自身對網(wǎng)絡(luò)環(huán)境及主機環(huán)境實際狀況的感知，自主選擇下一個遷移目的地。移動Agent在處理安全測試任務(wù)時，如果遇到無法確定的狀況，可以跟主控Agent或其他移動Agent進行通信，從而請求主控Agent派遣特定功能Agent到來處理或者與其他移動Agent對相同狀況的處理方法進行協(xié)商。靜態(tài)Agent作為常駐主機的Agent，主要提供如系統(tǒng)信息收集等固定功能，這些信息可供移動Agent使用。

具有安全檢測功能的Agent可以不斷開發(fā)出來并加入本系統(tǒng)。根據(jù)公共機房電腦安裝有還原系統(tǒng)這個特點，檢測范圍包括：還原系統(tǒng)是否被破壞，這個可以通過檢測機房電腦系統(tǒng)文件夾下的文件個數(shù)，文件大小，文件最后修改日期等信息是否與歷史記錄信息相符來進行判斷;系統(tǒng)運行狀態(tài)的監(jiān)測，包括運行進程列表，內(nèi)存及CPU等系統(tǒng)資源的使用情況;主機網(wǎng)絡(luò)狀態(tài)的監(jiān)測，包括進出數(shù)據(jù)包的速率，內(nèi)外連接的數(shù)目，各種類型的數(shù)據(jù)包統(tǒng)計，主機開放端口個數(shù)等信息。

3 系統(tǒng)實現(xiàn)與實驗分析

機房安全檢測系統(tǒng)采用JADE［13］作為Agent的運行平臺。JADE（Java Agent Development Framework）是由意大利電信于1998年依照FIPA（The Foundation for Intelligent Physical Agents）規(guī)格開發(fā)而成，并于2000年開放源代碼。它是一個由Java語言實現(xiàn)的軟件平臺，提供了獨立于具體應(yīng)用的基本中間件功能，并設(shè)計出了軟件Agent的各種抽象功能，從而可以簡化基于Agent的分布式應(yīng)用程序的開發(fā)過程。JADE提供了Agent賴以生存的運行時環(huán)境，開發(fā)Agent應(yīng)用的運行時庫，以及一系列圖形化界面的工具，以幫助用戶管理和監(jiān)控Agent的運行狀態(tài)。

系統(tǒng)開發(fā)工具是 Eclipse+JDK1.6+JADE4.1類庫。管理服務(wù)器及被檢測機房電腦的操作系統(tǒng)均為Windows XP，在服務(wù)器及機房電腦都預(yù)先安裝JADE運行平臺。在服務(wù)器上以主容器（Main-Container）的形式啟動平臺，在被檢測機器上則以輔助容器（Secondary-Container）的形式啟動并向主容器進行注冊。為了能區(qū)分各個輔助容器所對應(yīng)的被檢測機器，必須給容器定義一個標(biāo)識符，可采用機器的主機名作為標(biāo)識符。例如，假設(shè)一臺被檢測電腦的主機名為A1，而主容器所在的主機名為A2，則在啟用平臺時可采用如下命令行：java jade.Boot-container-containername A1-host A2。

主控端的界面分為三部分，分別為系統(tǒng)參數(shù)設(shè)置，掃描設(shè)置，掃描結(jié)果顯示。系統(tǒng)參數(shù)設(shè)置主要包括被檢測電腦的基準(zhǔn)狀態(tài)的獲取，如果想監(jiān)測機房電腦的還原系統(tǒng)是否遭到破壞，就必須先把電腦在某一時間的正常狀態(tài)獲取并保存下來，以后需要檢測時就根據(jù)這個基準(zhǔn)文件進行判斷;還需要定義一個網(wǎng)絡(luò)安全規(guī)則文件，里面定義了一些安全規(guī)則，例如充許的端口號，一定時間內(nèi)最大連接數(shù)，某種類型的數(shù)據(jù)包個數(shù)等，移動Agent在進行網(wǎng)絡(luò)安全檢測時，根據(jù)這些規(guī)則文件進行判斷，如果發(fā)現(xiàn)違反規(guī)則的現(xiàn)象，則向主控端發(fā)送報警信息。掃描設(shè)置主要對需要進行安全掃描的主機進行選擇，另外對派遣Agent的個數(shù)進行設(shè)置，如果Agent個數(shù)小于被掃描主機數(shù)，系統(tǒng)會自動為每個Agent生成一個掃描主機列表，此時，Agent以一種串行的方式對列表中的主機進行掃描。最后可以對安全掃描的類型進行選擇;掃描結(jié)果顯示功能模塊給出了出現(xiàn)安全問題的主機列表及詳細的信息。主控端界面如圖2所示。

圖2 主控端界面

被檢測端可以運行一些實現(xiàn)監(jiān)測系統(tǒng)狀態(tài)功能的Agent，它們是長駐在一臺機器上的，所以稱為靜態(tài)Agent，例如對網(wǎng)絡(luò)進行抓包及統(tǒng)計的 Agent。移動Agent的主要作用包括攜帶安全基準(zhǔn)文件與靜態(tài)Agent進行交互，以及當(dāng)出現(xiàn)新功能的安全檢測模塊時，可以遷移到被檢測機器上運行。另外，由于Java對操作系統(tǒng)底層功能調(diào)用不強，如果需要獲取一些系統(tǒng)屬性，可以采用JNI（Java Native Interface）的形式進行調(diào)用。可以用其它高級語言把一些功能模塊編譯成DLL文件，然后由Java進行調(diào)用。

模擬測試采用10臺及30臺機器分兩批次進行。主要進行還原功能是否破壞檢測，以及機器ARP病毒檢測。還原功能檢測模擬比較容易，只需要在幾臺機器中的系統(tǒng)目錄下新建幾個文件，或者對文件的內(nèi)容進行修改，或者運行一個新的進程。實驗表明，主控端均能收到了相應(yīng)主機發(fā)來的報警信息，表明還原檢測功能是有效的;ARP病毒［14-15］的檢測實驗是由VC++編寫的一段代碼模擬ARP攻擊，具體思路就是在一臺攻擊的機器上向其他主機發(fā)送的虛假的ARP數(shù)據(jù)包，這些數(shù)據(jù)包的源IP地址是局域網(wǎng)內(nèi)主機的真實IP地址，但是源MAC地址已經(jīng)被替換成攻擊機器的MAC地址。這些虛假的ARP數(shù)據(jù)包會更改被攻擊機器的ARP表，從而使被攻擊機器間通信都要指向發(fā)起攻擊的機器。攻擊造成的后果包括局域網(wǎng)機器上網(wǎng)斷線，數(shù)據(jù)被篡改等。網(wǎng)絡(luò)狀況監(jiān)測Agent進行判斷的條件就是一臺主機在一定時間內(nèi)發(fā)出/接收到的具有相同源MAC地址的ARP數(shù)據(jù)包個數(shù)是否超過一個閥值，如果滿足條件說明就可能是該主機在發(fā)起或受到ARP攻擊。另外，為了提高檢測的準(zhǔn)確率，運行于各臺主機的檢測Agent可以通過消息發(fā)起協(xié)商，對結(jié)果進行統(tǒng)計，最后得出判斷，通過消息告之主控端。實驗結(jié)果表明，通過運行模擬ARP攻擊代碼，運行10臺及30臺機器兩批次的實驗都可以檢測到ARP攻擊，運行30臺機器的得到的報警信息的時間稍長，這應(yīng)該與Agent間的協(xié)商所花時間更長有關(guān)。最后，對系統(tǒng)的可擴展性能進行測試，判斷的依據(jù)就對系統(tǒng)資源的占用情況進行比較，在10臺及30被檢測機的條件下，在一定時間間隔內(nèi)，主控端程序占用的平均CPU使用率及內(nèi)存大小的差值都在2%之內(nèi)，這也證明了在基于Agent分布式的工作模式下，主要的計算是分布在各個主機上的，說明系統(tǒng)的可擴展性良好。

4 結(jié)語

針對公共實驗機房使用過程中遇到安全問題，提出基于Agent的解決方案，并開發(fā)出一個原型系統(tǒng)，實驗結(jié)果表明初步實現(xiàn)了安全檢測的效果，但是機房面臨的安全威脅是多種多樣的，如何利用多Agent系統(tǒng)的協(xié)同性，智能性，使之對未知的安全威脅也具有檢測能力;另外，將系統(tǒng)部署到于大規(guī)模的實際應(yīng)用環(huán)境中，必須對通信及檢測速度進行改善，這都是下一步的努力的方向。

（References）：

［1］ 歐立勇，杜樹新.基于多智能體的公共檢測資源協(xié)調(diào)方法［J］.浙江大學(xué)學(xué)報（工學(xué)版），2010，44（1）：81-86.

［2］ 張 發(fā)，趙巧霞.基于多Agent的交通流仿真平臺［J］.計算機工程，2010，36（1）：9-11.

［3］ 張 衡，陳 超，曾 磊.P2P網(wǎng)絡(luò)中移動agent的搜索資源分配研究［J］.西南師范大學(xué)學(xué)報（自然科學(xué)版），2010，35（1）：164-167.

［4］ 徐 寧，邊 津.高校計算機機房的病毒防護［J］.實驗室科學(xué)，2007（4）：168-169.

［5］ 許克勤.公共網(wǎng)絡(luò)機房病毒的綜合防治［J］.嘉興學(xué)院學(xué)報，2008，20（3）：71-74.

［6］ 李 明，李祥和.局域網(wǎng)通信中的安全問題及解決方案［J］.微計算機信息，2006，22（23）：17-19.

［7］ 鄒修明，張岳新.高校計算機實驗室安全管理探討［J］.現(xiàn)代電子技術(shù)，2001（12）：12-14.

［8］ 屈艷華，高振波，韓 坤.計算機房網(wǎng)絡(luò)系統(tǒng)安全與管理［J］.實驗室科學(xué)，2007（4）：170-171.

［9］ 張景龍，張春生，實驗室網(wǎng)絡(luò)還原系統(tǒng)軟件的研究［J］.內(nèi)蒙古民族大學(xué)學(xué)報（自然科學(xué)版），2011，26（6）：661-662.

［10］ 杜厚祥，計算機公共機房軟件系統(tǒng)備份與還原［J］.實驗科學(xué)與技術(shù)，2010（10）：70-73.

［11］ 湯方澄，楊小虎.基于智能Agent的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的研究［J］.計算機工程，2002（12）：63-65.

［12］ 胡麗娜，須文波.一個基于移動Agent的分布式入侵檢測系統(tǒng)模型［J］.微計算機信息，2006（21）：139-141.

［13］ Fabio Bellifemine， Developing Multi-Agent Systems with JADE［M］.Wiley，2007.

［14］ 王思思，楊 仝.ARP病毒攻擊模擬與防范措施［J］.計算機仿真，2010（3）：119-122.

［15］ 蘇 威.計算機輔助工程中心安全管理及局域網(wǎng)ARP病毒防治［J］.實驗技術(shù)與管理，2009，26（3）：246-250.