◆胡 韻

?

基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型的研究

◆胡 韻1,2

（1.西藏民族大學(xué)信息工程學(xué)院 陜西 712082;2.西藏光信息處理與可視化技術(shù)重點(diǎn)實(shí)驗(yàn)室 陜西 712082）

針對(duì)現(xiàn)今網(wǎng)絡(luò)安全體系分散式結(jié)構(gòu)的種種弊端，分析得出只有使用網(wǎng)絡(luò)安全管理技術(shù)才能將網(wǎng)絡(luò)體系中各種安全技術(shù)和產(chǎn)品統(tǒng)一管理和協(xié)調(diào)起來，從整體上提高整個(gè)網(wǎng)絡(luò)的防御入侵能力和減輕管理員的工作負(fù)荷。為了將網(wǎng)絡(luò)安全管理技術(shù)具體化，引入了具有自治和移動(dòng)等功能特性的移動(dòng)Agent，將其作為實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的重要智能工具，設(shè)計(jì)了基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型，該模型在不改變?cè)芯W(wǎng)絡(luò)拓?fù)涞幕A(chǔ)上，利用移動(dòng)Agent的自治和移動(dòng)的能力，實(shí)現(xiàn)任務(wù)的智能化處理，在實(shí)現(xiàn)全局統(tǒng)一管理的基礎(chǔ)上，有效減少了傳輸開銷，減輕了管理負(fù)荷。

網(wǎng)絡(luò)安全；移動(dòng)Agent；網(wǎng)絡(luò)安全管理；統(tǒng)一

0 引言

現(xiàn)如今，隨著網(wǎng)絡(luò)技術(shù)及應(yīng)用日新月異的發(fā)展，如今的網(wǎng)絡(luò)正逐漸應(yīng)用于人類正常生活工作的方方面面，成為一個(gè)面向大眾的開放性系統(tǒng)。網(wǎng)絡(luò)的各個(gè)方面的發(fā)展逐漸復(fù)雜和多變，其中對(duì)于網(wǎng)絡(luò)的安全性問題更是逐漸凸現(xiàn)出來。

本文將在深入剖析現(xiàn)如今網(wǎng)絡(luò)安全體系現(xiàn)狀的基礎(chǔ)上，介紹一種新型的網(wǎng)絡(luò)安全管理技術(shù)——基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型（Network Security Management Model Based on Mobile Agent,NSMM-MA），以期提高網(wǎng)絡(luò)系統(tǒng)中的統(tǒng)一性、自治性和靈活性。本文第1章將簡(jiǎn)單總結(jié)和分析現(xiàn)今網(wǎng)絡(luò)安全體系的情況，第2章簡(jiǎn)單介紹網(wǎng)絡(luò)安全管理技術(shù)相關(guān)知識(shí)，第3章介紹移動(dòng)Agent相關(guān)概念和功能特點(diǎn)等，第4章介紹基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型，最后對(duì)該模型進(jìn)行分析和總結(jié)，提出優(yōu)勢(shì)和不足，以期更進(jìn)一步的改進(jìn)與研究。

1 網(wǎng)絡(luò)安全體系現(xiàn)狀

為了解決或預(yù)防各式安全攻擊和漏洞，現(xiàn)今的網(wǎng)絡(luò)安全體系是由眾多異構(gòu)且彼此獨(dú)立的安全產(chǎn)品和技術(shù)堆積而成的。各類安全組織和廠家設(shè)計(jì)和生產(chǎn)出各類網(wǎng)絡(luò)安全準(zhǔn)則、技術(shù)和產(chǎn)品，如病毒檢測(cè)防范、入侵檢測(cè)、防火墻等，以期對(duì)網(wǎng)絡(luò)體系提供不同的安全防護(hù)。但是,現(xiàn)有的產(chǎn)品功能互不補(bǔ)充，可擴(kuò)展性較差,并且性質(zhì)比不高。

由此可以看出目前網(wǎng)絡(luò)安全體系這種分散異構(gòu)難以管理的結(jié)構(gòu)是以往解決網(wǎng)絡(luò)安全問題的方式的造成的，每當(dāng)出現(xiàn)某種類型的網(wǎng)絡(luò)安全問題，會(huì)單獨(dú)設(shè)計(jì)針對(duì)此類問題的安全技術(shù)或者產(chǎn)品，各類安全技術(shù)和產(chǎn)品各司其職，缺乏交互性和連通性，這樣自然不能獲得準(zhǔn)確的全局視圖，整個(gè)網(wǎng)絡(luò)安全體系的發(fā)展缺乏長(zhǎng)遠(yuǎn)規(guī)劃和建設(shè)0。這樣一旦出現(xiàn)大范圍或復(fù)雜的網(wǎng)絡(luò)攻擊時(shí)，這樣缺乏聯(lián)動(dòng)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，必然十分脆弱。

此外，隨著網(wǎng)絡(luò)規(guī)模的增大和對(duì)安全要求的日益加強(qiáng)，網(wǎng)絡(luò)管理員不僅要會(huì)對(duì)不同廠家、不同類型的網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行分別配置、調(diào)試和管理，還要能夠從眾多的網(wǎng)絡(luò)安全設(shè)備的安全日志信息中獲得綜合的網(wǎng)絡(luò)安全信息進(jìn)行網(wǎng)絡(luò)的統(tǒng)一管理，加大了工作量，提高了工作難度。

2 網(wǎng)絡(luò)安全管理技術(shù)介紹

針對(duì)上述各種網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品構(gòu)成的復(fù)雜網(wǎng)絡(luò)安全體系，迫切需要一種能夠針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用體系中各個(gè)方面的安全技術(shù)和產(chǎn)品進(jìn)行統(tǒng)一的管理、協(xié)調(diào)，進(jìn)而從整體上提高整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的防御入侵，抵抗攻擊能力的體系，因此一種新的技術(shù)就應(yīng)運(yùn)而生——網(wǎng)絡(luò)安全管理技術(shù)。

網(wǎng)絡(luò)安全管理是一種綜合型技術(shù),需要來自信息安全、網(wǎng)絡(luò)管理、人工智能等多個(gè)領(lǐng)域研究成果的支持。其目標(biāo)是充分利用以上領(lǐng)域的技術(shù),解決計(jì)算機(jī)應(yīng)用體系中各種安全技術(shù)和產(chǎn)品的統(tǒng)一管理和協(xié)調(diào)問題,從整體上提高整個(gè)網(wǎng)絡(luò)的防御入侵、抵抗攻擊的能力,保持系統(tǒng)及服務(wù)的完整性、可靠性和可用性。

網(wǎng)絡(luò)安全管理系統(tǒng)的體系結(jié)構(gòu)是近年來的研究熱點(diǎn)。該技術(shù)不僅能夠通過智能分析和自動(dòng)響應(yīng),將管理者從海量的報(bào)警數(shù)據(jù)和繁重的安全管理任務(wù)之中解放出來,而且能夠輔助制定和執(zhí)行安全決策,通過產(chǎn)品聯(lián)動(dòng)提高整體安全防護(hù)能力。因此,在日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境和嚴(yán)峻的安全形勢(shì)下,它是解決眾多棘手問題的有效手段。

3 移動(dòng)Agent介紹

3.1移動(dòng)Agent概念介紹

Agent源于人工智能領(lǐng)域，能在一定程度上模擬人類的行為和關(guān)系，其是處在某種環(huán)境下的計(jì)算機(jī)系統(tǒng)，該系統(tǒng)有能力在這個(gè)環(huán)境中靈活的、自主的行動(dòng)以實(shí)現(xiàn)其目標(biāo)。隨著技術(shù)的發(fā)展，Agent的特性越來越多，出現(xiàn)了能夠自由移動(dòng)并完成某特定功能的Agent，稱之為移動(dòng)Agent（Mobile Agent）。

移動(dòng)Agent是能在同構(gòu)或異構(gòu)網(wǎng)絡(luò)中自主遷移的程序，可以將其簡(jiǎn)明地定義為：包含所規(guī)定功能的代碼、數(shù)據(jù)以及執(zhí)行語境的軟件包，它可以在執(zhí)行過程中，有目的、自治地在網(wǎng)絡(luò)中移動(dòng)，從一個(gè)節(jié)點(diǎn)遷移到另一個(gè)節(jié)點(diǎn)繼續(xù)運(yùn)行，利用分布資源的局部交換而完成分布任務(wù)的軟件實(shí)體。在移動(dòng)Agent模式中,在網(wǎng)絡(luò)的一端A擁有服務(wù)所需要的代碼,但所需要的資源在B端,A能夠?qū)⒋a及中間狀態(tài)結(jié)果等一起發(fā)送至B,再利用B上的資源繼續(xù)執(zhí)行。移動(dòng)Agent思想的提出,使得Agent技術(shù)具有了動(dòng)態(tài)性和分布計(jì)算的特點(diǎn),進(jìn)一步擴(kuò)展了Agent處理事務(wù)的功能。

3.2 移動(dòng)Agent特性

移動(dòng)Agent的特性是在秉承Agent的特性的基礎(chǔ)上增加了移動(dòng)性。

（1）自治性：Agent可在無人或其他Agent直接干涉的情況下運(yùn)行，并且對(duì)自己的行為和內(nèi)部狀態(tài)有自控能力。

（2）社會(huì)性：Agent與其他Agent通過某種Agent語言進(jìn)行信息交流。

（3）反映性：Agent能理解周圍的環(huán)境，并對(duì)環(huán)境的變化做出實(shí)時(shí)反應(yīng)。

（4）能動(dòng)性：Agent不僅能夠?qū)λ幁h(huán)境做出反應(yīng)，也能通過接受某些信息，表現(xiàn)出有目標(biāo)的行為。

（5）移動(dòng)性：Agent可在信息網(wǎng)絡(luò)上自主地從一個(gè)地方遷移到另一個(gè)地方。

Agent移動(dòng)的目的就是使程序的執(zhí)行盡可能靠近目標(biāo)主機(jī)的數(shù)據(jù)源，有效地降低網(wǎng)絡(luò)通信開銷，加快任務(wù)執(zhí)行，從而提高分布式系統(tǒng)的處理效率。

3.3 移動(dòng)Agent體系結(jié)構(gòu)

移動(dòng)Agent體系結(jié)構(gòu)可以定義為相互關(guān)聯(lián)的模塊的集合，包括：安全管理、環(huán)境交互模塊（通信）、任務(wù)求解模塊、知識(shí)庫、內(nèi)部狀態(tài)集、約束條件和路由策略，各模塊之間交互關(guān)系如圖1所示。整個(gè)體系結(jié)構(gòu)中最外層為安全管理模塊，實(shí)現(xiàn)與外部環(huán)境的溝通并判斷外部環(huán)境是否非法訪問本Agent。通過環(huán)境交互模塊感知環(huán)境并利用交互語言實(shí)現(xiàn)Agent之間的正常通信和協(xié)調(diào)。當(dāng)Agent被激活后，任務(wù)求解模塊進(jìn)行調(diào)用不同方法及推理實(shí)現(xiàn)任務(wù)的執(zhí)行，為了保證任務(wù)的順利執(zhí)行，調(diào)用知識(shí)庫感知周圍世界及自身模型，并將執(zhí)行狀態(tài)保存于狀態(tài)集中，通過約束條件做出約束，通過路由策略實(shí)現(xiàn)智能化移動(dòng)。

4 基于移動(dòng)Agent網(wǎng)絡(luò)安全管理模型

4.1 概述

綜上所述，利用網(wǎng)絡(luò)安全管理技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全體系中的安全技術(shù)和產(chǎn)品的統(tǒng)一管理和協(xié)調(diào)，從整體上提高網(wǎng)絡(luò)的防御入侵的能力是一種明智的解決方式。

因?yàn)橐苿?dòng)Agent擁有自治和移動(dòng)的特殊性能，其能夠根據(jù)實(shí)際情況，通過交互自治協(xié)同完成某些特定安全管理任務(wù)，不再將所有的信息傳遞至信息管理控制中心，這樣不僅有效減少傳輸開銷，更能減輕管理員的工作負(fù)荷。

所以將移動(dòng)Agent應(yīng)用于網(wǎng)絡(luò)安全管理技術(shù)中，為網(wǎng)絡(luò)安全管理提供一個(gè)智能化管理的工具，將網(wǎng)絡(luò)安全管理技術(shù)的理念具體實(shí)現(xiàn)化，從而達(dá)到便捷統(tǒng)一管理的目的。

4.2 NSMM-MA

因如今各地網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)均已基本定型，各單位的內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)一般不允許重建或者被大規(guī)模的修改，若要為了網(wǎng)絡(luò)安全的整體性而改變整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)這種想法是不現(xiàn)實(shí)的，最理想的狀態(tài)是在原有的網(wǎng)絡(luò)拓?fù)涞幕A(chǔ)上實(shí)現(xiàn)有效的網(wǎng)絡(luò)安全管理。

如圖2所示，一般簡(jiǎn)單內(nèi)網(wǎng)的拓?fù)鋱D，由中心路由實(shí)現(xiàn)與外網(wǎng)的互通，利用中心交換機(jī)實(shí)現(xiàn)內(nèi)網(wǎng)拓?fù)涞膯?雙核心，在核心交換機(jī)上掛聯(lián)相關(guān)服務(wù)器，核心交換機(jī)下分若干分層交換機(jī)連接集線HUB或主機(jī)等。

圖1 移動(dòng)Agent體系結(jié)構(gòu)

圖2 一般局域網(wǎng)拓?fù)浣Y(jié)構(gòu)

根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，將不同類型的Agent引入到網(wǎng)絡(luò)的不同位置，完成不同的功能，以實(shí)現(xiàn)Agent分類分層安全自治的目標(biāo)，同時(shí)利用移動(dòng)Agent進(jìn)行交互，完成具體的任務(wù)。模型中Agent的分類和分層示意圖如圖3所示。

整個(gè)模型分為三層，分別為管理評(píng)估層、控制層和操作層。

（1）管理評(píng)估層：主要實(shí)現(xiàn)對(duì)Agent的管理和對(duì)整個(gè)網(wǎng)絡(luò)安全的評(píng)估，并將評(píng)估結(jié)果實(shí)時(shí)反饋給網(wǎng)絡(luò)管理員，由管理員做進(jìn)一步指示。

（2）控制層：實(shí)現(xiàn)不同Agent的交互、更新和查詢等任務(wù)，傳達(dá)分配實(shí)時(shí)或者固定任務(wù)給操作層的Agent。

（3）操作層：具體執(zhí)行安全任務(wù)的Agent，完成網(wǎng)絡(luò)的認(rèn)證和入侵檢測(cè)等安全任務(wù)，實(shí)現(xiàn)基本安全控制。

整個(gè)系統(tǒng)中三層的通信和交互通過移動(dòng)Agent實(shí)現(xiàn)，在實(shí)際的安全管理中，移動(dòng)Agent從管理層獲取任務(wù)，移動(dòng)到控制層進(jìn)行任務(wù)的派發(fā)和交互，如需操作層的其他Agent協(xié)同完成任務(wù)會(huì)移動(dòng)到操作層共同完成。

圖3 模型Agent分層分布示意圖

將上述分層分類的Agent管理模型應(yīng)用到網(wǎng)絡(luò)拓?fù)渲校鐖D4所示。

將Agent管理模型的管理評(píng)估層部署到與中心交換機(jī)連接的服務(wù)器中通過服務(wù)器實(shí)現(xiàn)主控和管理，將控制層部署到分層交換機(jī)上實(shí)現(xiàn)任務(wù)的傳達(dá)和分配工作，將操作層部署到終端主機(jī)上，在終端主機(jī)上直接完成系統(tǒng)最基本的安全認(rèn)證和入侵檢測(cè)功能，移動(dòng)Agent在網(wǎng)絡(luò)中移動(dòng)完成不同安全任務(wù)，這樣可有效減少網(wǎng)絡(luò)流量和管理員工作負(fù)擔(dān)。

5 結(jié)束語

本文闡述了一種基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型，文章從現(xiàn)今網(wǎng)絡(luò)安全體系現(xiàn)狀入手，分析只有實(shí)現(xiàn)網(wǎng)絡(luò)安全管理才能解決目前網(wǎng)絡(luò)安全系統(tǒng)雜亂無章的現(xiàn)狀，同時(shí)將Agent引入網(wǎng)絡(luò)安全管理技術(shù)中，為其具體的實(shí)施提供了一種可能的解決方案，設(shè)計(jì)了一種能夠?qū)崿F(xiàn)統(tǒng)一管理的網(wǎng)絡(luò)安全管理模型。因本人知識(shí)的程度和時(shí)間等原因，本模型還有許多不足之處，如移動(dòng)Agent之間的交互銜接問題等，將在后續(xù)文章中繼續(xù)研究說明。

圖4 基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型示意圖

[1]伏曉，蔡圣聞，謝立.網(wǎng)絡(luò)安全管理技術(shù)研究[J].計(jì)算機(jī)科學(xué)，2009.

[2]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[J].科學(xué)出版社，2003.

[3]Hyland P C,Sandhu R.Concentric Supervision of Security App-lications:A New Security Management Paradig m//Annual Computer Security Application Conference. Phoenix,USA,1998.

[4]Boudaoud K,McCatieNevile C.An Intelligent Agent –based Model for Security ManagementMThe 7th IEEE International Symposium on Computers and Communicatio- ns. Taormina,Italy,2002.

[5]王汝傳，徐小龍，黃海平.智能Agent及其在信息網(wǎng)絡(luò)中的應(yīng)用[J].北京郵電大學(xué)出版社，2006.

[6]李丹陽.小型網(wǎng)絡(luò)管理中基于移動(dòng)Agent數(shù)據(jù)采集的研究[J].電腦知識(shí)與技術(shù)，2016.

[7]張宇蓉.無線傳感器網(wǎng)絡(luò)中基于移動(dòng)Agent的數(shù)據(jù)采集研究[M].太原: 太原理工大學(xué)，2010.

[8]王茜, 張玉明.校園網(wǎng)管理中基于移動(dòng)Agent數(shù)據(jù)采集問題的研究與設(shè)計(jì)[J]. 計(jì)算機(jī)與現(xiàn)代化, 2014.

[9]馮新宇，呂建，曹建農(nóng).通用的移動(dòng)Agent通信框架設(shè)計(jì)[J].軟件學(xué)報(bào)，2003.

藏區(qū)網(wǎng)絡(luò)空間安全與輿情智能監(jiān)管科研創(chuàng)新團(tuán)隊(duì)建設(shè)項(xiàng)目；西藏自治區(qū)高校青年教師創(chuàng)新支持計(jì)劃(QCZ2016-41)。