◆胡 韻
?
基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型的研究
◆胡 韻1,2
(1.西藏民族大學(xué)信息工程學(xué)院 陜西 712082;2.西藏光信息處理與可視化技術(shù)重點(diǎn)實(shí)驗(yàn)室 陜西 712082)
針對(duì)現(xiàn)今網(wǎng)絡(luò)安全體系分散式結(jié)構(gòu)的種種弊端,分析得出只有使用網(wǎng)絡(luò)安全管理技術(shù)才能將網(wǎng)絡(luò)體系中各種安全技術(shù)和產(chǎn)品統(tǒng)一管理和協(xié)調(diào)起來,從整體上提高整個(gè)網(wǎng)絡(luò)的防御入侵能力和減輕管理員的工作負(fù)荷。為了將網(wǎng)絡(luò)安全管理技術(shù)具體化,引入了具有自治和移動(dòng)等功能特性的移動(dòng)Agent,將其作為實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的重要智能工具,設(shè)計(jì)了基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型,該模型在不改變?cè)芯W(wǎng)絡(luò)拓?fù)涞幕A(chǔ)上,利用移動(dòng)Agent的自治和移動(dòng)的能力,實(shí)現(xiàn)任務(wù)的智能化處理,在實(shí)現(xiàn)全局統(tǒng)一管理的基礎(chǔ)上,有效減少了傳輸開銷,減輕了管理負(fù)荷。
網(wǎng)絡(luò)安全;移動(dòng)Agent;網(wǎng)絡(luò)安全管理;統(tǒng)一
現(xiàn)如今,隨著網(wǎng)絡(luò)技術(shù)及應(yīng)用日新月異的發(fā)展,如今的網(wǎng)絡(luò)正逐漸應(yīng)用于人類正常生活工作的方方面面,成為一個(gè)面向大眾的開放性系統(tǒng)。網(wǎng)絡(luò)的各個(gè)方面的發(fā)展逐漸復(fù)雜和多變,其中對(duì)于網(wǎng)絡(luò)的安全性問題更是逐漸凸現(xiàn)出來。
本文將在深入剖析現(xiàn)如今網(wǎng)絡(luò)安全體系現(xiàn)狀的基礎(chǔ)上,介紹一種新型的網(wǎng)絡(luò)安全管理技術(shù)——基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型(Network Security Management Model Based on Mobile Agent,NSMM-MA),以期提高網(wǎng)絡(luò)系統(tǒng)中的統(tǒng)一性、自治性和靈活性。本文第1章將簡(jiǎn)單總結(jié)和分析現(xiàn)今網(wǎng)絡(luò)安全體系的情況,第2章簡(jiǎn)單介紹網(wǎng)絡(luò)安全管理技術(shù)相關(guān)知識(shí),第3章介紹移動(dòng)Agent相關(guān)概念和功能特點(diǎn)等,第4章介紹基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型,最后對(duì)該模型進(jìn)行分析和總結(jié),提出優(yōu)勢(shì)和不足,以期更進(jìn)一步的改進(jìn)與研究。
為了解決或預(yù)防各式安全攻擊和漏洞,現(xiàn)今的網(wǎng)絡(luò)安全體系是由眾多異構(gòu)且彼此獨(dú)立的安全產(chǎn)品和技術(shù)堆積而成的。各類安全組織和廠家設(shè)計(jì)和生產(chǎn)出各類網(wǎng)絡(luò)安全準(zhǔn)則、技術(shù)和產(chǎn)品,如病毒檢測(cè)防范、入侵檢測(cè)、防火墻等,以期對(duì)網(wǎng)絡(luò)體系提供不同的安全防護(hù)。但是,現(xiàn)有的產(chǎn)品功能互不補(bǔ)充,可擴(kuò)展性較差,并且性質(zhì)比不高。
由此可以看出目前網(wǎng)絡(luò)安全體系這種分散異構(gòu)難以管理的結(jié)構(gòu)是以往解決網(wǎng)絡(luò)安全問題的方式的造成的,每當(dāng)出現(xiàn)某種類型的網(wǎng)絡(luò)安全問題,會(huì)單獨(dú)設(shè)計(jì)針對(duì)此類問題的安全技術(shù)或者產(chǎn)品,各類安全技術(shù)和產(chǎn)品各司其職,缺乏交互性和連通性,這樣自然不能獲得準(zhǔn)確的全局視圖,整個(gè)網(wǎng)絡(luò)安全體系的發(fā)展缺乏長(zhǎng)遠(yuǎn)規(guī)劃和建設(shè)0。這樣一旦出現(xiàn)大范圍或復(fù)雜的網(wǎng)絡(luò)攻擊時(shí),這樣缺乏聯(lián)動(dòng)的網(wǎng)絡(luò)安全體系結(jié)構(gòu),必然十分脆弱。
此外,隨著網(wǎng)絡(luò)規(guī)模的增大和對(duì)安全要求的日益加強(qiáng),網(wǎng)絡(luò)管理員不僅要會(huì)對(duì)不同廠家、不同類型的網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行分別配置、調(diào)試和管理,還要能夠從眾多的網(wǎng)絡(luò)安全設(shè)備的安全日志信息中獲得綜合的網(wǎng)絡(luò)安全信息進(jìn)行網(wǎng)絡(luò)的統(tǒng)一管理,加大了工作量,提高了工作難度。
針對(duì)上述各種網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品構(gòu)成的復(fù)雜網(wǎng)絡(luò)安全體系,迫切需要一種能夠針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用體系中各個(gè)方面的安全技術(shù)和產(chǎn)品進(jìn)行統(tǒng)一的管理、協(xié)調(diào),進(jìn)而從整體上提高整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的防御入侵,抵抗攻擊能力的體系,因此一種新的技術(shù)就應(yīng)運(yùn)而生——網(wǎng)絡(luò)安全管理技術(shù)。
網(wǎng)絡(luò)安全管理是一種綜合型技術(shù),需要來自信息安全、網(wǎng)絡(luò)管理、人工智能等多個(gè)領(lǐng)域研究成果的支持。其目標(biāo)是充分利用以上領(lǐng)域的技術(shù),解決計(jì)算機(jī)應(yīng)用體系中各種安全技術(shù)和產(chǎn)品的統(tǒng)一管理和協(xié)調(diào)問題,從整體上提高整個(gè)網(wǎng)絡(luò)的防御入侵、抵抗攻擊的能力,保持系統(tǒng)及服務(wù)的完整性、可靠性和可用性。
網(wǎng)絡(luò)安全管理系統(tǒng)的體系結(jié)構(gòu)是近年來的研究熱點(diǎn)。該技術(shù)不僅能夠通過智能分析和自動(dòng)響應(yīng),將管理者從海量的報(bào)警數(shù)據(jù)和繁重的安全管理任務(wù)之中解放出來,而且能夠輔助制定和執(zhí)行安全決策,通過產(chǎn)品聯(lián)動(dòng)提高整體安全防護(hù)能力。因此,在日趨復(fù)雜的網(wǎng)絡(luò)環(huán)境和嚴(yán)峻的安全形勢(shì)下,它是解決眾多棘手問題的有效手段。
3.1移動(dòng)Agent概念介紹
Agent源于人工智能領(lǐng)域,能在一定程度上模擬人類的行為和關(guān)系,其是處在某種環(huán)境下的計(jì)算機(jī)系統(tǒng),該系統(tǒng)有能力在這個(gè)環(huán)境中靈活的、自主的行動(dòng)以實(shí)現(xiàn)其目標(biāo)。隨著技術(shù)的發(fā)展,Agent的特性越來越多,出現(xiàn)了能夠自由移動(dòng)并完成某特定功能的Agent,稱之為移動(dòng)Agent(Mobile Agent)。
移動(dòng)Agent是能在同構(gòu)或異構(gòu)網(wǎng)絡(luò)中自主遷移的程序,可以將其簡(jiǎn)明地定義為:包含所規(guī)定功能的代碼、數(shù)據(jù)以及執(zhí)行語境的軟件包,它可以在執(zhí)行過程中,有目的、自治地在網(wǎng)絡(luò)中移動(dòng),從一個(gè)節(jié)點(diǎn)遷移到另一個(gè)節(jié)點(diǎn)繼續(xù)運(yùn)行,利用分布資源的局部交換而完成分布任務(wù)的軟件實(shí)體。在移動(dòng)Agent模式中,在網(wǎng)絡(luò)的一端A擁有服務(wù)所需要的代碼,但所需要的資源在B端,A能夠?qū)⒋a及中間狀態(tài)結(jié)果等一起發(fā)送至B,再利用B上的資源繼續(xù)執(zhí)行。移動(dòng)Agent思想的提出,使得Agent技術(shù)具有了動(dòng)態(tài)性和分布計(jì)算的特點(diǎn),進(jìn)一步擴(kuò)展了Agent處理事務(wù)的功能。
3.2 移動(dòng)Agent特性
移動(dòng)Agent的特性是在秉承Agent的特性的基礎(chǔ)上增加了移動(dòng)性。
(1)自治性:Agent可在無人或其他Agent直接干涉的情況下運(yùn)行,并且對(duì)自己的行為和內(nèi)部狀態(tài)有自控能力。
(2)社會(huì)性:Agent與其他Agent通過某種Agent語言進(jìn)行信息交流。
(3)反映性:Agent能理解周圍的環(huán)境,并對(duì)環(huán)境的變化做出實(shí)時(shí)反應(yīng)。
(4)能動(dòng)性:Agent不僅能夠?qū)λ幁h(huán)境做出反應(yīng),也能通過接受某些信息,表現(xiàn)出有目標(biāo)的行為。
(5)移動(dòng)性:Agent可在信息網(wǎng)絡(luò)上自主地從一個(gè)地方遷移到另一個(gè)地方。
Agent移動(dòng)的目的就是使程序的執(zhí)行盡可能靠近目標(biāo)主機(jī)的數(shù)據(jù)源,有效地降低網(wǎng)絡(luò)通信開銷,加快任務(wù)執(zhí)行,從而提高分布式系統(tǒng)的處理效率。
3.3 移動(dòng)Agent體系結(jié)構(gòu)
移動(dòng)Agent體系結(jié)構(gòu)可以定義為相互關(guān)聯(lián)的模塊的集合,包括:安全管理、環(huán)境交互模塊(通信)、任務(wù)求解模塊、知識(shí)庫、內(nèi)部狀態(tài)集、約束條件和路由策略,各模塊之間交互關(guān)系如圖1所示。整個(gè)體系結(jié)構(gòu)中最外層為安全管理模塊,實(shí)現(xiàn)與外部環(huán)境的溝通并判斷外部環(huán)境是否非法訪問本Agent。通過環(huán)境交互模塊感知環(huán)境并利用交互語言實(shí)現(xiàn)Agent之間的正常通信和協(xié)調(diào)。當(dāng)Agent被激活后,任務(wù)求解模塊進(jìn)行調(diào)用不同方法及推理實(shí)現(xiàn)任務(wù)的執(zhí)行,為了保證任務(wù)的順利執(zhí)行,調(diào)用知識(shí)庫感知周圍世界及自身模型,并將執(zhí)行狀態(tài)保存于狀態(tài)集中,通過約束條件做出約束,通過路由策略實(shí)現(xiàn)智能化移動(dòng)。
4.1 概述
綜上所述,利用網(wǎng)絡(luò)安全管理技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全體系中的安全技術(shù)和產(chǎn)品的統(tǒng)一管理和協(xié)調(diào),從整體上提高網(wǎng)絡(luò)的防御入侵的能力是一種明智的解決方式。
因?yàn)橐苿?dòng)Agent擁有自治和移動(dòng)的特殊性能,其能夠根據(jù)實(shí)際情況,通過交互自治協(xié)同完成某些特定安全管理任務(wù),不再將所有的信息傳遞至信息管理控制中心,這樣不僅有效減少傳輸開銷,更能減輕管理員的工作負(fù)荷。
所以將移動(dòng)Agent應(yīng)用于網(wǎng)絡(luò)安全管理技術(shù)中,為網(wǎng)絡(luò)安全管理提供一個(gè)智能化管理的工具,將網(wǎng)絡(luò)安全管理技術(shù)的理念具體實(shí)現(xiàn)化,從而達(dá)到便捷統(tǒng)一管理的目的。
4.2 NSMM-MA
因如今各地網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)均已基本定型,各單位的內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)一般不允許重建或者被大規(guī)模的修改,若要為了網(wǎng)絡(luò)安全的整體性而改變整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)這種想法是不現(xiàn)實(shí)的,最理想的狀態(tài)是在原有的網(wǎng)絡(luò)拓?fù)涞幕A(chǔ)上實(shí)現(xiàn)有效的網(wǎng)絡(luò)安全管理。
如圖2所示,一般簡(jiǎn)單內(nèi)網(wǎng)的拓?fù)鋱D,由中心路由實(shí)現(xiàn)與外網(wǎng)的互通,利用中心交換機(jī)實(shí)現(xiàn)內(nèi)網(wǎng)拓?fù)涞膯?雙核心,在核心交換機(jī)上掛聯(lián)相關(guān)服務(wù)器,核心交換機(jī)下分若干分層交換機(jī)連接集線HUB或主機(jī)等。
圖1 移動(dòng)Agent體系結(jié)構(gòu)
圖2 一般局域網(wǎng)拓?fù)浣Y(jié)構(gòu)
根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),將不同類型的Agent引入到網(wǎng)絡(luò)的不同位置,完成不同的功能,以實(shí)現(xiàn)Agent分類分層安全自治的目標(biāo),同時(shí)利用移動(dòng)Agent進(jìn)行交互,完成具體的任務(wù)。模型中Agent的分類和分層示意圖如圖3所示。
整個(gè)模型分為三層,分別為管理評(píng)估層、控制層和操作層。
(1)管理評(píng)估層:主要實(shí)現(xiàn)對(duì)Agent的管理和對(duì)整個(gè)網(wǎng)絡(luò)安全的評(píng)估,并將評(píng)估結(jié)果實(shí)時(shí)反饋給網(wǎng)絡(luò)管理員,由管理員做進(jìn)一步指示。
(2)控制層:實(shí)現(xiàn)不同Agent的交互、更新和查詢等任務(wù),傳達(dá)分配實(shí)時(shí)或者固定任務(wù)給操作層的Agent。
(3)操作層:具體執(zhí)行安全任務(wù)的Agent,完成網(wǎng)絡(luò)的認(rèn)證和入侵檢測(cè)等安全任務(wù),實(shí)現(xiàn)基本安全控制。
整個(gè)系統(tǒng)中三層的通信和交互通過移動(dòng)Agent實(shí)現(xiàn),在實(shí)際的安全管理中,移動(dòng)Agent從管理層獲取任務(wù),移動(dòng)到控制層進(jìn)行任務(wù)的派發(fā)和交互,如需操作層的其他Agent協(xié)同完成任務(wù)會(huì)移動(dòng)到操作層共同完成。
圖3 模型Agent分層分布示意圖
將上述分層分類的Agent管理模型應(yīng)用到網(wǎng)絡(luò)拓?fù)渲校鐖D4所示。
將Agent管理模型的管理評(píng)估層部署到與中心交換機(jī)連接的服務(wù)器中通過服務(wù)器實(shí)現(xiàn)主控和管理,將控制層部署到分層交換機(jī)上實(shí)現(xiàn)任務(wù)的傳達(dá)和分配工作,將操作層部署到終端主機(jī)上,在終端主機(jī)上直接完成系統(tǒng)最基本的安全認(rèn)證和入侵檢測(cè)功能,移動(dòng)Agent在網(wǎng)絡(luò)中移動(dòng)完成不同安全任務(wù),這樣可有效減少網(wǎng)絡(luò)流量和管理員工作負(fù)擔(dān)。
本文闡述了一種基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型,文章從現(xiàn)今網(wǎng)絡(luò)安全體系現(xiàn)狀入手,分析只有實(shí)現(xiàn)網(wǎng)絡(luò)安全管理才能解決目前網(wǎng)絡(luò)安全系統(tǒng)雜亂無章的現(xiàn)狀,同時(shí)將Agent引入網(wǎng)絡(luò)安全管理技術(shù)中,為其具體的實(shí)施提供了一種可能的解決方案,設(shè)計(jì)了一種能夠?qū)崿F(xiàn)統(tǒng)一管理的網(wǎng)絡(luò)安全管理模型。因本人知識(shí)的程度和時(shí)間等原因,本模型還有許多不足之處,如移動(dòng)Agent之間的交互銜接問題等,將在后續(xù)文章中繼續(xù)研究說明。
圖4 基于移動(dòng)Agent的網(wǎng)絡(luò)安全管理模型示意圖
[1]伏曉,蔡圣聞,謝立.網(wǎng)絡(luò)安全管理技術(shù)研究[J].計(jì)算機(jī)科學(xué),2009.
[2]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[J].科學(xué)出版社,2003.
[3]Hyland P C,Sandhu R.Concentric Supervision of Security App-lications:A New Security Management Paradig m//Annual Computer Security Application Conference. Phoenix,USA,1998.
[4]Boudaoud K,McCatieNevile C.An Intelligent Agent –based Model for Security ManagementMThe 7th IEEE International Symposium on Computers and Communicatio- ns. Taormina,Italy,2002.
[5]王汝傳,徐小龍,黃海平.智能Agent及其在信息網(wǎng)絡(luò)中的應(yīng)用[J].北京郵電大學(xué)出版社,2006.
[6]李丹陽.小型網(wǎng)絡(luò)管理中基于移動(dòng)Agent數(shù)據(jù)采集的研究[J].電腦知識(shí)與技術(shù),2016.
[7]張宇蓉.無線傳感器網(wǎng)絡(luò)中基于移動(dòng)Agent的數(shù)據(jù)采集研究[M].太原: 太原理工大學(xué),2010.
[8]王茜, 張玉明.校園網(wǎng)管理中基于移動(dòng)Agent數(shù)據(jù)采集問題的研究與設(shè)計(jì)[J]. 計(jì)算機(jī)與現(xiàn)代化, 2014.
[9]馮新宇,呂建,曹建農(nóng).通用的移動(dòng)Agent通信框架設(shè)計(jì)[J].軟件學(xué)報(bào),2003.
藏區(qū)網(wǎng)絡(luò)空間安全與輿情智能監(jiān)管科研創(chuàng)新團(tuán)隊(duì)建設(shè)項(xiàng)目;西藏自治區(qū)高校青年教師創(chuàng)新支持計(jì)劃(QCZ2016-41)。
網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2017年6期