◆夏奕

校園網(wǎng)絡(luò)安全

基于移動(dòng)代理的校園網(wǎng)安全監(jiān)控與防御體系探究

◆夏奕

（湖北交通職業(yè)技術(shù)學(xué)院信息中心 湖北 430079）

本文根據(jù)當(dāng)前網(wǎng)絡(luò)安全監(jiān)控體系國內(nèi)外研究現(xiàn)狀，以及移動(dòng)代理技術(shù)研究現(xiàn)狀，分析了當(dāng)前校園網(wǎng)絡(luò)業(yè)務(wù)需求，應(yīng)用現(xiàn)狀和系統(tǒng)特點(diǎn)，初步設(shè)計(jì)了校園網(wǎng)絡(luò)安全監(jiān)控與防御體系，從系統(tǒng)架構(gòu)，網(wǎng)絡(luò)安防系統(tǒng)運(yùn)行架構(gòu)及安防系統(tǒng)實(shí)現(xiàn)技術(shù)等角度進(jìn)行設(shè)計(jì)分析，對(duì)當(dāng)前校園網(wǎng)絡(luò)安全監(jiān)控和防御體系建設(shè)提出建設(shè)性意見。

移動(dòng)代理；網(wǎng)絡(luò)安全；校園網(wǎng)絡(luò)

1 引言

目前，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為關(guān)系國家穩(wěn)定的重大基礎(chǔ)設(shè)施，政府、軍隊(duì)、企業(yè)等都在推行信息化建設(shè)，加快計(jì)算機(jī)網(wǎng)絡(luò)的部署。由于網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)相當(dāng)復(fù)雜，操作系統(tǒng)、應(yīng)用軟件、硬件設(shè)備等都不可避免地存在安全漏洞，網(wǎng)絡(luò)配置和用戶對(duì)網(wǎng)絡(luò)使用可能存在疏忽，因此，網(wǎng)絡(luò)與系統(tǒng)的安全脆弱性是客觀存在的，這就為黑客采用非正常的手段入侵系統(tǒng)提供了可乘之機(jī)。由于網(wǎng)絡(luò)協(xié)議本身的設(shè)計(jì)與具體在操作系統(tǒng)里的實(shí)現(xiàn)不可能十全十美，網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)或者協(xié)議本身固有的缺陷決定了諸多不安全因素，加之當(dāng)今計(jì)算機(jī)黑客攻擊的手段的日益復(fù)雜，嚴(yán)重威脅了計(jì)算機(jī)網(wǎng)絡(luò)的平穩(wěn)運(yùn)行，為此研究設(shè)計(jì)高效靈活的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)就愈顯重要[1-2]。

傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控與防御系統(tǒng)包含眾多的網(wǎng)絡(luò)安全產(chǎn)品，例如網(wǎng)絡(luò)IDS、IPS、防火墻等，但是由于其系統(tǒng)結(jié)構(gòu)固化、動(dòng)態(tài)構(gòu)建能力等原因造成了防護(hù)效率低。而移動(dòng)代理技術(shù)具有良好的移動(dòng)性、靈活性、適應(yīng)性和跨平臺(tái)性，利用移動(dòng)代理技術(shù)構(gòu)建的網(wǎng)絡(luò)安全防御系統(tǒng)可以克服目前網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的短板，從而構(gòu)建高效的網(wǎng)絡(luò)安全監(jiān)控與防御體系。

2 國內(nèi)外相關(guān)研究現(xiàn)狀

移動(dòng)代理技術(shù)集分布式計(jì)算、人工智能、網(wǎng)絡(luò)通信于一體，為異構(gòu)大負(fù)載應(yīng)用提供了一個(gè)新的計(jì)算模式[6-9]，它具有移動(dòng)性、智能性、自主性，并能支持異構(gòu)的軟、硬件環(huán)境。移動(dòng)代理可以根據(jù)任務(wù)需要自主移動(dòng)到相關(guān)有移動(dòng)計(jì)算平臺(tái)的計(jì)算機(jī)系統(tǒng)上執(zhí)行相關(guān)操作。移動(dòng)代理技術(shù)將智能代理技術(shù)與多代理技術(shù)相結(jié)合，成為代理技術(shù)研究領(lǐng)域的一個(gè)重要分支。移動(dòng)代理技術(shù)主要具有以下優(yōu)勢(shì)：（1）可以減少系統(tǒng)的網(wǎng)絡(luò)通信流量；（2）可以容忍網(wǎng)絡(luò)故障；（3）便于實(shí)現(xiàn)負(fù)載均衡；（4）便于并行工作；（5）便于實(shí)現(xiàn)復(fù)雜任務(wù)；（6）可以提高系統(tǒng)的可靠性。

基于移動(dòng)Agent的入侵檢測(cè)系統(tǒng)具有減少網(wǎng)絡(luò)流量、縮短網(wǎng)絡(luò)延遲、動(dòng)態(tài)自適應(yīng)、異步自主執(zhí)行、系統(tǒng)無關(guān)性、健壯性和容錯(cuò)能力等特點(diǎn)，移動(dòng)代理平臺(tái)在很多領(lǐng)域得到推廣應(yīng)用，很多研究證明了移動(dòng)代理在入侵檢測(cè)方面應(yīng)用具有諸多優(yōu)勢(shì)[10-11]，目前將移動(dòng)代理與入侵檢測(cè)結(jié)合起來的應(yīng)用研究大部分討論的是靜止的代理在入侵檢測(cè)中的應(yīng)用，真正利用移動(dòng)代理與入侵檢測(cè)系統(tǒng)結(jié)合起來的研究并不多。

3 校園網(wǎng)建設(shè)需求分析

3.1 前校園網(wǎng)的業(yè)務(wù)分類

高校信息網(wǎng)絡(luò)中包含的校園網(wǎng)絡(luò)業(yè)務(wù)豐富多樣，如Web、DHCP、認(rèn)證系統(tǒng)、FTP、防毒、備份等。其中的業(yè)務(wù)系統(tǒng)按照大小可分為兩類，即一類為基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)，二類為校園業(yè)務(wù)系統(tǒng)。

（1）一類業(yè)務(wù)系統(tǒng)：網(wǎng)關(guān)、局域網(wǎng)、數(shù)據(jù)局域網(wǎng)、DNS等。

（2）二類業(yè)務(wù)系統(tǒng)：郵件系統(tǒng)、信息綜合發(fā)布平臺(tái)、數(shù)字化校園管理無線采集子系統(tǒng)，辦公系統(tǒng)，機(jī)房網(wǎng)絡(luò)，數(shù)據(jù)服務(wù)等。

3.2 校園網(wǎng)業(yè)務(wù)系統(tǒng)現(xiàn)狀

當(dāng)前校園網(wǎng)絡(luò)的部署和運(yùn)行模式存在下列特點(diǎn)。

（1）全部由PC，sever構(gòu)成的業(yè)務(wù)系統(tǒng)。

（2）在同一個(gè)業(yè)務(wù)系統(tǒng)中，業(yè)務(wù)系統(tǒng)中服務(wù)器CPU的占用率分布不均，經(jīng)測(cè)定，一般服務(wù)器使用率平均在10%左右，高峰時(shí)也不到35%。原服務(wù)器故障率較高，需要更新。

（3）部分業(yè)務(wù)系統(tǒng)整體負(fù)荷較高，需對(duì)現(xiàn)有業(yè)務(wù)提出擴(kuò)容需求。

（4）使用主、備的業(yè)務(wù)系統(tǒng)，主用服務(wù)器CPU占用率非常高，備用服務(wù)器CPU占用率卻很低；存在嚴(yán)重的分布不均情況。

3.3 校園網(wǎng)業(yè)務(wù)系統(tǒng)特征

根據(jù)針對(duì)校園網(wǎng)系統(tǒng)和業(yè)務(wù)的調(diào)研，校園網(wǎng)絡(luò)的現(xiàn)有業(yè)務(wù)系統(tǒng)具有如下特征：

（1）數(shù)量眾多、規(guī)模各異；

（2）系統(tǒng)建設(shè)需求存在不確定因素，業(yè)務(wù)系統(tǒng)存在不可預(yù)見因素，建設(shè)目標(biāo)需根據(jù)業(yè)務(wù)發(fā)展而定；

（3）功能需求個(gè)性化、多樣化、即時(shí)性要求高，建設(shè)周期要求較短；

（4）多系統(tǒng)資源、能力調(diào)用需求增多，融合性業(yè)務(wù)逐步衍生，帶來多系統(tǒng)資源、能力相互調(diào)用需求。

各業(yè)務(wù)系統(tǒng)內(nèi)部功能模塊存在共通性，但是在傳統(tǒng)網(wǎng)絡(luò)建設(shè)模式下各業(yè)務(wù)系統(tǒng)均為采用“煙囪式”架構(gòu)。各業(yè)務(wù)系統(tǒng)缺乏集中控制點(diǎn)、相同的功能模塊不能共享、用戶數(shù)據(jù)存在多次復(fù)制、用戶接觸和體驗(yàn)不一致。

4 校園網(wǎng)絡(luò)安全監(jiān)控與防御體系建設(shè)

4.1 網(wǎng)絡(luò)安防系統(tǒng)基本設(shè)計(jì)

基于移動(dòng)代理的網(wǎng)絡(luò)安全監(jiān)控與防御系統(tǒng)設(shè)計(jì)框架如圖1所示。首先對(duì)安防系統(tǒng)的需求分析和問題分析，形成監(jiān)控網(wǎng)絡(luò)的安全需求。然后設(shè)計(jì)相應(yīng)的數(shù)據(jù)收集標(biāo)準(zhǔn)和移動(dòng)代理之間信息交互的標(biāo)準(zhǔn)，同時(shí)進(jìn)行安防系統(tǒng)的設(shè)計(jì)和開發(fā)，根據(jù)監(jiān)控目標(biāo)的不同選擇區(qū)分不同的移動(dòng)代理，并集成構(gòu)建網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)。最后，對(duì)系統(tǒng)在真實(shí)和仿真兩種網(wǎng)絡(luò)環(huán)境下進(jìn)行測(cè)試。

系統(tǒng)面向校園網(wǎng)絡(luò)安全監(jiān)測(cè)與防御具體需求，采取層次化設(shè)計(jì)的步驟，以安全監(jiān)控、需求系統(tǒng)設(shè)計(jì)、開發(fā)功能驗(yàn)證三個(gè)步驟，為迭代設(shè)計(jì)網(wǎng)絡(luò)安全移動(dòng)代理平臺(tái)的框架?；究蚣苋鐖D2所示。

4.2 網(wǎng)絡(luò)安防系統(tǒng)運(yùn)行設(shè)計(jì)

系統(tǒng)共分為四大模塊，其中被監(jiān)控網(wǎng)絡(luò)是網(wǎng)絡(luò)安全防護(hù)的對(duì)象，是實(shí)際運(yùn)行的網(wǎng)絡(luò)。網(wǎng)絡(luò)NIDS是基于流量數(shù)據(jù)分析的入侵檢測(cè)系統(tǒng)，主要負(fù)責(zé)對(duì)當(dāng)前被監(jiān)控網(wǎng)絡(luò)的安全態(tài)勢(shì)給出一個(gè)宏觀的判斷，其檢測(cè)輸出結(jié)果可以作為分析子系統(tǒng)中移動(dòng)代理的創(chuàng)建及管理策略的輸入。同時(shí)被監(jiān)控網(wǎng)絡(luò)中各被監(jiān)控節(jié)點(diǎn)的移動(dòng)代理可以根據(jù)其狀態(tài)是否被掛起決定是否采集本節(jié)點(diǎn)的數(shù)據(jù)并上報(bào)給子系統(tǒng)中的移動(dòng)代理數(shù)據(jù)分析模塊。而移動(dòng)代理狀態(tài)分析模塊的輸入可以作為響應(yīng)子系統(tǒng)的輸入，根據(jù)分析結(jié)果產(chǎn)生網(wǎng)絡(luò)安全狀態(tài)告警策略，并根據(jù)策略實(shí)現(xiàn)網(wǎng)絡(luò)異常行為的控制。圖示中紅線為數(shù)據(jù)流，主要承載數(shù)據(jù)的傳送。藍(lán)線為控制流，主要承載模塊之間的控制流傳送，虛線為移動(dòng)代理的遷移范圍，移動(dòng)代理可以在裝有移動(dòng)代理運(yùn)行環(huán)境（MAE）的網(wǎng)絡(luò)節(jié)點(diǎn)間任意的移動(dòng)。四個(gè)模塊中網(wǎng)絡(luò)NIDS負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)中的基本安全態(tài)勢(shì)，據(jù)此指導(dǎo)移動(dòng)代理的產(chǎn)生策略，各個(gè)移動(dòng)代理協(xié)調(diào)工作實(shí)現(xiàn)安防目標(biāo)。

圖1 校園網(wǎng)安全監(jiān)控與防御系統(tǒng)設(shè)計(jì)

圖2 校園網(wǎng)安全監(jiān)控與防御體系架構(gòu)

圖3 校園網(wǎng)絡(luò)安全監(jiān)控防御體系運(yùn)維視圖

4.3 校園安防系統(tǒng)實(shí)現(xiàn)技術(shù)分析

（1）移動(dòng)：根據(jù)監(jiān)控目標(biāo)的不同，將移動(dòng)代理遷移策略分為強(qiáng)移動(dòng)代理和弱移動(dòng)代理。

（2）命名和定位：移動(dòng)代理的命名完全透明，代理的名字由局部地址信息（通常為主機(jī)節(jié)點(diǎn)地址+端口號(hào)）和本地名字或ID號(hào)組成，移動(dòng)代理的定位采用廣播查詢方法實(shí)現(xiàn)。

（3）安全性：在代理的安全網(wǎng)絡(luò)傳輸方面采用加密技術(shù)保護(hù)信息的安全性。通過身份認(rèn)證控制移動(dòng)代理對(duì)資源的訪問。通常隔離代理的執(zhí)行、相互認(rèn)證的方法，保護(hù)代理免受其他惡意代理的攻擊。

5 結(jié)束語

本文主要針對(duì)如何采用移動(dòng)代理技術(shù)實(shí)現(xiàn)校園網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)控和防御的體系架構(gòu)的分析設(shè)計(jì)，對(duì)系統(tǒng)架構(gòu)、信息流程、系統(tǒng)運(yùn)維等進(jìn)行了闡述，并對(duì)主要模塊進(jìn)行了分析和探討，總結(jié)了校園移動(dòng)代理實(shí)現(xiàn)應(yīng)用中的技術(shù)要點(diǎn)。

[1]中國互聯(lián)網(wǎng)絡(luò)信息中心. 第33次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告.CNNIC，2014.

[2]戴汝為，操龍兵. Internet——一個(gè)開放的復(fù)雜巨系統(tǒng)[J]. 中國科學(xué)E輯：技術(shù)科學(xué)，2003（04）：289-296.

[3]趙琳琳，顏若愚，李奇勝.基于P2DER 模型的網(wǎng)絡(luò)安全主動(dòng)協(xié)同防護(hù)系統(tǒng)框架[J].現(xiàn)代計(jì)算機(jī)，2010（2）：93-97.

[4]孟學(xué)軍，石崗.基于P2DR的網(wǎng)絡(luò)安全體系結(jié)構(gòu)[J].2014，30（4）：99-101.

[5]張同升.基于P2DR2 信息系統(tǒng)安全策略研究[J].信息安全與通信保密，2013（05）：90-92.

[6]Dalmeijer M.，Hammer D.K.，Aerts A.T.M. Mobile software agents. Computers in Industry，2000（41）：251-260.

[7]Gernal Magic，Telescript/Odyssey. http://www.genmagic.com/agents.

[8]Agent Transport Protocol Specification. IBM Aglet Work Bench. http://www.trl.ibm.com.jp/aglets.

[9]Alberto Castillo，Masataka Kawaguchi. Concordia TM as Enabling Technology for Cooperative Information Gathering. http://www.informatik.uni-stuttgart.de/.

[10]蔣建春，馮登國.網(wǎng)絡(luò)入侵事件檢測(cè)原理與技術(shù)[J].國防工業(yè)出版社，2001.

[11]Kumar G. Classification and detection of computer intrusions. Purdue University，1995.