◆胡 韻

?

基于移動Agent的網(wǎng)絡安全管理模型的研究

◆胡 韻1,2

（1.西藏民族大學信息工程學院 陜西 712082;2.西藏光信息處理與可視化技術重點實驗室 陜西 712082）

針對現(xiàn)今網(wǎng)絡安全體系分散式結構的種種弊端，分析得出只有使用網(wǎng)絡安全管理技術才能將網(wǎng)絡體系中各種安全技術和產品統(tǒng)一管理和協(xié)調起來，從整體上提高整個網(wǎng)絡的防御入侵能力和減輕管理員的工作負荷。為了將網(wǎng)絡安全管理技術具體化，引入了具有自治和移動等功能特性的移動Agent，將其作為實現(xiàn)網(wǎng)絡安全管理的重要智能工具，設計了基于移動Agent的網(wǎng)絡安全管理模型，該模型在不改變原有網(wǎng)絡拓撲的基礎上，利用移動Agent的自治和移動的能力，實現(xiàn)任務的智能化處理，在實現(xiàn)全局統(tǒng)一管理的基礎上，有效減少了傳輸開銷，減輕了管理負荷。

網(wǎng)絡安全；移動Agent；網(wǎng)絡安全管理；統(tǒng)一

0 引言

現(xiàn)如今，隨著網(wǎng)絡技術及應用日新月異的發(fā)展，如今的網(wǎng)絡正逐漸應用于人類正常生活工作的方方面面，成為一個面向大眾的開放性系統(tǒng)。網(wǎng)絡的各個方面的發(fā)展逐漸復雜和多變，其中對于網(wǎng)絡的安全性問題更是逐漸凸現(xiàn)出來。

本文將在深入剖析現(xiàn)如今網(wǎng)絡安全體系現(xiàn)狀的基礎上，介紹一種新型的網(wǎng)絡安全管理技術——基于移動Agent的網(wǎng)絡安全管理模型（Network Security Management Model Based on Mobile Agent,NSMM-MA），以期提高網(wǎng)絡系統(tǒng)中的統(tǒng)一性、自治性和靈活性。本文第1章將簡單總結和分析現(xiàn)今網(wǎng)絡安全體系的情況，第2章簡單介紹網(wǎng)絡安全管理技術相關知識，第3章介紹移動Agent相關概念和功能特點等，第4章介紹基于移動Agent的網(wǎng)絡安全管理模型，最后對該模型進行分析和總結，提出優(yōu)勢和不足，以期更進一步的改進與研究。

1 網(wǎng)絡安全體系現(xiàn)狀

為了解決或預防各式安全攻擊和漏洞，現(xiàn)今的網(wǎng)絡安全體系是由眾多異構且彼此獨立的安全產品和技術堆積而成的。各類安全組織和廠家設計和生產出各類網(wǎng)絡安全準則、技術和產品，如病毒檢測防范、入侵檢測、防火墻等，以期對網(wǎng)絡體系提供不同的安全防護。但是,現(xiàn)有的產品功能互不補充，可擴展性較差,并且性質比不高。

由此可以看出目前網(wǎng)絡安全體系這種分散異構難以管理的結構是以往解決網(wǎng)絡安全問題的方式的造成的，每當出現(xiàn)某種類型的網(wǎng)絡安全問題，會單獨設計針對此類問題的安全技術或者產品，各類安全技術和產品各司其職，缺乏交互性和連通性，這樣自然不能獲得準確的全局視圖，整個網(wǎng)絡安全體系的發(fā)展缺乏長遠規(guī)劃和建設0。這樣一旦出現(xiàn)大范圍或復雜的網(wǎng)絡攻擊時，這樣缺乏聯(lián)動的網(wǎng)絡安全體系結構，必然十分脆弱。

此外，隨著網(wǎng)絡規(guī)模的增大和對安全要求的日益加強，網(wǎng)絡管理員不僅要會對不同廠家、不同類型的網(wǎng)絡安全產品進行分別配置、調試和管理，還要能夠從眾多的網(wǎng)絡安全設備的安全日志信息中獲得綜合的網(wǎng)絡安全信息進行網(wǎng)絡的統(tǒng)一管理，加大了工作量，提高了工作難度。

2 網(wǎng)絡安全管理技術介紹

針對上述各種網(wǎng)絡安全技術和產品構成的復雜網(wǎng)絡安全體系，迫切需要一種能夠針對計算機網(wǎng)絡應用體系中各個方面的安全技術和產品進行統(tǒng)一的管理、協(xié)調，進而從整體上提高整個計算機網(wǎng)絡的防御入侵，抵抗攻擊能力的體系，因此一種新的技術就應運而生——網(wǎng)絡安全管理技術。

網(wǎng)絡安全管理是一種綜合型技術,需要來自信息安全、網(wǎng)絡管理、人工智能等多個領域研究成果的支持。其目標是充分利用以上領域的技術,解決計算機應用體系中各種安全技術和產品的統(tǒng)一管理和協(xié)調問題,從整體上提高整個網(wǎng)絡的防御入侵、抵抗攻擊的能力,保持系統(tǒng)及服務的完整性、可靠性和可用性。

網(wǎng)絡安全管理系統(tǒng)的體系結構是近年來的研究熱點。該技術不僅能夠通過智能分析和自動響應,將管理者從海量的報警數(shù)據(jù)和繁重的安全管理任務之中解放出來,而且能夠輔助制定和執(zhí)行安全決策,通過產品聯(lián)動提高整體安全防護能力。因此,在日趨復雜的網(wǎng)絡環(huán)境和嚴峻的安全形勢下,它是解決眾多棘手問題的有效手段。

3 移動Agent介紹

3.1移動Agent概念介紹

Agent源于人工智能領域，能在一定程度上模擬人類的行為和關系，其是處在某種環(huán)境下的計算機系統(tǒng)，該系統(tǒng)有能力在這個環(huán)境中靈活的、自主的行動以實現(xiàn)其目標。隨著技術的發(fā)展，Agent的特性越來越多，出現(xiàn)了能夠自由移動并完成某特定功能的Agent，稱之為移動Agent（Mobile Agent）。

移動Agent是能在同構或異構網(wǎng)絡中自主遷移的程序，可以將其簡明地定義為：包含所規(guī)定功能的代碼、數(shù)據(jù)以及執(zhí)行語境的軟件包，它可以在執(zhí)行過程中，有目的、自治地在網(wǎng)絡中移動，從一個節(jié)點遷移到另一個節(jié)點繼續(xù)運行，利用分布資源的局部交換而完成分布任務的軟件實體。在移動Agent模式中,在網(wǎng)絡的一端A擁有服務所需要的代碼,但所需要的資源在B端,A能夠將代碼及中間狀態(tài)結果等一起發(fā)送至B,再利用B上的資源繼續(xù)執(zhí)行。移動Agent思想的提出,使得Agent技術具有了動態(tài)性和分布計算的特點,進一步擴展了Agent處理事務的功能。

3.2 移動Agent特性

移動Agent的特性是在秉承Agent的特性的基礎上增加了移動性。

（1）自治性：Agent可在無人或其他Agent直接干涉的情況下運行，并且對自己的行為和內部狀態(tài)有自控能力。

（2）社會性：Agent與其他Agent通過某種Agent語言進行信息交流。

（3）反映性：Agent能理解周圍的環(huán)境，并對環(huán)境的變化做出實時反應。

（4）能動性：Agent不僅能夠對所處環(huán)境做出反應，也能通過接受某些信息，表現(xiàn)出有目標的行為。

（5）移動性：Agent可在信息網(wǎng)絡上自主地從一個地方遷移到另一個地方。

Agent移動的目的就是使程序的執(zhí)行盡可能靠近目標主機的數(shù)據(jù)源，有效地降低網(wǎng)絡通信開銷，加快任務執(zhí)行，從而提高分布式系統(tǒng)的處理效率。

3.3 移動Agent體系結構

移動Agent體系結構可以定義為相互關聯(lián)的模塊的集合，包括：安全管理、環(huán)境交互模塊（通信）、任務求解模塊、知識庫、內部狀態(tài)集、約束條件和路由策略，各模塊之間交互關系如圖1所示。整個體系結構中最外層為安全管理模塊，實現(xiàn)與外部環(huán)境的溝通并判斷外部環(huán)境是否非法訪問本Agent。通過環(huán)境交互模塊感知環(huán)境并利用交互語言實現(xiàn)Agent之間的正常通信和協(xié)調。當Agent被激活后，任務求解模塊進行調用不同方法及推理實現(xiàn)任務的執(zhí)行，為了保證任務的順利執(zhí)行，調用知識庫感知周圍世界及自身模型，并將執(zhí)行狀態(tài)保存于狀態(tài)集中，通過約束條件做出約束，通過路由策略實現(xiàn)智能化移動。

4 基于移動Agent網(wǎng)絡安全管理模型

4.1 概述

綜上所述，利用網(wǎng)絡安全管理技術實現(xiàn)網(wǎng)絡安全體系中的安全技術和產品的統(tǒng)一管理和協(xié)調，從整體上提高網(wǎng)絡的防御入侵的能力是一種明智的解決方式。

因為移動Agent擁有自治和移動的特殊性能，其能夠根據(jù)實際情況，通過交互自治協(xié)同完成某些特定安全管理任務，不再將所有的信息傳遞至信息管理控制中心，這樣不僅有效減少傳輸開銷，更能減輕管理員的工作負荷。

所以將移動Agent應用于網(wǎng)絡安全管理技術中，為網(wǎng)絡安全管理提供一個智能化管理的工具，將網(wǎng)絡安全管理技術的理念具體實現(xiàn)化，從而達到便捷統(tǒng)一管理的目的。

4.2 NSMM-MA

因如今各地網(wǎng)絡拓撲結構均已基本定型，各單位的內網(wǎng)拓撲結構一般不允許重建或者被大規(guī)模的修改，若要為了網(wǎng)絡安全的整體性而改變整個網(wǎng)絡的結構這種想法是不現(xiàn)實的，最理想的狀態(tài)是在原有的網(wǎng)絡拓撲的基礎上實現(xiàn)有效的網(wǎng)絡安全管理。

如圖2所示，一般簡單內網(wǎng)的拓撲圖，由中心路由實現(xiàn)與外網(wǎng)的互通，利用中心交換機實現(xiàn)內網(wǎng)拓撲的單/雙核心，在核心交換機上掛聯(lián)相關服務器，核心交換機下分若干分層交換機連接集線HUB或主機等。

圖1 移動Agent體系結構

圖2 一般局域網(wǎng)拓撲結構

根據(jù)網(wǎng)絡拓撲結構，將不同類型的Agent引入到網(wǎng)絡的不同位置，完成不同的功能，以實現(xiàn)Agent分類分層安全自治的目標，同時利用移動Agent進行交互，完成具體的任務。模型中Agent的分類和分層示意圖如圖3所示。

整個模型分為三層，分別為管理評估層、控制層和操作層。

（1）管理評估層：主要實現(xiàn)對Agent的管理和對整個網(wǎng)絡安全的評估，并將評估結果實時反饋給網(wǎng)絡管理員，由管理員做進一步指示。

（2）控制層：實現(xiàn)不同Agent的交互、更新和查詢等任務，傳達分配實時或者固定任務給操作層的Agent。

（3）操作層：具體執(zhí)行安全任務的Agent，完成網(wǎng)絡的認證和入侵檢測等安全任務，實現(xiàn)基本安全控制。

整個系統(tǒng)中三層的通信和交互通過移動Agent實現(xiàn)，在實際的安全管理中，移動Agent從管理層獲取任務，移動到控制層進行任務的派發(fā)和交互，如需操作層的其他Agent協(xié)同完成任務會移動到操作層共同完成。

圖3 模型Agent分層分布示意圖

將上述分層分類的Agent管理模型應用到網(wǎng)絡拓撲中，如圖4所示。

將Agent管理模型的管理評估層部署到與中心交換機連接的服務器中通過服務器實現(xiàn)主控和管理，將控制層部署到分層交換機上實現(xiàn)任務的傳達和分配工作，將操作層部署到終端主機上，在終端主機上直接完成系統(tǒng)最基本的安全認證和入侵檢測功能，移動Agent在網(wǎng)絡中移動完成不同安全任務，這樣可有效減少網(wǎng)絡流量和管理員工作負擔。

5 結束語

本文闡述了一種基于移動Agent的網(wǎng)絡安全管理模型，文章從現(xiàn)今網(wǎng)絡安全體系現(xiàn)狀入手，分析只有實現(xiàn)網(wǎng)絡安全管理才能解決目前網(wǎng)絡安全系統(tǒng)雜亂無章的現(xiàn)狀，同時將Agent引入網(wǎng)絡安全管理技術中，為其具體的實施提供了一種可能的解決方案，設計了一種能夠實現(xiàn)統(tǒng)一管理的網(wǎng)絡安全管理模型。因本人知識的程度和時間等原因，本模型還有許多不足之處，如移動Agent之間的交互銜接問題等，將在后續(xù)文章中繼續(xù)研究說明。

圖4 基于移動Agent的網(wǎng)絡安全管理模型示意圖

[1]伏曉，蔡圣聞，謝立.網(wǎng)絡安全管理技術研究[J].計算機科學，2009.

[2]張世永.網(wǎng)絡安全原理與應用[J].科學出版社，2003.

[3]Hyland P C,Sandhu R.Concentric Supervision of Security App-lications:A New Security Management Paradig m//Annual Computer Security Application Conference. Phoenix,USA,1998.

[4]Boudaoud K,McCatieNevile C.An Intelligent Agent –based Model for Security ManagementMThe 7th IEEE International Symposium on Computers and Communicatio- ns. Taormina,Italy,2002.

[5]王汝傳，徐小龍，黃海平.智能Agent及其在信息網(wǎng)絡中的應用[J].北京郵電大學出版社，2006.

[6]李丹陽.小型網(wǎng)絡管理中基于移動Agent數(shù)據(jù)采集的研究[J].電腦知識與技術，2016.

[7]張宇蓉.無線傳感器網(wǎng)絡中基于移動Agent的數(shù)據(jù)采集研究[M].太原: 太原理工大學，2010.

[8]王茜, 張玉明.校園網(wǎng)管理中基于移動Agent數(shù)據(jù)采集問題的研究與設計[J]. 計算機與現(xiàn)代化, 2014.

[9]馮新宇，呂建，曹建農.通用的移動Agent通信框架設計[J].軟件學報，2003.

藏區(qū)網(wǎng)絡空間安全與輿情智能監(jiān)管科研創(chuàng)新團隊建設項目；西藏自治區(qū)高校青年教師創(chuàng)新支持計劃(QCZ2016-41)。