◆胡 韵



基于移动Agent的网络安全管理模型的研究

◆胡 韵1,2

（1.西藏民族大学信息工程学院 陕西 712082;2.西藏光信息处理与可视化技术重点实验室 陕西 712082）

针对现今网络安全体系分散式结构的种种弊端，分析得出只有使用网络安全管理技术才能将网络体系中各种安全技术和产品统一管理和协调起来，从整体上提高整个网络的防御入侵能力和减轻管理员的工作负荷。为了将网络安全管理技术具体化，引入了具有自治和移动等功能特性的移动Agent，将其作为实现网络安全管理的重要智能工具，设计了基于移动Agent的网络安全管理模型，该模型在不改变原有网络拓扑的基础上，利用移动Agent的自治和移动的能力，实现任务的智能化处理，在实现全局统一管理的基础上，有效减少了传输开销，减轻了管理负荷。

网络安全；移动Agent；网络安全管理；统一

0 引言

现如今，随着网络技术及应用日新月异的发展，如今的网络正逐渐应用于人类正常生活工作的方方面面，成为一个面向大众的开放性系统。网络的各个方面的发展逐渐复杂和多变，其中对于网络的安全性问题更是逐渐凸现出来。

本文将在深入剖析现如今网络安全体系现状的基础上，介绍一种新型的网络安全管理技术——基于移动Agent的网络安全管理模型（Network Security Management Model Based on Mobile Agent,NSMM-MA），以期提高网络系统中的统一性、自治性和灵活性。本文第1章将简单总结和分析现今网络安全体系的情况，第2章简单介绍网络安全管理技术相关知识，第3章介绍移动Agent相关概念和功能特点等，第4章介绍基于移动Agent的网络安全管理模型，最后对该模型进行分析和总结，提出优势和不足，以期更进一步的改进与研究。

1 网络安全体系现状

为了解决或预防各式安全攻击和漏洞，现今的网络安全体系是由众多异构且彼此独立的安全产品和技术堆积而成的。各类安全组织和厂家设计和生产出各类网络安全准则、技术和产品，如病毒检测防范、入侵检测、防火墙等，以期对网络体系提供不同的安全防护。但是,现有的产品功能互不补充，可扩展性较差,并且性质比不高。

由此可以看出目前网络安全体系这种分散异构难以管理的结构是以往解决网络安全问题的方式的造成的，每当出现某种类型的网络安全问题，会单独设计针对此类问题的安全技术或者产品，各类安全技术和产品各司其职，缺乏交互性和连通性，这样自然不能获得准确的全局视图，整个网络安全体系的发展缺乏长远规划和建设0。这样一旦出现大范围或复杂的网络攻击时，这样缺乏联动的网络安全体系结构，必然十分脆弱。

此外，随着网络规模的增大和对安全要求的日益加强，网络管理员不仅要会对不同厂家、不同类型的网络安全产品进行分别配置、调试和管理，还要能够从众多的网络安全设备的安全日志信息中获得综合的网络安全信息进行网络的统一管理，加大了工作量，提高了工作难度。

2 网络安全管理技术介绍

针对上述各种网络安全技术和产品构成的复杂网络安全体系，迫切需要一种能够针对计算机网络应用体系中各个方面的安全技术和产品进行统一的管理、协调，进而从整体上提高整个计算机网络的防御入侵，抵抗攻击能力的体系，因此一种新的技术就应运而生——网络安全管理技术。

网络安全管理是一种综合型技术,需要来自信息安全、网络管理、人工智能等多个领域研究成果的支持。其目标是充分利用以上领域的技术,解决计算机应用体系中各种安全技术和产品的统一管理和协调问题,从整体上提高整个网络的防御入侵、抵抗攻击的能力,保持系统及服务的完整性、可靠性和可用性。

网络安全管理系统的体系结构是近年来的研究热点。该技术不仅能够通过智能分析和自动响应,将管理者从海量的报警数据和繁重的安全管理任务之中解放出来,而且能够辅助制定和执行安全决策,通过产品联动提高整体安全防护能力。因此,在日趋复杂的网络环境和严峻的安全形势下,它是解决众多棘手问题的有效手段。

3 移动Agent介绍

3.1移动Agent概念介绍

Agent源于人工智能领域，能在一定程度上模拟人类的行为和关系，其是处在某种环境下的计算机系统，该系统有能力在这个环境中灵活的、自主的行动以实现其目标。随着技术的发展，Agent的特性越来越多，出现了能够自由移动并完成某特定功能的Agent，称之为移动Agent（Mobile Agent）。

移动Agent是能在同构或异构网络中自主迁移的程序，可以将其简明地定义为：包含所规定功能的代码、数据以及执行语境的软件包，它可以在执行过程中，有目的、自治地在网络中移动，从一个节点迁移到另一个节点继续运行，利用分布资源的局部交换而完成分布任务的软件实体。在移动Agent模式中,在网络的一端A拥有服务所需要的代码,但所需要的资源在B端,A能够将代码及中间状态结果等一起发送至B,再利用B上的资源继续执行。移动Agent思想的提出,使得Agent技术具有了动态性和分布计算的特点,进一步扩展了Agent处理事务的功能。

3.2 移动Agent特性

移动Agent的特性是在秉承Agent的特性的基础上增加了移动性。

（1）自治性：Agent可在无人或其他Agent直接干涉的情况下运行，并且对自己的行为和内部状态有自控能力。

（2）社会性：Agent与其他Agent通过某种Agent语言进行信息交流。

（3）反映性：Agent能理解周围的环境，并对环境的变化做出实时反应。

（4）能动性：Agent不仅能够对所处环境做出反应，也能通过接受某些信息，表现出有目标的行为。

（5）移动性：Agent可在信息网络上自主地从一个地方迁移到另一个地方。

Agent移动的目的就是使程序的执行尽可能靠近目标主机的数据源，有效地降低网络通信开销，加快任务执行，从而提高分布式系统的处理效率。

3.3 移动Agent体系结构

移动Agent体系结构可以定义为相互关联的模块的集合，包括：安全管理、环境交互模块（通信）、任务求解模块、知识库、内部状态集、约束条件和路由策略，各模块之间交互关系如图1所示。整个体系结构中最外层为安全管理模块，实现与外部环境的沟通并判断外部环境是否非法访问本Agent。通过环境交互模块感知环境并利用交互语言实现Agent之间的正常通信和协调。当Agent被激活后，任务求解模块进行调用不同方法及推理实现任务的执行，为了保证任务的顺利执行，调用知识库感知周围世界及自身模型，并将执行状态保存于状态集中，通过约束条件做出约束，通过路由策略实现智能化移动。

4 基于移动Agent网络安全管理模型

4.1 概述

综上所述，利用网络安全管理技术实现网络安全体系中的安全技术和产品的统一管理和协调，从整体上提高网络的防御入侵的能力是一种明智的解决方式。

因为移动Agent拥有自治和移动的特殊性能，其能够根据实际情况，通过交互自治协同完成某些特定安全管理任务，不再将所有的信息传递至信息管理控制中心，这样不仅有效减少传输开销，更能减轻管理员的工作负荷。

所以将移动Agent应用于网络安全管理技术中，为网络安全管理提供一个智能化管理的工具，将网络安全管理技术的理念具体实现化，从而达到便捷统一管理的目的。

4.2 NSMM-MA

因如今各地网络拓扑结构均已基本定型，各单位的内网拓扑结构一般不允许重建或者被大规模的修改，若要为了网络安全的整体性而改变整个网络的结构这种想法是不现实的，最理想的状态是在原有的网络拓扑的基础上实现有效的网络安全管理。

如图2所示，一般简单内网的拓扑图，由中心路由实现与外网的互通，利用中心交换机实现内网拓扑的单/双核心，在核心交换机上挂联相关服务器，核心交换机下分若干分层交换机连接集线HUB或主机等。

图1 移动Agent体系结构

图2 一般局域网拓扑结构

根据网络拓扑结构，将不同类型的Agent引入到网络的不同位置，完成不同的功能，以实现Agent分类分层安全自治的目标，同时利用移动Agent进行交互，完成具体的任务。模型中Agent的分类和分层示意图如图3所示。

整个模型分为三层，分别为管理评估层、控制层和操作层。

（1）管理评估层：主要实现对Agent的管理和对整个网络安全的评估，并将评估结果实时反馈给网络管理员，由管理员做进一步指示。

（2）控制层：实现不同Agent的交互、更新和查询等任务，传达分配实时或者固定任务给操作层的Agent。

（3）操作层：具体执行安全任务的Agent，完成网络的认证和入侵检测等安全任务，实现基本安全控制。

整个系统中三层的通信和交互通过移动Agent实现，在实际的安全管理中，移动Agent从管理层获取任务，移动到控制层进行任务的派发和交互，如需操作层的其他Agent协同完成任务会移动到操作层共同完成。

图3 模型Agent分层分布示意图

将上述分层分类的Agent管理模型应用到网络拓扑中，如图4所示。

将Agent管理模型的管理评估层部署到与中心交换机连接的服务器中通过服务器实现主控和管理，将控制层部署到分层交换机上实现任务的传达和分配工作，将操作层部署到终端主机上，在终端主机上直接完成系统最基本的安全认证和入侵检测功能，移动Agent在网络中移动完成不同安全任务，这样可有效减少网络流量和管理员工作负担。

5 结束语

本文阐述了一种基于移动Agent的网络安全管理模型，文章从现今网络安全体系现状入手，分析只有实现网络安全管理才能解决目前网络安全系统杂乱无章的现状，同时将Agent引入网络安全管理技术中，为其具体的实施提供了一种可能的解决方案，设计了一种能够实现统一管理的网络安全管理模型。因本人知识的程度和时间等原因，本模型还有许多不足之处，如移动Agent之间的交互衔接问题等，将在后续文章中继续研究说明。

图4 基于移动Agent的网络安全管理模型示意图

[1]伏晓，蔡圣闻，谢立.网络安全管理技术研究[J].计算机科学，2009.

[2]张世永.网络安全原理与应用[J].科学出版社，2003.

[3]Hyland P C,Sandhu R.Concentric Supervision of Security App-lications:A New Security Management Paradig m//Annual Computer Security Application Conference. Phoenix,USA,1998.

[4]Boudaoud K,McCatieNevile C.An Intelligent Agent –based Model for Security ManagementMThe 7th IEEE International Symposium on Computers and Communicatio- ns. Taormina,Italy,2002.

[5]王汝传，徐小龙，黄海平.智能Agent及其在信息网络中的应用[J].北京邮电大学出版社，2006.

[6]李丹阳.小型网络管理中基于移动Agent数据采集的研究[J].电脑知识与技术，2016.

[7]张宇蓉.无线传感器网络中基于移动Agent的数据采集研究[M].太原: 太原理工大学，2010.

[8]王茜, 张玉明.校园网管理中基于移动Agent数据采集问题的研究与设计[J]. 计算机与现代化, 2014.

[9]冯新宇，吕建，曹建农.通用的移动Agent通信框架设计[J].软件学报，2003.

藏区网络空间安全与舆情智能监管科研创新团队建设项目；西藏自治区高校青年教师创新支持计划(QCZ2016-41)。