多Agent的網(wǎng)絡(luò)對(duì)抗系統(tǒng)仿真建模

蔡紅柳，田 磊，高 朦

(裝甲兵工程學(xué)院信息工程系，北京 100072)

專(zhuān)家們認(rèn)為［1］，建模仿真正在成為繼理論研究、科學(xué)實(shí)驗(yàn)之后第3種認(rèn)識(shí)世界的手段。運(yùn)用建模仿真手段，建立網(wǎng)絡(luò)對(duì)抗訓(xùn)練模擬系統(tǒng)，為網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)防御等作戰(zhàn)樣式和

網(wǎng)絡(luò)戰(zhàn)法的運(yùn)用提供對(duì)抗模擬、效果演示和攻防訓(xùn)練環(huán)境，是培養(yǎng)掌握網(wǎng)絡(luò)攻擊和防護(hù)技能人才的訓(xùn)練手段。

1 網(wǎng)絡(luò)對(duì)抗系統(tǒng)構(gòu)成

網(wǎng)絡(luò)對(duì)抗是采取各種手段摧毀、破壞和癱瘓對(duì)方網(wǎng)絡(luò)系統(tǒng)，阻止對(duì)方對(duì)有效信息的獲取、傳遞與處理流程，同時(shí)對(duì)自己的計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施整體防護(hù)，保證自己網(wǎng)絡(luò)信息暢通的1種活動(dòng)，包括網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)防御以及探測(cè)。網(wǎng)絡(luò)對(duì)抗的基本特征是以計(jì)算機(jī)網(wǎng)絡(luò)空間為戰(zhàn)場(chǎng)、以計(jì)算機(jī)為主要武器、以信息和軟件為作戰(zhàn)手段、以計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)為主要目標(biāo)進(jìn)行信息網(wǎng)絡(luò)進(jìn)攻與防御。網(wǎng)絡(luò)對(duì)抗包括攻擊性網(wǎng)絡(luò)對(duì)抗活動(dòng)、防護(hù)性網(wǎng)絡(luò)對(duì)抗活動(dòng)和支持性網(wǎng)絡(luò)對(duì)抗活動(dòng)3種。

1.1 網(wǎng)絡(luò)攻擊的構(gòu)成

經(jīng)過(guò)分析發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊持續(xù)的時(shí)間有長(zhǎng)有短，方法和手段多種多樣，達(dá)到的效果各異，紛繁復(fù)雜。若將網(wǎng)絡(luò)攻擊過(guò)程按時(shí)間順序歸納為若干階段，則其可劃分為攻擊身份和位置隱藏、目標(biāo)系統(tǒng)信息收集、弱點(diǎn)信息挖掘分析、目標(biāo)使用權(quán)限獲取、攻擊行為隱蔽、攻擊實(shí)施、開(kāi)辟后門(mén)、攻擊痕跡清除等。攻擊者在各階段使用不同的方法和工具，實(shí)現(xiàn)不同的目標(biāo)，各階段前后呼應(yīng)，共同實(shí)現(xiàn)對(duì)最終目標(biāo)的攻擊。

任何攻擊都包含攻擊者、工具、訪(fǎng)問(wèn)、后果、目標(biāo)5個(gè)基本因素，其分類(lèi)如圖1所示［2］，并且每個(gè)因素又都包含若干子因素。例如，訪(fǎng)問(wèn)因素又包含了攻擊準(zhǔn)備(滲透)、攻擊實(shí)施(滲透并攻擊)、痕跡清除3個(gè)戰(zhàn)術(shù)階段的子因素。1次網(wǎng)絡(luò)攻擊可看作是諸多因素共同作用的復(fù)雜過(guò)程。這種分類(lèi)方法明確地將源、目標(biāo)以及后果和手段區(qū)分開(kāi)來(lái)，有助于描述網(wǎng)絡(luò)攻擊模型。

圖1網(wǎng)絡(luò)攻擊分類(lèi)框架

1.2 網(wǎng)絡(luò)防御的構(gòu)成

網(wǎng)絡(luò)防御是在加強(qiáng)防護(hù)能力的同時(shí)，加強(qiáng)對(duì)自身漏洞和狀態(tài)的檢測(cè)、管理、監(jiān)控以及處理能力，形成對(duì)安全事件的快速響應(yīng)。防護(hù)的目的在于阻止或延遲入侵時(shí)間，為檢測(cè)和響應(yīng)提供更多的時(shí)間［3］。檢測(cè)和發(fā)現(xiàn)的目的在于做出快速防御反應(yīng)。將防護(hù)、檢測(cè)和響應(yīng)結(jié)合安全策略，構(gòu)成防御策略體系，如圖2所示。

圖2 網(wǎng)絡(luò)防御策略體系

由于網(wǎng)絡(luò)攻擊會(huì)使網(wǎng)絡(luò)和計(jì)算機(jī)主機(jī)出現(xiàn)拒絕服務(wù)、信息泄露、信息損壞和信息被盜用的后果，因此，檢測(cè)網(wǎng)絡(luò)通信度量和主機(jī)的可計(jì)算度量，并將這2個(gè)指標(biāo)作為是否遭到網(wǎng)絡(luò)攻擊的依據(jù)，通過(guò)比較判斷上述2個(gè)指標(biāo)，可決定采取何種響應(yīng)策略。主機(jī)的可計(jì)算度量［4］主要指主機(jī)的計(jì)算資源使用率(主要是CPU的使用情況)、存儲(chǔ)資源使用率(包括內(nèi)存以及硬盤(pán)資源使用情況)以及開(kāi)放的服務(wù)信息等;網(wǎng)絡(luò)通信度量指網(wǎng)絡(luò)帶寬、TCP連接數(shù)、丟包率、端口使用信息以及其他可測(cè)量的通信度量。

在網(wǎng)絡(luò)對(duì)抗體系中，攻擊者針對(duì)不同的目標(biāo)和目的，可采取多種攻擊工具實(shí)施網(wǎng)絡(luò)攻擊。而有效的防御策略必須能對(duì)網(wǎng)絡(luò)攻擊進(jìn)行快速檢測(cè)和判斷，并做出快速、準(zhǔn)確的防御響應(yīng)。

歸納起來(lái)，網(wǎng)絡(luò)對(duì)抗系統(tǒng)是1個(gè)由不同攻擊者，攻擊工具，訪(fǎng)問(wèn)途徑，攻擊后果，以及防御方信息采集、安全態(tài)勢(shì)評(píng)估、防御響應(yīng)等組成的復(fù)雜系統(tǒng)，體現(xiàn)出由網(wǎng)絡(luò)攻、防(實(shí)體)，各實(shí)體節(jié)點(diǎn)間(物理、邏輯)“連接/關(guān)系”以及各實(shí)體節(jié)點(diǎn)間信息“比特流”交互、輸送、聚集、融合等構(gòu)成的具有混沌、突變、分形、涌現(xiàn)等的高度復(fù)雜非線(xiàn)性系統(tǒng)特性［5］。

2 網(wǎng)絡(luò)對(duì)抗系統(tǒng)的Agent抽象

依據(jù)復(fù)雜適應(yīng)系統(tǒng)理論，分析網(wǎng)絡(luò)對(duì)抗系統(tǒng)中網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)防御間的靜態(tài)關(guān)系與對(duì)抗態(tài)勢(shì)變化的動(dòng)態(tài)關(guān)系。對(duì)于具有復(fù)雜特性的網(wǎng)絡(luò)對(duì)抗系統(tǒng)的建模與仿真，可將網(wǎng)絡(luò)對(duì)抗系統(tǒng)中攻防實(shí)體及攻防過(guò)程中需要的規(guī)則、策略抽象為Agent，并確定每個(gè)Agent具有的屬性和承擔(dān)的功能，如表1所示。

表1 網(wǎng)絡(luò)對(duì)抗系統(tǒng)中的Agent及屬性

每個(gè)Agent都是具有行為特征的動(dòng)態(tài)實(shí)體，通用Agent結(jié)構(gòu)模型如圖3所示。Agent由感知模塊、知識(shí)庫(kù)、推理模塊、內(nèi)部狀態(tài)模塊、效應(yīng)模塊和通信模塊組成。主體通過(guò)感知模塊來(lái)感知外部環(huán)境，對(duì)環(huán)境信息做出一定的處理，并送到推理模塊;推理模塊在知識(shí)庫(kù)的支持下，根據(jù)感知得到的外部信息做出推理，將推理結(jié)果傳送給效應(yīng)模塊與通信模塊;效應(yīng)模塊則根據(jù)傳入的動(dòng)作命令做出相應(yīng)的行動(dòng)，對(duì)外部環(huán)境做出響應(yīng);通信模塊主要用來(lái)處理Agent之間的信息交換。

圖3 通用Agent結(jié)構(gòu)模型

3 基于多Agent系統(tǒng)的網(wǎng)絡(luò)對(duì)抗系統(tǒng)模型

在明確體系對(duì)抗生成與演化機(jī)制的基礎(chǔ)上，運(yùn)用多A－gent建模技術(shù)構(gòu)建以復(fù)雜網(wǎng)絡(luò)為中心的網(wǎng)絡(luò)攻擊方、態(tài)勢(shì)顯示、網(wǎng)絡(luò)防御方的多 Agent系統(tǒng)(multi－agent system，MAS)模型體系框架，如圖4所示，來(lái)模擬整個(gè)網(wǎng)絡(luò)對(duì)抗系統(tǒng)的功能和對(duì)抗的過(guò)程。

3.1 識(shí)別系統(tǒng)角色的功能和結(jié)構(gòu)

識(shí)別網(wǎng)絡(luò)對(duì)抗系統(tǒng)中各目標(biāo)和任務(wù)對(duì)應(yīng)的角色，分析目標(biāo)和任務(wù)的相關(guān)性，將相關(guān)角色識(shí)別為1個(gè)粗粒度的Agent。根據(jù)系統(tǒng)的任務(wù)可知，系統(tǒng)由網(wǎng)絡(luò)攻擊方、網(wǎng)絡(luò)防御方以及態(tài)勢(shì)顯示三大部分組成。其核心是各種類(lèi)型的實(shí)體Agent:攻擊者Agent、攻擊工具Agent、過(guò)程控制 Agent、攻擊執(zhí)行 A－gent、信息采集 Agent、態(tài)勢(shì)評(píng)估 Agent、防御響應(yīng) Agent以及態(tài)勢(shì)顯示Agent等。所有Agent都服從系統(tǒng)整體目標(biāo)任務(wù)，通過(guò)Agent之間的通信來(lái)模擬真實(shí)系統(tǒng)各角色的交互，從而實(shí)現(xiàn)整個(gè)系統(tǒng)的功能。

各實(shí)體Agent的結(jié)構(gòu)在通用Agent模型的基礎(chǔ)上，根據(jù)自身功能和承擔(dān)的責(zé)任確定內(nèi)部功能模塊。知識(shí)庫(kù)是Agent的重要功能模塊，是決策的重要依據(jù)，也是區(qū)別個(gè)體Agent的重要特征。數(shù)據(jù)庫(kù)可采用XML文檔表示，XML具有良好的數(shù)據(jù)存儲(chǔ)格式、可擴(kuò)展性、高度結(jié)構(gòu)化、便于網(wǎng)絡(luò)傳輸?shù)忍攸c(diǎn)，能夠支持Agent從一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)到另一個(gè)異構(gòu)節(jié)點(diǎn)之間的移動(dòng)［6］。

3.2 系統(tǒng)靜態(tài)關(guān)系和動(dòng)態(tài)行為描述

系統(tǒng)靜態(tài)關(guān)系主要利用UML類(lèi)圖來(lái)描述，確定系統(tǒng)包含的Agent類(lèi)及類(lèi)之間的靜態(tài)關(guān)系。通過(guò)該層信息的描述，可初步確定系統(tǒng)的組成及系統(tǒng)框架。

網(wǎng)絡(luò)對(duì)抗系統(tǒng)的復(fù)雜性主要體現(xiàn)在系統(tǒng)的動(dòng)態(tài)行為上。網(wǎng)絡(luò)對(duì)抗系統(tǒng)包括攻擊方實(shí)體、防御方實(shí)體以及其他功能性實(shí)體，各實(shí)體之間傳遞著大量的控制、信息數(shù)據(jù)流，使其成為1個(gè)動(dòng)態(tài)的復(fù)雜系統(tǒng)。這里的動(dòng)態(tài)行為有系統(tǒng)級(jí)的動(dòng)態(tài)交互、模塊級(jí)的內(nèi)部行為和狀態(tài)變化，以及實(shí)體級(jí)的自身狀態(tài)遷移。網(wǎng)絡(luò)對(duì)抗系統(tǒng)的動(dòng)態(tài)行為建模就涉及到以上3個(gè)層面的模型，如圖5所示。

圖4 網(wǎng)絡(luò)對(duì)抗系統(tǒng)體系MAS結(jié)構(gòu)框架

圖5 網(wǎng)絡(luò)對(duì)抗系統(tǒng)的活動(dòng)

圖5中描述了網(wǎng)絡(luò)對(duì)抗系統(tǒng)從攻擊到防御響應(yīng)的整個(gè)活動(dòng)。網(wǎng)絡(luò)攻擊方確定攻擊目標(biāo)、制定攻擊策略并下達(dá)攻擊指令;攻防實(shí)體實(shí)施具體攻防活動(dòng)，并報(bào)告結(jié)果和自身狀態(tài);網(wǎng)絡(luò)防御方完成攻擊行為的檢測(cè)、判斷以及安全態(tài)勢(shì)評(píng)估，制定和選擇合適的防御策略，并做出合適的網(wǎng)絡(luò)防御響應(yīng)。圖中的某個(gè)活動(dòng)可能存有2個(gè)及以上的輸入控制流，他僅表示輸入流流向同一個(gè)活動(dòng)，與輸入流的同步“結(jié)合”無(wú)關(guān)。

3.3 模型的細(xì)化

在完成系統(tǒng)功能實(shí)體的抽象，確定整個(gè)系統(tǒng)的靜態(tài)體系結(jié)構(gòu)和總活動(dòng)圖后，須對(duì)模型進(jìn)行細(xì)化。根據(jù)Agent的責(zé)任和功能確定其具體的內(nèi)部功能模塊，確定Agent需要響應(yīng)的外部事件以及需要對(duì)外做出的反應(yīng)。此外，還需確定Agent之間的通信方式、通信語(yǔ)言以及與其他Agent之間要遵循的交互協(xié)議。最后，對(duì)設(shè)計(jì)的思路進(jìn)行檢查和修正，并進(jìn)行程序的開(kāi)發(fā)。

4 結(jié)束語(yǔ)

基于A(yíng)gent的復(fù)雜系統(tǒng)建模理論與方法是最具活力、最有影響力的建模方法之一，他為分布式復(fù)雜系統(tǒng)的問(wèn)題研究提供了新的思路。本文利用Agent建模思想，對(duì)網(wǎng)絡(luò)對(duì)抗系統(tǒng)進(jìn)行建模研究，通過(guò)對(duì)系統(tǒng)的靜態(tài)結(jié)構(gòu)和動(dòng)態(tài)行為的建模分析，可為下一步的模型細(xì)化和仿真實(shí)現(xiàn)奠定基礎(chǔ)。

［1］ 胡曉峰，楊靖宇，司光亞，等.戰(zhàn)爭(zhēng)復(fù)雜系統(tǒng)仿真分析與實(shí)驗(yàn)［M］.北京:國(guó)防大學(xué)出版社，2008.

［2］ Howard J.An Analysis of Security Incidents on the Internet［D］.USA:Carnegie Mellon University，1997.

［3］ 盧昱.協(xié)同式網(wǎng)絡(luò)對(duì)抗［M］.北京:國(guó)防工業(yè)出版社，2003.

［4］ Qu Guangzhi，Tushneem R.Vulnerability Analysis for Network Faults and Attack［M］.California:University of Arizona and University of Southern California，2001.

［5］ 郭雷，許曉鳴.復(fù)雜網(wǎng)絡(luò)［M］.上海:上?？萍冀逃霭嫔?，2006.

［6］ 陳志偉.基于A(yíng)gent的協(xié)同開(kāi)發(fā)體系［J］.東北林業(yè)大學(xué)學(xué)報(bào)，2008，36(8):90 －91.

(責(zé)任編輯魯 進(jìn))