基于移動代理的校園網(wǎng)安全監(jiān)控與防御體系探究

◆夏奕

校園網(wǎng)絡安全

基于移動代理的校園網(wǎng)安全監(jiān)控與防御體系探究

◆夏奕

（湖北交通職業(yè)技術學院信息中心 湖北 430079）

本文根據(jù)當前網(wǎng)絡安全監(jiān)控體系國內(nèi)外研究現(xiàn)狀，以及移動代理技術研究現(xiàn)狀，分析了當前校園網(wǎng)絡業(yè)務需求，應用現(xiàn)狀和系統(tǒng)特點，初步設計了校園網(wǎng)絡安全監(jiān)控與防御體系，從系統(tǒng)架構，網(wǎng)絡安防系統(tǒng)運行架構及安防系統(tǒng)實現(xiàn)技術等角度進行設計分析，對當前校園網(wǎng)絡安全監(jiān)控和防御體系建設提出建設性意見。

移動代理；網(wǎng)絡安全；校園網(wǎng)絡

1 引言

目前，計算機網(wǎng)絡已經(jīng)成為關系國家穩(wěn)定的重大基礎設施，政府、軍隊、企業(yè)等都在推行信息化建設，加快計算機網(wǎng)絡的部署。由于網(wǎng)絡系統(tǒng)設計相當復雜，操作系統(tǒng)、應用軟件、硬件設備等都不可避免地存在安全漏洞，網(wǎng)絡配置和用戶對網(wǎng)絡使用可能存在疏忽，因此，網(wǎng)絡與系統(tǒng)的安全脆弱性是客觀存在的，這就為黑客采用非正常的手段入侵系統(tǒng)提供了可乘之機。由于網(wǎng)絡協(xié)議本身的設計與具體在操作系統(tǒng)里的實現(xiàn)不可能十全十美，網(wǎng)絡系統(tǒng)結構或者協(xié)議本身固有的缺陷決定了諸多不安全因素，加之當今計算機黑客攻擊的手段的日益復雜，嚴重威脅了計算機網(wǎng)絡的平穩(wěn)運行，為此研究設計高效靈活的網(wǎng)絡安全監(jiān)控系統(tǒng)就愈顯重要[1-2]。

傳統(tǒng)的網(wǎng)絡安全監(jiān)控與防御系統(tǒng)包含眾多的網(wǎng)絡安全產(chǎn)品，例如網(wǎng)絡IDS、IPS、防火墻等，但是由于其系統(tǒng)結構固化、動態(tài)構建能力等原因造成了防護效率低。而移動代理技術具有良好的移動性、靈活性、適應性和跨平臺性，利用移動代理技術構建的網(wǎng)絡安全防御系統(tǒng)可以克服目前網(wǎng)絡安全監(jiān)控系統(tǒng)的短板，從而構建高效的網(wǎng)絡安全監(jiān)控與防御體系。

2 國內(nèi)外相關研究現(xiàn)狀

移動代理技術集分布式計算、人工智能、網(wǎng)絡通信于一體，為異構大負載應用提供了一個新的計算模式[6-9]，它具有移動性、智能性、自主性，并能支持異構的軟、硬件環(huán)境。移動代理可以根據(jù)任務需要自主移動到相關有移動計算平臺的計算機系統(tǒng)上執(zhí)行相關操作。移動代理技術將智能代理技術與多代理技術相結合，成為代理技術研究領域的一個重要分支。移動代理技術主要具有以下優(yōu)勢：（1）可以減少系統(tǒng)的網(wǎng)絡通信流量；（2）可以容忍網(wǎng)絡故障；（3）便于實現(xiàn)負載均衡；（4）便于并行工作；（5）便于實現(xiàn)復雜任務；（6）可以提高系統(tǒng)的可靠性。

基于移動Agent的入侵檢測系統(tǒng)具有減少網(wǎng)絡流量、縮短網(wǎng)絡延遲、動態(tài)自適應、異步自主執(zhí)行、系統(tǒng)無關性、健壯性和容錯能力等特點，移動代理平臺在很多領域得到推廣應用，很多研究證明了移動代理在入侵檢測方面應用具有諸多優(yōu)勢[10-11]，目前將移動代理與入侵檢測結合起來的應用研究大部分討論的是靜止的代理在入侵檢測中的應用，真正利用移動代理與入侵檢測系統(tǒng)結合起來的研究并不多。

3 校園網(wǎng)建設需求分析

3.1 前校園網(wǎng)的業(yè)務分類

高校信息網(wǎng)絡中包含的校園網(wǎng)絡業(yè)務豐富多樣，如Web、DHCP、認證系統(tǒng)、FTP、防毒、備份等。其中的業(yè)務系統(tǒng)按照大小可分為兩類，即一類為基礎網(wǎng)絡系統(tǒng)，二類為校園業(yè)務系統(tǒng)。

（1）一類業(yè)務系統(tǒng)：網(wǎng)關、局域網(wǎng)、數(shù)據(jù)局域網(wǎng)、DNS等。

（2）二類業(yè)務系統(tǒng)：郵件系統(tǒng)、信息綜合發(fā)布平臺、數(shù)字化校園管理無線采集子系統(tǒng)，辦公系統(tǒng)，機房網(wǎng)絡，數(shù)據(jù)服務等。

3.2 校園網(wǎng)業(yè)務系統(tǒng)現(xiàn)狀

當前校園網(wǎng)絡的部署和運行模式存在下列特點。

（1）全部由PC，sever構成的業(yè)務系統(tǒng)。

（2）在同一個業(yè)務系統(tǒng)中，業(yè)務系統(tǒng)中服務器CPU的占用率分布不均，經(jīng)測定，一般服務器使用率平均在10%左右，高峰時也不到35%。原服務器故障率較高，需要更新。

（3）部分業(yè)務系統(tǒng)整體負荷較高，需對現(xiàn)有業(yè)務提出擴容需求。

（4）使用主、備的業(yè)務系統(tǒng)，主用服務器CPU占用率非常高，備用服務器CPU占用率卻很低；存在嚴重的分布不均情況。

3.3 校園網(wǎng)業(yè)務系統(tǒng)特征

根據(jù)針對校園網(wǎng)系統(tǒng)和業(yè)務的調(diào)研，校園網(wǎng)絡的現(xiàn)有業(yè)務系統(tǒng)具有如下特征：

（1）數(shù)量眾多、規(guī)模各異；

（2）系統(tǒng)建設需求存在不確定因素，業(yè)務系統(tǒng)存在不可預見因素，建設目標需根據(jù)業(yè)務發(fā)展而定；

（3）功能需求個性化、多樣化、即時性要求高，建設周期要求較短；

（4）多系統(tǒng)資源、能力調(diào)用需求增多，融合性業(yè)務逐步衍生，帶來多系統(tǒng)資源、能力相互調(diào)用需求。

各業(yè)務系統(tǒng)內(nèi)部功能模塊存在共通性，但是在傳統(tǒng)網(wǎng)絡建設模式下各業(yè)務系統(tǒng)均為采用“煙囪式”架構。各業(yè)務系統(tǒng)缺乏集中控制點、相同的功能模塊不能共享、用戶數(shù)據(jù)存在多次復制、用戶接觸和體驗不一致。

4 校園網(wǎng)絡安全監(jiān)控與防御體系建設

4.1 網(wǎng)絡安防系統(tǒng)基本設計

基于移動代理的網(wǎng)絡安全監(jiān)控與防御系統(tǒng)設計框架如圖1所示。首先對安防系統(tǒng)的需求分析和問題分析，形成監(jiān)控網(wǎng)絡的安全需求。然后設計相應的數(shù)據(jù)收集標準和移動代理之間信息交互的標準，同時進行安防系統(tǒng)的設計和開發(fā)，根據(jù)監(jiān)控目標的不同選擇區(qū)分不同的移動代理，并集成構建網(wǎng)絡安全監(jiān)控系統(tǒng)。最后，對系統(tǒng)在真實和仿真兩種網(wǎng)絡環(huán)境下進行測試。

系統(tǒng)面向校園網(wǎng)絡安全監(jiān)測與防御具體需求，采取層次化設計的步驟，以安全監(jiān)控、需求系統(tǒng)設計、開發(fā)功能驗證三個步驟，為迭代設計網(wǎng)絡安全移動代理平臺的框架?；究蚣苋鐖D2所示。

4.2 網(wǎng)絡安防系統(tǒng)運行設計

系統(tǒng)共分為四大模塊，其中被監(jiān)控網(wǎng)絡是網(wǎng)絡安全防護的對象，是實際運行的網(wǎng)絡。網(wǎng)絡NIDS是基于流量數(shù)據(jù)分析的入侵檢測系統(tǒng)，主要負責對當前被監(jiān)控網(wǎng)絡的安全態(tài)勢給出一個宏觀的判斷，其檢測輸出結果可以作為分析子系統(tǒng)中移動代理的創(chuàng)建及管理策略的輸入。同時被監(jiān)控網(wǎng)絡中各被監(jiān)控節(jié)點的移動代理可以根據(jù)其狀態(tài)是否被掛起決定是否采集本節(jié)點的數(shù)據(jù)并上報給子系統(tǒng)中的移動代理數(shù)據(jù)分析模塊。而移動代理狀態(tài)分析模塊的輸入可以作為響應子系統(tǒng)的輸入，根據(jù)分析結果產(chǎn)生網(wǎng)絡安全狀態(tài)告警策略，并根據(jù)策略實現(xiàn)網(wǎng)絡異常行為的控制。圖示中紅線為數(shù)據(jù)流，主要承載數(shù)據(jù)的傳送。藍線為控制流，主要承載模塊之間的控制流傳送，虛線為移動代理的遷移范圍，移動代理可以在裝有移動代理運行環(huán)境（MAE）的網(wǎng)絡節(jié)點間任意的移動。四個模塊中網(wǎng)絡NIDS負責監(jiān)控網(wǎng)絡中的基本安全態(tài)勢，據(jù)此指導移動代理的產(chǎn)生策略，各個移動代理協(xié)調(diào)工作實現(xiàn)安防目標。

圖1 校園網(wǎng)安全監(jiān)控與防御系統(tǒng)設計

圖2 校園網(wǎng)安全監(jiān)控與防御體系架構

圖3 校園網(wǎng)絡安全監(jiān)控防御體系運維視圖

4.3 校園安防系統(tǒng)實現(xiàn)技術分析

（1）移動：根據(jù)監(jiān)控目標的不同，將移動代理遷移策略分為強移動代理和弱移動代理。

（2）命名和定位：移動代理的命名完全透明，代理的名字由局部地址信息（通常為主機節(jié)點地址+端口號）和本地名字或ID號組成，移動代理的定位采用廣播查詢方法實現(xiàn)。

（3）安全性：在代理的安全網(wǎng)絡傳輸方面采用加密技術保護信息的安全性。通過身份認證控制移動代理對資源的訪問。通常隔離代理的執(zhí)行、相互認證的方法，保護代理免受其他惡意代理的攻擊。

5 結束語

本文主要針對如何采用移動代理技術實現(xiàn)校園網(wǎng)絡安全態(tài)勢監(jiān)控和防御的體系架構的分析設計，對系統(tǒng)架構、信息流程、系統(tǒng)運維等進行了闡述，并對主要模塊進行了分析和探討，總結了校園移動代理實現(xiàn)應用中的技術要點。

[1]中國互聯(lián)網(wǎng)絡信息中心. 第33次中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告.CNNIC，2014.

[2]戴汝為，操龍兵. Internet——一個開放的復雜巨系統(tǒng)[J]. 中國科學E輯：技術科學，2003（04）：289-296.

[3]趙琳琳，顏若愚，李奇勝.基于P2DER 模型的網(wǎng)絡安全主動協(xié)同防護系統(tǒng)框架[J].現(xiàn)代計算機，2010（2）：93-97.

[4]孟學軍，石崗.基于P2DR的網(wǎng)絡安全體系結構[J].2014，30（4）：99-101.

[5]張同升.基于P2DR2 信息系統(tǒng)安全策略研究[J].信息安全與通信保密，2013（05）：90-92.

[6]Dalmeijer M.，Hammer D.K.，Aerts A.T.M. Mobile software agents. Computers in Industry，2000（41）：251-260.

[7]Gernal Magic，Telescript/Odyssey. http://www.genmagic.com/agents.

[8]Agent Transport Protocol Specification. IBM Aglet Work Bench. http://www.trl.ibm.com.jp/aglets.

[9]Alberto Castillo，Masataka Kawaguchi. Concordia TM as Enabling Technology for Cooperative Information Gathering. http://www.informatik.uni-stuttgart.de/.

[10]蔣建春，馮登國.網(wǎng)絡入侵事件檢測原理與技術[J].國防工業(yè)出版社，2001.

[11]Kumar G. Classification and detection of computer intrusions. Purdue University，1995.