基于智能Agent技术的多层次网络安全态势评估系统

　从网络安全态势评估的基本概念和范畴可以知道，其主要对是对网络安全设备所处理的数据流尽心更高层次提取和处理的过程，跟人类的思维过程存在诸多相似性，其在评估过程中会考虑到诸多因素和参数；同时，网络上的各种信息源其本身就带有不确定性和随机性，所以在具体的评估过程中，其所采用的各类运算都是基于知识和模拟人类大脑思维模式的一种符号推理过程。所以，各种智能化技术由于所具备的优势，在该领域的得到了广泛应用。其中，基于Agent技术的多层次网络安全态势评估就是现在人们的研究热点。
　　1 系统外部结构设计
　　1.1 网络安全态势评估系统设计思想
　　1.现有网络安全系统的缺点
　　网络应用的不断深入，网络安全问题成为影响网络应用发展的关键，而现在普遍采用的网络安全系统，大多数都是通过比较单一的独立结构来完成对大量数据的收集和分析。这种单一的结构，网络数据的审查则主要通过单个主机的审计来承担，当然，还可以通过网络上的数据包的监控来实现对数据的监控和收集。然后，还应该借助于独立的分析模块和技术来对收集的数据进行收集。从这种处理方式的过程可以发现传统网络安全系统的一些缺陷：（1）相对集中的分析器更容易存在单点失败问题。这样，如果出现单个网络入侵将分析器工作瘫痪的话，会使得这个系统的功能都丧失；（2）系统的扩展性能受到了限制。如果在实现过程中仅利用单个主机来对信息进行处理，则只能适用于网络规模较小的情况。如果对网络规模扩大后的规模进行综合考虑，则集中形式的分析器就难以胜任信息量增加的情况；（3）难以为现有的网络安全系统配置新功能。现在，所能够采用的增加或者改变网络配置的方法，概括起来主要有：针对配置文件的编辑、在表中增加新的模块；（4）在对网络运行中的数据进行分析中，其结果容易出现偏差。因此，仅仅通过一台主机来实现对其他主机网络信息的收集，就会给入侵者造成留下漏洞，使其可能逃避系统检测。因为，在这种情况下，网络入侵者就会通过不同主机网络协议栈所存在的漏洞来逃避检测。
　　2.基于智能Agent技术的网络安全态势系统的优势
　　在现有的网络安全态势评估系统构造过程中，通过Agent技术来构建，主要存在如下的优势，即：（1）便于剪裁：在通过大小不一样的Agent实现对系统行为的监测，就可以根据实际情况和系统需要，针对系统来定制有效的监测体系；（2）可训练性：具备了可训练性后，就可以让系统操作员在完成对监测威胁的确定之后，通过Agent的指导，确保其能够将所有的威胁进行识别。在将威胁成功识别的基础上，就可以对其进行处理操作。
　　1.2 网络安全态势评估系统
　　基于智能Agent的网络安全态势评估系统主要采用多层结构来实现，这样，整个系统的中的所有层中的任何Agent都能够针对其下层Agent行为进行控制和监测，同时，该Agent也被其上层Agent所控制。在充分利用系统层次结构的基础上，就能够有效发挥集中控制和网络控制的优势。通过层内的集中控制，以及层间的网络控制策略来完成系统的集成。对于此种结构的性能，则具备更高的灵活性和可扩展性，因为多层的控制结构能够为Agent直接通过松散耦合来集成多Agent系统，从而使得系统的局部变化不会对其他层次功能产生影响，可以认为是一种很好的体系结构。
　　2 系统内部核心设计
　　2.1 智能Agent内核
　　在基于Agent技术的多层次网络安全态势评估系统中，针对Agent的设计，主要采用一种“插件式”的构造方法来实现。虽然随着网络安全态势评估系统的不同，Agent的功能也存在差异，但是，这些Agent之间还存在诸多共性。所以，在对不同模块进行分离的基础上，就可以实现对Agent内核进行构建和设计的目的。此外，还可以在Agent内核上对接口进行定义，从而将应用在网络安全态势评估过程中的态势理解、觉察和预测等多个模块被布置到Agent内核中。
　　通常，任何Agent都是有通用的Agent内核和多个功能模块而构成。而Agent的内核则由相应的内部数据库、黑板、执行机等多种态势功能模块所构成，这些模块的功能主要为：（1）系统的内部数据库：将与Agent相关的各种信息和模型进行存储；（2）黑板：其功能概括起来就是为Agent的内部模块之间的通信提供支持和服务；（3）执行机：其功能就是实现针对消息的分配、各种功能模块的执行与控制。
　　在Agent中的各个功能模块都是彼此独立的实体，通过执行机的启动来实现并行执行，在通过黑板了协调彼此之间的工作。这样，就能够方便的实现多层次的复合式结构Agent。其中的态势理解模块、态势觉察模块和态势预测模块等都可以通过模块的形式添加到Agent中，这些模块还可以通过编程语言和数据结构来实现。
　　2.2 Agent与功能模块之间的接口
　　前面也介绍过，Agent内核与功能模块之间的通信主要是通过黑板来实现。通过这种方式，就可以在内核和系统的功能模块之间构建一种标准化的接口，使得各种功能模块和Agent之间的通信更加便利。这样，可以在原有程序的基础上进行简单修改，作为任何Agent的功能模块。更加重要的就是，系统如果在构建过程中所累积的功能模块数据足够大，就有可能形成一种更加高级的功能库。而所有的模块都可以随意组合到Agent内核上，进而构成具备某种功能的Agent。
　　2.3 Agent系统通信
　　从系统的多层次分布式通信角度而言，安管和监察系统的通信的构架如图1中所示：
　　公共通信的实体主要由服务程序和嵌入到用户程序中的接口所构成，而这两者在其所属的安管和监察系统可以通用。公共通信可以通过独立的进程来运行，实现通信数据包的转发。而用户接口则通过Java函数的接口来实现，能够对各级安管和监察系统的核心代码进行调用，负责实现协议包封装与拆解，以及共同通信服务程序之间的数据交换。
　　3 结束语
　　在本文中，通过对现有网络安全系统缺陷和网络安全态势评估系统的分析，对智能Agent在网络安全态势评估系统中的应用进行深入研究。在此基础上，可以利用对不同模块的分离来构建对所有Agent相同的Agent内核。
　　参考文献：
　　[1]王汝传，徐小龙，黄海平.智能Agent及其在信息网络中的应用[M].北京：北京邮电大学出版社，2006：83-145.
　　[2]陈亮.网络安全态势的分析方法及建立相关模型[D].上海交通大学硕士论文，2005：12-13.
　　[3]卢爱平，郝洪亮，穆殿宝.基于移动Agent的网络安全态势感知模型[J].科学技术与工程，2011（19）.