網(wǎng)絡(luò)安全主動管理模型研究與實(shí)現(xiàn)

張梅瓊， 許麗卿

（福建師范大學(xué) 協(xié)和學(xué)院，福建 福州 350108）

0 引言

隨著網(wǎng)絡(luò)應(yīng)用規(guī)模的擴(kuò)大，網(wǎng)絡(luò)安全問題也變得復(fù)雜和難以判斷?，F(xiàn)有網(wǎng)絡(luò)安全管理系統(tǒng)大多是依據(jù)問題特征來選擇解決方案，這種模式在問題發(fā)生并產(chǎn)生危害后才尋找解決策略，具有嚴(yán)重的滯后性，容易導(dǎo)致網(wǎng)絡(luò)安全問題擴(kuò)大化。因此，提出網(wǎng)絡(luò)安全主動管理模型，該模型具有良好的實(shí)時性，能夠更及時地解決網(wǎng)絡(luò)安全問題。

圖1 網(wǎng)絡(luò)安全監(jiān)控報(bào)警系統(tǒng)

1 網(wǎng)絡(luò)安全主動管理模型的總體設(shè)計(jì)

網(wǎng)絡(luò)運(yùn)行狀況對于業(yè)務(wù)的正常開展有著至關(guān)重要的意義[1]。因此，網(wǎng)絡(luò)管理員必須實(shí)時了解其運(yùn)行狀況，及時發(fā)現(xiàn)并排除故障，確保業(yè)務(wù)的正常開展。

由于網(wǎng)絡(luò)安全管理報(bào)警系統(tǒng)主要由三個模塊組成：網(wǎng)絡(luò)安全管理模塊、SMS通信報(bào)警模塊和系統(tǒng)管理模塊。模型架構(gòu)如圖1。

1.1 系統(tǒng)管理模塊

網(wǎng)絡(luò)管理員通過該模塊設(shè)置系統(tǒng)參數(shù)和管理策略等信息（如設(shè)置報(bào)警短信發(fā)送的間隔時間，設(shè)置調(diào)用和控制網(wǎng)絡(luò)安全管理模塊以及通信報(bào)警模塊。

1.2 網(wǎng)絡(luò)安全管理模塊

網(wǎng)絡(luò)安全管理模塊模塊對網(wǎng)絡(luò)與重要網(wǎng)絡(luò)設(shè)備進(jìn)行實(shí)時管理，異常情況時調(diào)用SMS通信報(bào)警模塊，向指定終端發(fā)送報(bào)警短信。

1.3 SMS通信報(bào)警模塊

SMS通信報(bào)警模塊模塊可以向指定終端發(fā)送異常報(bào)警信息和網(wǎng)絡(luò)實(shí)時運(yùn)行狀態(tài)信息。

2 基于智能移動代理的網(wǎng)絡(luò)安全管理模塊

2.1 模塊框架

模塊框架模塊結(jié)合網(wǎng)絡(luò)監(jiān)控技術(shù)和智能移動代理技術(shù)，通過各種代理的配置、分發(fā)、問詢、回收等步驟實(shí)現(xiàn)網(wǎng)絡(luò)及設(shè)備的監(jiān)控和管理，如圖2所示。該模塊包括三個部分：網(wǎng)絡(luò)監(jiān)控器、代理管理器、安全管理數(shù)據(jù)庫。

圖2 網(wǎng)絡(luò)安全管理模塊框架

網(wǎng)絡(luò)監(jiān)控器通過對網(wǎng)絡(luò)數(shù)據(jù)的捕獲、分析以及實(shí)時響應(yīng)等步驟實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)監(jiān)測和響應(yīng)[2]。代理管理器[3-4]負(fù)責(zé)所有代理的初始化配置、分發(fā)和遷移策略的制定與實(shí)施、問詢機(jī)制的實(shí)施、代理的回收處理等工作，其中代理有監(jiān)測代理、追蹤代理、審計(jì)代理。安全管理數(shù)據(jù)庫記錄網(wǎng)絡(luò)監(jiān)測信息、代理信息和被管設(shè)備狀態(tài)信息等。

2.2 模塊工作流程

代理管理器初始化并分發(fā)監(jiān)測代理到每個被管設(shè)備上。監(jiān)測代理常駐在被管設(shè)備上，通過對被管設(shè)備上系統(tǒng)信息（如系統(tǒng)日志）的采集與分析，尋找可能的安全“疑點(diǎn)”。如果監(jiān)測代理發(fā)現(xiàn)了安全“疑點(diǎn)”，則向管理模塊發(fā)出警報(bào)。

管理模塊收到監(jiān)測代理的警報(bào)信息，初始化并分發(fā)一個追蹤代理到發(fā)現(xiàn)“疑點(diǎn)”的目標(biāo)節(jié)點(diǎn)上。追蹤代理遷移到目標(biāo)節(jié)點(diǎn)后，根據(jù)具體情況向代理管理器申請一個審計(jì)代理；之后，追蹤代理分析判斷引起“疑點(diǎn)”的上一級節(jié)點(diǎn)。如果該節(jié)點(diǎn)是追蹤路徑的源節(jié)點(diǎn)，或是無法繼續(xù)追蹤，或是已經(jīng)有其他追蹤代理在追蹤相同路徑時，該追蹤代理就執(zhí)行完自己的任務(wù)，返回管理模塊。否則，追蹤代理將遷移到追蹤路徑的上一級節(jié)點(diǎn)并重復(fù)以上工作。

審計(jì)代理遷移到目標(biāo)設(shè)備，開始收集與“疑點(diǎn)”相關(guān)的數(shù)據(jù)，完成任務(wù)后則返回管理模塊；代理管理器在收到相關(guān)數(shù)據(jù)后將其寫入安全管理數(shù)據(jù)庫中。

2.3 最優(yōu)遷移策略

在數(shù)據(jù)采集代理的遷移過程中，一個遷移路徑的優(yōu)化遷移策略可減少代理的遷移周期，因此簡化算法復(fù)雜度是關(guān)鍵點(diǎn)。假設(shè)每個節(jié)點(diǎn)具有相同的訪問系數(shù)，即代理訪問每個節(jié)點(diǎn)的概率相同，構(gòu)建求解數(shù)據(jù)采集代理代價(jià)最小化問題的數(shù)學(xué)模型如下：

假設(shè)條件如下：

①構(gòu)建一個有向圖G=(V，E)，其中V＝{vi|i=0,1,2,…,N}為n+1個網(wǎng)絡(luò)節(jié)點(diǎn)的集合，v0為管理站駐留節(jié)點(diǎn)，(v1,v2,…,vn)為被管理節(jié)點(diǎn)集合；E＝{＜vi,vj＞|O≤i,j≤N,i≠j}為網(wǎng)絡(luò)鏈路的集合；

②每一個節(jié)點(diǎn)vi∈V的數(shù)據(jù)采集操作成功概率為P(0≤P≤1)；

③Ci,j表示移動代理從節(jié)點(diǎn)i遷移到節(jié)點(diǎn)j的代價(jià)；

④Wi表示代理在節(jié)點(diǎn)i上執(zhí)行任務(wù)的代價(jià), 是P的單調(diào)遞減函數(shù)。

綜合以上，從＜1,2,…,n＞的n!個排列組合中選出一個序列＜j1, j2,…,jn＞，使得代理遍歷序列節(jié)點(diǎn)的代價(jià)為：

Cost ∑P×Ci-1,i×Wi（其中i為j1到j(luò)n）為最小值。

問題轉(zhuǎn)化為NP完全的旅行商問題(TSP問題)。

目前解決旅行商問題有諸多算法，如經(jīng)典的貪心算法、動態(tài)規(guī)劃算法、分枝界限算法、神經(jīng)網(wǎng)絡(luò)、遺傳算法和免疫算法等[5]。為了最大限度降低算法復(fù)雜度，本系統(tǒng)采用建立最小生成樹算法來求解。算法采用選取排除最長路徑頂點(diǎn)的方法降低時間復(fù)雜度，把狀態(tài)空間樹上不可能產(chǎn)生最優(yōu)解的子樹剪去，使搜索較小范圍化。算法結(jié)合比較頂點(diǎn)次序提高算法準(zhǔn)確性，通過自動產(chǎn)生頂點(diǎn)坐標(biāo)以降低輸入復(fù)雜性，增加測試準(zhǔn)確度。實(shí)驗(yàn)測試結(jié)果表明，該算法可以取得較好的效果，比其他算法以更快的速度找到最佳解。

3 SMS通信報(bào)警模塊的設(shè)計(jì)與實(shí)現(xiàn)

該模塊的功能是將安全管理模塊發(fā)出的警報(bào)以手機(jī)短信的形式及時向指定終端發(fā)送（如網(wǎng)絡(luò)管理員手機(jī)），確保及時解決問題，維持網(wǎng)絡(luò)以及相關(guān)網(wǎng)絡(luò)設(shè)備的正常運(yùn)行。模塊通過ARM串口實(shí)現(xiàn)短信發(fā)送功能，具體為通過建立兩個獨(dú)立的線程來執(zhí)行短信的發(fā)送和接收。發(fā)送短信線程如圖3所示。實(shí)現(xiàn)報(bào)警模塊主要的類有：

（1）嵌入式串口通信—SeriesComm類

SeriesComm類實(shí)現(xiàn)在嵌入式系統(tǒng)中的串口通信，包括串口發(fā)送與串口接收。該類為短信發(fā)送和接收線程提供通信接口。

（2）嵌入式SMS—EmbeddedSMS類

EmbeddedSMS類實(shí)現(xiàn)SMS預(yù)處理工作（預(yù)處理AT指令和短信內(nèi)容等），包括編碼/解碼、字符格式轉(zhuǎn)換、構(gòu)造數(shù)據(jù)單元串、形成AT(Attention)指令等工作。該類為短信發(fā)送與接收線程提供了預(yù)處理接口。

（3）字符格式轉(zhuǎn)換—UnicodeString類

UnicodeString類實(shí)現(xiàn)字符格式轉(zhuǎn)換功能，包括Unicode與ASCII、Unicode與MBCS(多字節(jié)字符集)之間的轉(zhuǎn)換。該類為EmbeddedSMS類中字符格式轉(zhuǎn)換的實(shí)現(xiàn)提供接口，同時也為短信發(fā)送與接收線程提供字符格式轉(zhuǎn)換接口。

圖3 發(fā)送短信線程的流程

4 系統(tǒng)管理模塊

系統(tǒng)管理模塊實(shí)現(xiàn)對整個系統(tǒng)模型中模塊的的管理和擴(kuò)展配置，使用web瀏覽器作為用戶接口，方便網(wǎng)絡(luò)管理員進(jìn)行管理和參數(shù)配置。

5 結(jié)語

根據(jù)數(shù)據(jù)采集后遷移路徑的特點(diǎn), 提出了智能移動代理的網(wǎng)絡(luò)安全管理模型，實(shí)現(xiàn)了最優(yōu)遷移路徑策略算法,此算法采用選取排除最長路徑頂點(diǎn)的方法最大程度降低時間復(fù)雜度。同時，設(shè)計(jì)了通信報(bào)警模塊,該模塊已經(jīng)實(shí)現(xiàn)了向指定終端發(fā)送緊急情況的信息功能。下一步的研究是實(shí)現(xiàn)終端（如移動手機(jī)）編輯配置信息進(jìn)行遠(yuǎn)程智能安全管理，及時控制緊急情況，該功能涉及手機(jī)終端嵌入式設(shè)計(jì)開發(fā)，還需要一定的研究實(shí)驗(yàn)。

[1] 王孫名,唐紅,沈建國.新一代寬帶無線移動通信網(wǎng)絡(luò)管理的研究[J].通信技術(shù),2007,40(12)：201-205.

[2] 李捷，郭拯危,劉先省,等.利用移動代理提高網(wǎng)絡(luò)管理性能的研究[J].小型微型計(jì)算機(jī)系統(tǒng),2006,27(03)：412-416.

[3] 蔡學(xué)軍.基于可移動代理技術(shù)的網(wǎng)絡(luò)管理系統(tǒng)[D].北京：中國科學(xué)院，2000.

[4] 何向榮,沈佐民,吳璞,等.移動代理入侵檢測系統(tǒng)中的自適應(yīng)技術(shù)的研究[J].計(jì)算機(jī)技術(shù)與發(fā)展,2006,16(02)：229-234.

[5] 李敬華,胥光輝.基于移動代理的網(wǎng)絡(luò)故障管理模型[J].重慶郵電學(xué)院學(xué)報(bào)：自然科學(xué)版,2006,18(02)：47-52.