網絡安全主動管理模型研究與實現

張梅瓊， 許麗卿

（福建師范大學 協和學院，福建 福州 350108）

0 引言

隨著網絡應用規模的擴大，網絡安全問題也變得復雜和難以判斷。現有網絡安全管理系統大多是依據問題特征來選擇解決方案，這種模式在問題發生并產生危害后才尋找解決策略，具有嚴重的滯后性，容易導致網絡安全問題擴大化。因此，提出網絡安全主動管理模型，該模型具有良好的實時性，能夠更及時地解決網絡安全問題。

圖1 網絡安全監控報警系統

1 網絡安全主動管理模型的總體設計

網絡運行狀況對于業務的正常開展有著至關重要的意義[1]。因此，網絡管理員必須實時了解其運行狀況，及時發現并排除故障，確保業務的正常開展。

由于網絡安全管理報警系統主要由三個模塊組成：網絡安全管理模塊、SMS通信報警模塊和系統管理模塊。模型架構如圖1。

1.1 系統管理模塊

網絡管理員通過該模塊設置系統參數和管理策略等信息（如設置報警短信發送的間隔時間，設置調用和控制網絡安全管理模塊以及通信報警模塊。

1.2 網絡安全管理模塊

網絡安全管理模塊模塊對網絡與重要網絡設備進行實時管理，異常情況時調用SMS通信報警模塊，向指定終端發送報警短信。

1.3 SMS通信報警模塊

SMS通信報警模塊模塊可以向指定終端發送異常報警信息和網絡實時運行狀態信息。

2 基于智能移動代理的網絡安全管理模塊

2.1 模塊框架

模塊框架模塊結合網絡監控技術和智能移動代理技術，通過各種代理的配置、分發、問詢、回收等步驟實現網絡及設備的監控和管理，如圖2所示。該模塊包括三個部分：網絡監控器、代理管理器、安全管理數據庫。

圖2 網絡安全管理模塊框架

網絡監控器通過對網絡數據的捕獲、分析以及實時響應等步驟實現網絡狀態監測和響應[2]。代理管理器[3-4]負責所有代理的初始化配置、分發和遷移策略的制定與實施、問詢機制的實施、代理的回收處理等工作，其中代理有監測代理、追蹤代理、審計代理。安全管理數據庫記錄網絡監測信息、代理信息和被管設備狀態信息等。

2.2 模塊工作流程

代理管理器初始化并分發監測代理到每個被管設備上。監測代理常駐在被管設備上，通過對被管設備上系統信息（如系統日志）的采集與分析，尋找可能的安全“疑點”。如果監測代理發現了安全“疑點”，則向管理模塊發出警報。

管理模塊收到監測代理的警報信息，初始化并分發一個追蹤代理到發現“疑點”的目標節點上。追蹤代理遷移到目標節點后，根據具體情況向代理管理器申請一個審計代理；之后，追蹤代理分析判斷引起“疑點”的上一級節點。如果該節點是追蹤路徑的源節點，或是無法繼續追蹤，或是已經有其他追蹤代理在追蹤相同路徑時，該追蹤代理就執行完自己的任務，返回管理模塊。否則，追蹤代理將遷移到追蹤路徑的上一級節點并重復以上工作。

審計代理遷移到目標設備，開始收集與“疑點”相關的數據，完成任務后則返回管理模塊；代理管理器在收到相關數據后將其寫入安全管理數據庫中。

2.3 最優遷移策略

在數據采集代理的遷移過程中，一個遷移路徑的優化遷移策略可減少代理的遷移周期，因此簡化算法復雜度是關鍵點。假設每個節點具有相同的訪問系數，即代理訪問每個節點的概率相同，構建求解數據采集代理代價最小化問題的數學模型如下：

假設條件如下：

①構建一個有向圖G=(V，E)，其中V＝{vi|i=0,1,2,…,N}為n+1個網絡節點的集合，v0為管理站駐留節點，(v1,v2,…,vn)為被管理節點集合；E＝{＜vi,vj＞|O≤i,j≤N,i≠j}為網絡鏈路的集合；

②每一個節點vi∈V的數據采集操作成功概率為P(0≤P≤1)；

③Ci,j表示移動代理從節點i遷移到節點j的代價；

④Wi表示代理在節點i上執行任務的代價, 是P的單調遞減函數。

綜合以上，從＜1,2,…,n＞的n!個排列組合中選出一個序列＜j1, j2,…,jn＞，使得代理遍歷序列節點的代價為：

Cost ∑P×Ci-1,i×Wi（其中i為j1到jn）為最小值。

問題轉化為NP完全的旅行商問題(TSP問題)。

目前解決旅行商問題有諸多算法，如經典的貪心算法、動態規劃算法、分枝界限算法、神經網絡、遺傳算法和免疫算法等[5]。為了最大限度降低算法復雜度，本系統采用建立最小生成樹算法來求解。算法采用選取排除最長路徑頂點的方法降低時間復雜度，把狀態空間樹上不可能產生最優解的子樹剪去，使搜索較小范圍化。算法結合比較頂點次序提高算法準確性，通過自動產生頂點坐標以降低輸入復雜性，增加測試準確度。實驗測試結果表明，該算法可以取得較好的效果，比其他算法以更快的速度找到最佳解。

3 SMS通信報警模塊的設計與實現

該模塊的功能是將安全管理模塊發出的警報以手機短信的形式及時向指定終端發送（如網絡管理員手機），確保及時解決問題，維持網絡以及相關網絡設備的正常運行。模塊通過ARM串口實現短信發送功能，具體為通過建立兩個獨立的線程來執行短信的發送和接收。發送短信線程如圖3所示。實現報警模塊主要的類有：

（1）嵌入式串口通信—SeriesComm類

SeriesComm類實現在嵌入式系統中的串口通信，包括串口發送與串口接收。該類為短信發送和接收線程提供通信接口。

（2）嵌入式SMS—EmbeddedSMS類

EmbeddedSMS類實現SMS預處理工作（預處理AT指令和短信內容等），包括編碼/解碼、字符格式轉換、構造數據單元串、形成AT(Attention)指令等工作。該類為短信發送與接收線程提供了預處理接口。

（3）字符格式轉換—UnicodeString類

UnicodeString類實現字符格式轉換功能，包括Unicode與ASCII、Unicode與MBCS(多字節字符集)之間的轉換。該類為EmbeddedSMS類中字符格式轉換的實現提供接口，同時也為短信發送與接收線程提供字符格式轉換接口。

圖3 發送短信線程的流程

4 系統管理模塊

系統管理模塊實現對整個系統模型中模塊的的管理和擴展配置，使用web瀏覽器作為用戶接口，方便網絡管理員進行管理和參數配置。

5 結語

根據數據采集后遷移路徑的特點, 提出了智能移動代理的網絡安全管理模型，實現了最優遷移路徑策略算法,此算法采用選取排除最長路徑頂點的方法最大程度降低時間復雜度。同時，設計了通信報警模塊,該模塊已經實現了向指定終端發送緊急情況的信息功能。下一步的研究是實現終端（如移動手機）編輯配置信息進行遠程智能安全管理，及時控制緊急情況，該功能涉及手機終端嵌入式設計開發，還需要一定的研究實驗。

[1] 王孫名,唐紅,沈建國.新一代寬帶無線移動通信網絡管理的研究[J].通信技術,2007,40(12)：201-205.

[2] 李捷，郭拯危,劉先省,等.利用移動代理提高網絡管理性能的研究[J].小型微型計算機系統,2006,27(03)：412-416.

[3] 蔡學軍.基于可移動代理技術的網絡管理系統[D].北京：中國科學院，2000.

[4] 何向榮,沈佐民,吳璞,等.移動代理入侵檢測系統中的自適應技術的研究[J].計算機技術與發展,2006,16(02)：229-234.

[5] 李敬華,胥光輝.基于移動代理的網絡故障管理模型[J].重慶郵電學院學報：自然科學版,2006,18(02)：47-52.