多Agent的網(wǎng)絡對抗系統(tǒng)仿真建模

蔡紅柳，田 磊，高 朦

(裝甲兵工程學院信息工程系，北京 100072)

專家們認為［1］，建模仿真正在成為繼理論研究、科學實驗之后第3種認識世界的手段。運用建模仿真手段，建立網(wǎng)絡對抗訓練模擬系統(tǒng)，為網(wǎng)絡攻擊、網(wǎng)絡防御等作戰(zhàn)樣式和

網(wǎng)絡戰(zhàn)法的運用提供對抗模擬、效果演示和攻防訓練環(huán)境，是培養(yǎng)掌握網(wǎng)絡攻擊和防護技能人才的訓練手段。

1 網(wǎng)絡對抗系統(tǒng)構成

網(wǎng)絡對抗是采取各種手段摧毀、破壞和癱瘓對方網(wǎng)絡系統(tǒng)，阻止對方對有效信息的獲取、傳遞與處理流程，同時對自己的計算機網(wǎng)絡實施整體防護，保證自己網(wǎng)絡信息暢通的1種活動，包括網(wǎng)絡攻擊、網(wǎng)絡防御以及探測。網(wǎng)絡對抗的基本特征是以計算機網(wǎng)絡空間為戰(zhàn)場、以計算機為主要武器、以信息和軟件為作戰(zhàn)手段、以計算機網(wǎng)絡系統(tǒng)為主要目標進行信息網(wǎng)絡進攻與防御。網(wǎng)絡對抗包括攻擊性網(wǎng)絡對抗活動、防護性網(wǎng)絡對抗活動和支持性網(wǎng)絡對抗活動3種。

1.1 網(wǎng)絡攻擊的構成

經(jīng)過分析發(fā)現(xiàn)，網(wǎng)絡攻擊持續(xù)的時間有長有短，方法和手段多種多樣，達到的效果各異，紛繁復雜。若將網(wǎng)絡攻擊過程按時間順序歸納為若干階段，則其可劃分為攻擊身份和位置隱藏、目標系統(tǒng)信息收集、弱點信息挖掘分析、目標使用權限獲取、攻擊行為隱蔽、攻擊實施、開辟后門、攻擊痕跡清除等。攻擊者在各階段使用不同的方法和工具，實現(xiàn)不同的目標，各階段前后呼應，共同實現(xiàn)對最終目標的攻擊。

任何攻擊都包含攻擊者、工具、訪問、后果、目標5個基本因素，其分類如圖1所示［2］，并且每個因素又都包含若干子因素。例如，訪問因素又包含了攻擊準備(滲透)、攻擊實施(滲透并攻擊)、痕跡清除3個戰(zhàn)術階段的子因素。1次網(wǎng)絡攻擊可看作是諸多因素共同作用的復雜過程。這種分類方法明確地將源、目標以及后果和手段區(qū)分開來，有助于描述網(wǎng)絡攻擊模型。

圖1網(wǎng)絡攻擊分類框架

1.2 網(wǎng)絡防御的構成

網(wǎng)絡防御是在加強防護能力的同時，加強對自身漏洞和狀態(tài)的檢測、管理、監(jiān)控以及處理能力，形成對安全事件的快速響應。防護的目的在于阻止或延遲入侵時間，為檢測和響應提供更多的時間［3］。檢測和發(fā)現(xiàn)的目的在于做出快速防御反應。將防護、檢測和響應結合安全策略，構成防御策略體系，如圖2所示。

圖2 網(wǎng)絡防御策略體系

由于網(wǎng)絡攻擊會使網(wǎng)絡和計算機主機出現(xiàn)拒絕服務、信息泄露、信息損壞和信息被盜用的后果，因此，檢測網(wǎng)絡通信度量和主機的可計算度量，并將這2個指標作為是否遭到網(wǎng)絡攻擊的依據(jù)，通過比較判斷上述2個指標，可決定采取何種響應策略。主機的可計算度量［4］主要指主機的計算資源使用率(主要是CPU的使用情況)、存儲資源使用率(包括內(nèi)存以及硬盤資源使用情況)以及開放的服務信息等;網(wǎng)絡通信度量指網(wǎng)絡帶寬、TCP連接數(shù)、丟包率、端口使用信息以及其他可測量的通信度量。

在網(wǎng)絡對抗體系中，攻擊者針對不同的目標和目的，可采取多種攻擊工具實施網(wǎng)絡攻擊。而有效的防御策略必須能對網(wǎng)絡攻擊進行快速檢測和判斷，并做出快速、準確的防御響應。

歸納起來，網(wǎng)絡對抗系統(tǒng)是1個由不同攻擊者，攻擊工具，訪問途徑，攻擊后果，以及防御方信息采集、安全態(tài)勢評估、防御響應等組成的復雜系統(tǒng)，體現(xiàn)出由網(wǎng)絡攻、防(實體)，各實體節(jié)點間(物理、邏輯)“連接/關系”以及各實體節(jié)點間信息“比特流”交互、輸送、聚集、融合等構成的具有混沌、突變、分形、涌現(xiàn)等的高度復雜非線性系統(tǒng)特性［5］。

2 網(wǎng)絡對抗系統(tǒng)的Agent抽象

依據(jù)復雜適應系統(tǒng)理論，分析網(wǎng)絡對抗系統(tǒng)中網(wǎng)絡攻擊與網(wǎng)絡防御間的靜態(tài)關系與對抗態(tài)勢變化的動態(tài)關系。對于具有復雜特性的網(wǎng)絡對抗系統(tǒng)的建模與仿真，可將網(wǎng)絡對抗系統(tǒng)中攻防實體及攻防過程中需要的規(guī)則、策略抽象為Agent，并確定每個Agent具有的屬性和承擔的功能，如表1所示。

表1 網(wǎng)絡對抗系統(tǒng)中的Agent及屬性

每個Agent都是具有行為特征的動態(tài)實體，通用Agent結構模型如圖3所示。Agent由感知模塊、知識庫、推理模塊、內(nèi)部狀態(tài)模塊、效應模塊和通信模塊組成。主體通過感知模塊來感知外部環(huán)境，對環(huán)境信息做出一定的處理，并送到推理模塊;推理模塊在知識庫的支持下，根據(jù)感知得到的外部信息做出推理，將推理結果傳送給效應模塊與通信模塊;效應模塊則根據(jù)傳入的動作命令做出相應的行動，對外部環(huán)境做出響應;通信模塊主要用來處理Agent之間的信息交換。

圖3 通用Agent結構模型

3 基于多Agent系統(tǒng)的網(wǎng)絡對抗系統(tǒng)模型

在明確體系對抗生成與演化機制的基礎上，運用多A－gent建模技術構建以復雜網(wǎng)絡為中心的網(wǎng)絡攻擊方、態(tài)勢顯示、網(wǎng)絡防御方的多 Agent系統(tǒng)(multi－agent system，MAS)模型體系框架，如圖4所示，來模擬整個網(wǎng)絡對抗系統(tǒng)的功能和對抗的過程。

3.1 識別系統(tǒng)角色的功能和結構

識別網(wǎng)絡對抗系統(tǒng)中各目標和任務對應的角色，分析目標和任務的相關性，將相關角色識別為1個粗粒度的Agent。根據(jù)系統(tǒng)的任務可知，系統(tǒng)由網(wǎng)絡攻擊方、網(wǎng)絡防御方以及態(tài)勢顯示三大部分組成。其核心是各種類型的實體Agent:攻擊者Agent、攻擊工具Agent、過程控制 Agent、攻擊執(zhí)行 A－gent、信息采集 Agent、態(tài)勢評估 Agent、防御響應 Agent以及態(tài)勢顯示Agent等。所有Agent都服從系統(tǒng)整體目標任務，通過Agent之間的通信來模擬真實系統(tǒng)各角色的交互，從而實現(xiàn)整個系統(tǒng)的功能。

各實體Agent的結構在通用Agent模型的基礎上，根據(jù)自身功能和承擔的責任確定內(nèi)部功能模塊。知識庫是Agent的重要功能模塊，是決策的重要依據(jù)，也是區(qū)別個體Agent的重要特征。數(shù)據(jù)庫可采用XML文檔表示，XML具有良好的數(shù)據(jù)存儲格式、可擴展性、高度結構化、便于網(wǎng)絡傳輸?shù)忍攸c，能夠支持Agent從一個網(wǎng)絡節(jié)點到另一個異構節(jié)點之間的移動［6］。

3.2 系統(tǒng)靜態(tài)關系和動態(tài)行為描述

系統(tǒng)靜態(tài)關系主要利用UML類圖來描述，確定系統(tǒng)包含的Agent類及類之間的靜態(tài)關系。通過該層信息的描述，可初步確定系統(tǒng)的組成及系統(tǒng)框架。

網(wǎng)絡對抗系統(tǒng)的復雜性主要體現(xiàn)在系統(tǒng)的動態(tài)行為上。網(wǎng)絡對抗系統(tǒng)包括攻擊方實體、防御方實體以及其他功能性實體，各實體之間傳遞著大量的控制、信息數(shù)據(jù)流，使其成為1個動態(tài)的復雜系統(tǒng)。這里的動態(tài)行為有系統(tǒng)級的動態(tài)交互、模塊級的內(nèi)部行為和狀態(tài)變化，以及實體級的自身狀態(tài)遷移。網(wǎng)絡對抗系統(tǒng)的動態(tài)行為建模就涉及到以上3個層面的模型，如圖5所示。

圖4 網(wǎng)絡對抗系統(tǒng)體系MAS結構框架

圖5 網(wǎng)絡對抗系統(tǒng)的活動

圖5中描述了網(wǎng)絡對抗系統(tǒng)從攻擊到防御響應的整個活動。網(wǎng)絡攻擊方確定攻擊目標、制定攻擊策略并下達攻擊指令;攻防實體實施具體攻防活動，并報告結果和自身狀態(tài);網(wǎng)絡防御方完成攻擊行為的檢測、判斷以及安全態(tài)勢評估，制定和選擇合適的防御策略，并做出合適的網(wǎng)絡防御響應。圖中的某個活動可能存有2個及以上的輸入控制流，他僅表示輸入流流向同一個活動，與輸入流的同步“結合”無關。

3.3 模型的細化

在完成系統(tǒng)功能實體的抽象，確定整個系統(tǒng)的靜態(tài)體系結構和總活動圖后，須對模型進行細化。根據(jù)Agent的責任和功能確定其具體的內(nèi)部功能模塊，確定Agent需要響應的外部事件以及需要對外做出的反應。此外，還需確定Agent之間的通信方式、通信語言以及與其他Agent之間要遵循的交互協(xié)議。最后，對設計的思路進行檢查和修正，并進行程序的開發(fā)。

4 結束語

基于Agent的復雜系統(tǒng)建模理論與方法是最具活力、最有影響力的建模方法之一，他為分布式復雜系統(tǒng)的問題研究提供了新的思路。本文利用Agent建模思想，對網(wǎng)絡對抗系統(tǒng)進行建模研究，通過對系統(tǒng)的靜態(tài)結構和動態(tài)行為的建模分析，可為下一步的模型細化和仿真實現(xiàn)奠定基礎。

［1］ 胡曉峰，楊靖宇，司光亞，等.戰(zhàn)爭復雜系統(tǒng)仿真分析與實驗［M］.北京:國防大學出版社，2008.

［2］ Howard J.An Analysis of Security Incidents on the Internet［D］.USA:Carnegie Mellon University，1997.

［3］ 盧昱.協(xié)同式網(wǎng)絡對抗［M］.北京:國防工業(yè)出版社，2003.

［4］ Qu Guangzhi，Tushneem R.Vulnerability Analysis for Network Faults and Attack［M］.California:University of Arizona and University of Southern California，2001.

［5］ 郭雷，許曉鳴.復雜網(wǎng)絡［M］.上海:上海科技教育出版社，2006.

［6］ 陳志偉.基于Agent的協(xié)同開發(fā)體系［J］.東北林業(yè)大學學報，2008，36(8):90 －91.

(責任編輯魯 進)