一种基于移动的网络信息安全课程实践平台

摘要：网络信息安全课程是一门实践性很强的课程，目前该课程的实践教学环节缺少专用的实验系统。针对该问题提出了一个基于移动的准真实的网络安全对抗训练平台实现方法，论述了该平台的系统结构和主要工作流程。

关键词:网络信息安全；实践教学；训练平台

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)08-1768-04

A Practice Platform of Network Information Security Curriculum Based on Mobile Agent

QIAO Zheng-hong, GE Wu-dian, XU Jie

(Institue of Science, PLA Univ. of Sci. & Tech., Nanjing 211101, China)

Abstract：Network information security course is a very practical course, the practical teaching of the course is lack of special experimental system. Aiming at this problem，The paper proposes a realization method of quasi real network confrontation training platform based on mobile agent, discusses system structure and main work flow of the platform.

Key words：network information security; practice teaching; training platform

随着计算机网络技术的高速发展，网络信息系统深入到人们工作和生活的每个角落。网络信息系统一方面给人们带来了极大便利，另一方面它的安全问题也日益显现，这一切迫切要求人们重视相关安全技术与手段的研究。但目前网络信息安全人才极度匮乏，远远不能满足社会的实际需要，必须加快网络信息安全人才的培养。为此，许多高校和科研院所纷纷开设了网络信息安全相关课程。该类课程的特点是发展迅速、实践性强，在课程教学中，既要重视基本理论、基本原理的讲授，同时也要强化学生对相关网络安全技术的应用，培养学生实践动手能力。

在网络信息安全相关课程实践教学环节中，目前主要的做法是：根据课堂讲授的网络信息安全理论，然后要求学生在实验室熟悉少许网络安全工具，并能够根据网络安全的某一方面内容开发设计一种工具。采取这样的实践教学方法，学生通过有针对性的训练，可以较好地掌握实验内容，但由于只停留在某一个或几个具体的点上，学生对系统总体情况的掌握比较缺乏，不能够全面掌握实践内容，实践教学效果一般。

针对该类课程在实践教学中存在的问题，需要设计一种专门的实验平台，该平台能够让学生熟悉各种的安全技术和手段，有效地进行网络攻防训练。

1系统设计思想

在设计系统平台时，首先要考虑建设的系统是基于什么环境的？通常有三种设计思路：完全真实对抗环境、模拟对抗环境和准真实对抗环境（介于前两者之间）。其中，在完全真实对抗环境下，网络攻防训练完全由学生自主控制，考虑到实际网络情况比较复杂，系统的结构可能相对复杂，同时涉及到较多的认为因素，使得训练过程不太容易协调和控制；在模拟对抗环境下，系统需要全面分析和梳理已有的攻防战术和手段，并构造各种不同的虚拟场景，通常这种设计有比较大的工作量，后期也难以升级和维护。基于上述的分析，本文在充分考虑了系统结构的复杂性、设计工作量、后期升级和维护等各方面的情况，提出了一个基于准真实对抗环境的网络攻防训练实验平台。

1.1系统设计目标

网络安全对抗训练是一种网络信息安全类课程实践教学平台，也是学生进行网络对抗训练的专门系统。该系统让学生在一个网络攻防对抗的整体环境中，通过相关的技术应用带动理论和原理的学习和理解，训练方式主要是人机对抗。

在该课程实践教学中，每个学生可以对自己的训练情况进行分析和总结，了解自己对网络对抗各个环节的掌握情况，找出薄弱环节，从而突出训练的重点，提高训练的针对性，从而提高实践教学效果。

1.2系统设计原则

在进行系统规划和设计时，要充分利用已有的信息和技术，并考虑系统以后的扩展，有几个方面需重点考虑：

系统的集成性。在系统设计时，要充分考虑已有信息的集成、共享和交换，这一点至关重要。这些信息不仅本系统功能模块可 以有效使用，而且以后更新的功能模块也可以用。

技术的先进性。要坚持从实际出发，以最大限度满足用户需求为基本原则，合理选择先进的主流技术、设计思想和设计方法，力求做到先进性和实用性的统一。

产品的成熟性。在系统设计时，应尽量采用成熟的可重用模块，同时系统的功能要容易扩充、容易使用、运行稳定，并且也便于后期的维护。

设计的规范性。目前主流的技术都有其特定的标准和规范，在系统设计的过程中，要充分地加以考虑。

系统的可扩展性。网络攻防技术与手段是在不断变化和发展的，在系统设计时要综合考虑对当前的实际和将来的变化，使系统具备可扩展性，能够支持尽可能多的网络攻防手段。

2系统架构

在系统设计时，该实验平台架构在实验室内部相对成熟的局域网之上，采用准真实网络对抗环境，尽可能反映网络的实际情况，同时又具有一定的可控性，以便降低系统设计的复杂性。系统的工作模式采用B/S结构，整个系统主要由三个部分组成：用户接口层、核心功能层和数据层，主要的功能模块有用户接口及运行环境、系统控制中心、自适应任务均衡处理、智能分析处理以及网络攻防和底层数据库，系统的功能逻辑划分如图1所示。

图1系统功能逻辑图

为了更好地满足设计原则及系统的特点，该实验平台采用基于移动Agent的设计方案。在这种方案中，所有计算机分为两种角色：客户端和服务器。其中，客户端的配置比较简单，只安装浏览器和Agent运行环境，平台其他的功能模块都安装在服务器中，这样，系统所有的核心功能都集中在服务器上，学生日常训练只接触客户端，便于系统管理和升级维护。在具体设计时，主要采用JSP语言，服务器端可以通过ServLet访问数据库，以及移动Agent库。系统各逻辑功能模块之间的相互关系如图2所示。

图2系统架构基本结构图

3系统主要功能模块

该实验平台涉及到网络信息安全技术的诸多方面，系统功能较多，其中移动、任务均衡处理是两个非常重要的模块，其他各项主要工作均与之相关。

3.1移动Agent

在本系统中，移动Agent具有非常重要的作用，无论是系统管理维护、网络攻击、防护检测，都是通过移动来完成的，移动是系统核心的功能模块。每个完成特定的任务，具体来说，移动主要有以下几类：

系统管理与维护Agent：在平台使用的过程中，系统维护是一项经常性的工作。管理员可以利用实验网络环境，派遣系统维护Agent完成设备管理与维护工作，例如，可以安排Agent移动到主机，检测主机运行状况，然后将结果反馈给管理员，管理员也可以把一些简单的修复工作交给Agent去完成。

攻击Agent：在进行攻击训练时，用户将训练科目提交给服务器，服务器依据用户需求，在相关的主机上部署用于攻击训练的攻击Agent，利用它做一些准备工作，以及在结束后将训练结果上传。例如：在网络攻击中，端口探测是常用的一种技术手段，用户在进行该类攻击训练时，首先由客户端（用户）发出训练请求，服务器收到请求后，通过均衡处理分配合适的主机及其IP地址，同时，派 遣端口探测Agent到探测目标上，再由该Agent收集主机的端口信息，并将探测结果返回服务器，训练结束后，客户端提交探测结果。用户上报的信息到达服务器后，服务器会将其与Agent搜集的探测结果进行比对，最终得到用户的训练结果。

防护检测Agent：在学生进行防护训练前，系统可以依据防护科目，在相关的主机上部署用于防护训练的防护Agent，该Agent会根据防护的目的，逐条检测主机的设置，进而判断设置的安全性。例如，操作系统安全是信息安全的一个重要的方面，用户在练习这方面防护时，根据训练目标和需求，先对系统进行相关配置，然后向服务器发送请求，告诉服务器配置完成，服务器接受用户请求后，派出防护检测Agent到客户端，根据安全配置的指标，全面系统地进行检测，然后向服务器报告检测结果。

3.2自适应任务均衡处理

该模块主要有策略管理器和任务均衡处理器两部分，策略管理器用于记录本系统安装网络的基本情况，任务均衡处理器用于协调攻击与防护训练的顺利进行。

3.2.1策略管理器

随着网络技术的进一步发展，网络攻防手段的更新，所要设计的对抗科目将逐渐丰富，而实验主机的硬件条件（数量、类型等）相对有限。针对这种矛盾，在系统设计时要考虑如何尽可能支持多种对抗科目，如何充分提高有限训练主机的使用效率。在策略管理器中，记录了系统支持的所有攻击科目、各类科目之间的互斥关系、被攻击主机各种类型的数目等方面的情况。

3.2.2任务均衡处理器

系统在接收到用户的训练请求后，会为学生指定目标主机，如何选择合适的目标主机呢？首先由任务均衡处理器根据策略管理器中记录的数据，在保证网络带宽、系统内存、CPU使用率等的前提下，尽量先安排可兼容已起用的训练主机，直至所有的训练主机均被起用。任务均衡处理的基本原则是充分利用每一台训练主机的资源，具体的做法是：

1)根据学生的训练科目，查询策略管理器，得到无法和请求科目在同一训练主机同时运行的科目名称；

2)查询策略管理器，获取训练主机中已经开展的科目，通过进一步分析可以知道没有与请求科目互斥科目的训练主机地址；3)利用（1）、（2）的结果，查询策略管理器，得到可以运行请求科目的主机地址；

4)根据（3）的结果，对每一台主机进行综合分析，从可选训练主机集合中选择合适的训练主机。

自适应任务均衡处理器模块主要的工作流程如图3所示：

图3任务均衡负载流程图

4系统工作流程

本系统主要有两大功能：攻击训练和防护训练，在使用系统时，首先进行用户身份鉴别和访问控制，而后用户可以根据自身的实际情况选择训练内容，以下分别介绍攻击训练和防护训练工作流程。

4.1攻击科目训练

攻击科目主要训练学生对各种攻击技术与手段的应用，进一步理解相关的网络信息安全的基本理论、原理。具体的工作流程：1)用户选择训练科目名称，然后向服务器发出请求；

2)服务器收到用户的请求后，进行均衡处理，并调用相关的Agent完成训练进行前的一些准备工作；

3)准备工作完成后，在训练任务可以进行的情况下，服务器任务主机的相关信息，例如：IP地址等。当然，训练科目不同，服务器给出的信息也不同。除此之外，服务器还会给出一些提示，并通知用户训练开始；

4)用户收到服务器返回信息后，依据训练科目，选择合适的工具进行攻击试验；

5)攻击结束后，用户按照系统设定的格式，将训练结果上传给服务器，并等待训练结果的返回。

6)服务器比对用户上报的训练结果和攻击Agent收集的信息，然后返回用户最终的训练结果。

4.2防护科目训练

防护科目的训练促进学生掌握各种网络信息安全设置方法，熟练运用各种防护技术和手段，进一步理解相关的网络信息安全的基本理论、原理。具体的工作流程：

1)用户选择训练科目名称，然后向服务器发出请求；

2)服务器收到用户的请求后，运行均衡处理，返回相应结果；

3)用户根据训练任务与目标，进行相关系统防护的配置；

4)用户对系统进行必要的配置后，通知服务器来检测配置效果；

5)服务器发送相应的检测Agent，检测Agent返回训练效果到服务器；

6)服务器发送训练效果给用户。根据反馈的结果，用户可以评价系统配置效果，并作进一步的改进。

5总结

21世纪是信息时代，信息已成为社会发展的重要战略资源，社会的信息化、网络化已成为当今世界发展的潮流和核心，网络信息安全在信息社会中将扮演极为重要的角色。高校是信息安全人才培养的主渠道，强化网络信息安全相关课程的实践环节，提高学生网络信息对抗能力，显得尤为重要。为此针对本课程给出了一种网络安全对抗训练平台的主要设计思路，并介绍了该系统主要的功能模块。

参考文献：

[1]周龙骧,刘添添.移动Agent综述[J].计算机科学, 2003(11):19-23.

[2]刘军,周海刚,于振伟.理工大学教学研究文集[C].北京:军事谊文版社,2008.

[3]胥光辉,金风林,丁力.软件工程方法与实践[M].北京:机械工业出版社, 2004.

[4] Fuggetta, Picco G P.Understanding code mobility[J]. IEEE Transactions on Software Engineering, 2003(5):342-361.

[5] Jarjoth E, Lange D B, Oshima M. A security model for Agents[J]. IEEE Internet Computing, 1997(4):68-77.