基于Agent的網絡安全系統設計與實現

(陜西青年職業學院,陜西西安,710068)

基于Agent的網絡安全系統設計與實現

張小衛

(陜西青年職業學院,陜西西安,710068)

隨著現代信息技術和計算機技術的發展，網絡安全成為人們關心的話題。本文采用多Agent智能體系技術，將每個網絡安全防范體系設置到每一個合法的用戶終端上面，而現在的網絡安全大都集中在防火墻技術等，因此，本文提出采用Agent安全審計模塊實現對系統的安全保障。

Agent軟件；網絡安全；多智能體系統；防火墻技術

隨著現代網絡技術的不斷更新，黑客對網絡的攻擊手段和方式也在不斷的翻新，網絡安全也變得越來越突出。而當前對網絡的安全防御通常是通過及時發現，并通過立即改正的方式，實現對網絡中安全隱患的派出的方式，并定期的通過了解黑客對網絡攻擊的新方式來完善對相關數據庫和防御體系的建設。而除此之外，黑客還利用網絡中的病毒、木馬等對主機形成攻擊，從而導致主機個人信息被泄露。本文正是基于，提出利用多Agent技術，采用安全審計系統實現對網絡的安全，以此使該系統成為網絡安全的第三道防線。

1 Agent技術

該技術起源于上個世紀70年代的人工智能系統，而對其進行的定義則認為所謂的Agent 技術就是一種在特定的環境下所包裝的計算機系統，而為實現該目的，其環境必須是靈活的和自主的。而對技術進行分類，按照其工作環境來分，可以分為人工生命Agent、軟件Agent以及硬件Agent；而按照實行對其進行分類的話，則可以分為思考型、反應型和混合型。而現階段使用比較多的則為BDI模型。其主要包括信念、愿望、意圖和規劃庫等組成部分。通過規劃庫當中的方案提供，并在解釋器里面進行使用。

2 系統設計的目標

對該安全審計的設計，其主要的用途是實現對政府或者是企業內部網絡的監控，因此，對該系統設計的目標在主要是采用分布式的運行方法，實現對不同審計模塊的實現；其次是對在監控中捕獲的相關日志數據進行實時或者是事后的審計，并根據審計的結構，做出相應的安全警報；對相關行為的審計，如發現其中出現越權刪除文件、更改防火墻等操作的行為，則運用數據挖掘中的關聯規則，形成規則庫，對其中的事件進行比對，如出現違規則理解做出響應，并做出響應，并不斷增強其審計的功能；運用Socket 類的 Agent 間通信機制，實現在服務器端對不同主機的遠程審計；可擴展性則是根據其具體的參數和審計的規則不同，可對系統進行一定的擴展。

3 基于安全審計的模型設計

對該系統的安全審計設計通常包括三個不同的模塊，其注意要數據采集、報警響應、數據分析。通過對安全審計模型的分析，本文提出結合Agent技術、數據挖掘和入侵檢測等各種不同的關鍵技術，并融合多Agent見的共享和交換功能，慧慈挖掘日志數據產生動態規則和多方面防御局域網攻擊等優勢，設計和實現一個分布式的、智能的安全審計系統。

因此，本文將其分為兩個不同的功能，第一則是對該系統各個不同功能的實現；第二則是利用現有的Socket類對Agent間通信進行實現。其整體的架構設計如圖1所示。

圖1 Agent系統整體架構設計

通過上述的布局，我們可看出，其中的數據采集和客戶端Agent則被分布在其監控的節點上。而這其中是數據采集端則主要負責對相關的日志進行捕獲，并經過系統過濾處理后進行存儲，同時其還負責對主機的日志和網絡數據進行定期的上傳；而客戶端的Agent其主要的功能能而是對本地所存儲的日志進行審計，并向管理中心傳遞相關的屏幕采樣、鍵盤信息以及審計的日志記錄的呢過，同時可接收來自管理控制中心的Agent所發送的遠程審計命令。

而上述的審計分析和管理中心則分布在服務器或者是網關上面，其中審計分析的Agent主要接收主機的日志數據，并對其中的數據進行匹配，當發現其中出現任何的違規的時間，則其立即發出警報和提供相關的審計的結果；而其中的MA接口，則主要提供監視對客戶端的Agent 的注冊、撤銷等操作；接收上傳的屏幕、鼠鍵信息和審計日志記錄，對局域網內用戶行為和網絡訪問等進行審計監控，根據分析結果及時發布遠程審計指令等。

而利用Socket 類的通信機制連接，則主要是實現對不同日志數據的安全審計，并由此保證整個局域網的安全。同時在服務器端口，采用MS SQL Server 2008數據庫，實現對產生的日志進行存儲，以此提供更好的相關輔助服務。

4 系統的設計

4.1數據采集的設計

對該系統數據采集的設計，其主要是對主機產生的日志，客戶端產生的信息和網絡數據等進行采集，并通過格式化處理，成為統一的格式，并將其存儲到SQL Server數據庫當中，為以后系統提供日志查詢等功能。而其具體的流程則如圖2所示。

圖2 數據采集和處理

4.2審計分析設計

該模塊其主要的功能則是對在數據預處理后，對統一的數據進行分析和比對，從而發現其中違反規則的日志，以此可有效地做出相應的警報。而該模塊其主要分為對數據的屬性的分析和相關日志的數據挖掘與響應。而其具體的數據分析如圖3所示。

圖3 審計分析過程

圖4 局域網拓撲分布圖

4.3基于Socket 類的通信機制設計

該部分設計的核心，是如何通過通信協議，實現對服務器端和客戶端的遠程操作。因此，對該模塊的設計則是首先實行Agent注冊，在注冊后，方可實現對通信機制的管理，并通過MA實現對其中的局域網的監控。一旦出現任何的異常，系統則會自動報警；其次則是建立服務器和主機之間的通信連接，而該連接是通過創建Socket類的方式來實現對其進行的監聽。而其具體過程則是在服務器和客戶端分別建立Socket，并輸入對方的IP地址，以方便進行數據的接收。通過上述的通信，并通過MA實現對主機的遠程操作。

5 系統的實現

對該系統的實現則主要從其開發環境和運行環境進行實現。對該系統的開發則采用基于Windows下的MS Visual Studio 2008進行開發，并運用SQL Server 2008數據庫作為系統的整體數據庫管理。

而其運行環境為服務器端采用Win Server 2003,操作系統，客戶端運行win 7系統。同時，該局域網布局采用外網1臺，內網29臺，其具體的網絡拓撲如圖4所示。

同時通過上述的設計，并按照在服務端可客戶端安裝Socket后，產生相應的違規事件，并經過安全審計的統計，其具體得到系統所發生的結果。

總之，本文通過采用多Agent技術，設計出了通過數據采集、數據預處理和安全審計分析、通信機制連接等步驟，實現了對主機日志、網絡信息等的安全審計，并可通過遠程操作實現對網絡信息安全的保護，以此更好的保障用戶的安全。

[1] 周劍嵐,羅健峰,馮珊等.基于移動智能體技術的先進日志審計系統[J].華中科技大學學報,2005(04).

[2] 宋四新,劉先榮,周劍嵐.基于多Agent的可控網絡安全系統研究[J].系統工程與電子技術,2008(06).

[3] M.Arun Kumar,M.Gopal. Least squares twin support vector machines for pattern classification[J]. Expert Systems with Applications, 2009,36(4):7535-7543.

Design and implementation of network security system based on Agent

Zhang Xiaowei
(Shaanxi youth Shaanxi Career Academy,Xi'an,710068)

Along with the development of modern information technology and computer technology,the network security has become a topic of concern.This paper adopts multi Agent intelligent system technology, the settings for each network security system to each legitimate user terminal,network security is now focused on firewall technology,therefore,this paper uses Agent security audit module to realize the system security.

Agent software;network security;multi-agent system;firewall technology