基于Agent的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計與實現(xiàn)

(陜西青年職業(yè)學(xué)院,陜西西安,710068)

基于Agent的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計與實現(xiàn)

張小衛(wèi)

(陜西青年職業(yè)學(xué)院,陜西西安,710068)

隨著現(xiàn)代信息技術(shù)和計算機技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成為人們關(guān)心的話題。本文采用多Agent智能體系技術(shù)，將每個網(wǎng)絡(luò)安全防范體系設(shè)置到每一個合法的用戶終端上面，而現(xiàn)在的網(wǎng)絡(luò)安全大都集中在防火墻技術(shù)等，因此，本文提出采用Agent安全審計模塊實現(xiàn)對系統(tǒng)的安全保障。

Agent軟件；網(wǎng)絡(luò)安全；多智能體系統(tǒng)；防火墻技術(shù)

隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的不斷更新，黑客對網(wǎng)絡(luò)的攻擊手段和方式也在不斷的翻新，網(wǎng)絡(luò)安全也變得越來越突出。而當(dāng)前對網(wǎng)絡(luò)的安全防御通常是通過及時發(fā)現(xiàn)，并通過立即改正的方式，實現(xiàn)對網(wǎng)絡(luò)中安全隱患的派出的方式，并定期的通過了解黑客對網(wǎng)絡(luò)攻擊的新方式來完善對相關(guān)數(shù)據(jù)庫和防御體系的建設(shè)。而除此之外，黑客還利用網(wǎng)絡(luò)中的病毒、木馬等對主機形成攻擊，從而導(dǎo)致主機個人信息被泄露。本文正是基于，提出利用多Agent技術(shù)，采用安全審計系統(tǒng)實現(xiàn)對網(wǎng)絡(luò)的安全，以此使該系統(tǒng)成為網(wǎng)絡(luò)安全的第三道防線。

1 Agent技術(shù)

該技術(shù)起源于上個世紀70年代的人工智能系統(tǒng)，而對其進行的定義則認為所謂的Agent 技術(shù)就是一種在特定的環(huán)境下所包裝的計算機系統(tǒng)，而為實現(xiàn)該目的，其環(huán)境必須是靈活的和自主的。而對技術(shù)進行分類，按照其工作環(huán)境來分，可以分為人工生命Agent、軟件Agent以及硬件Agent；而按照實行對其進行分類的話，則可以分為思考型、反應(yīng)型和混合型。而現(xiàn)階段使用比較多的則為BDI模型。其主要包括信念、愿望、意圖和規(guī)劃庫等組成部分。通過規(guī)劃庫當(dāng)中的方案提供，并在解釋器里面進行使用。

2 系統(tǒng)設(shè)計的目標(biāo)

對該安全審計的設(shè)計，其主要的用途是實現(xiàn)對政府或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的監(jiān)控，因此，對該系統(tǒng)設(shè)計的目標(biāo)在主要是采用分布式的運行方法，實現(xiàn)對不同審計模塊的實現(xiàn)；其次是對在監(jiān)控中捕獲的相關(guān)日志數(shù)據(jù)進行實時或者是事后的審計，并根據(jù)審計的結(jié)構(gòu)，做出相應(yīng)的安全警報；對相關(guān)行為的審計，如發(fā)現(xiàn)其中出現(xiàn)越權(quán)刪除文件、更改防火墻等操作的行為，則運用數(shù)據(jù)挖掘中的關(guān)聯(lián)規(guī)則，形成規(guī)則庫，對其中的事件進行比對，如出現(xiàn)違規(guī)則理解做出響應(yīng)，并做出響應(yīng)，并不斷增強其審計的功能；運用Socket 類的 Agent 間通信機制，實現(xiàn)在服務(wù)器端對不同主機的遠程審計；可擴展性則是根據(jù)其具體的參數(shù)和審計的規(guī)則不同，可對系統(tǒng)進行一定的擴展。

3 基于安全審計的模型設(shè)計

對該系統(tǒng)的安全審計設(shè)計通常包括三個不同的模塊，其注意要數(shù)據(jù)采集、報警響應(yīng)、數(shù)據(jù)分析。通過對安全審計模型的分析，本文提出結(jié)合Agent技術(shù)、數(shù)據(jù)挖掘和入侵檢測等各種不同的關(guān)鍵技術(shù)，并融合多Agent見的共享和交換功能，慧慈挖掘日志數(shù)據(jù)產(chǎn)生動態(tài)規(guī)則和多方面防御局域網(wǎng)攻擊等優(yōu)勢，設(shè)計和實現(xiàn)一個分布式的、智能的安全審計系統(tǒng)。

因此，本文將其分為兩個不同的功能，第一則是對該系統(tǒng)各個不同功能的實現(xiàn)；第二則是利用現(xiàn)有的Socket類對Agent間通信進行實現(xiàn)。其整體的架構(gòu)設(shè)計如圖1所示。

圖1 Agent系統(tǒng)整體架構(gòu)設(shè)計

通過上述的布局，我們可看出，其中的數(shù)據(jù)采集和客戶端Agent則被分布在其監(jiān)控的節(jié)點上。而這其中是數(shù)據(jù)采集端則主要負責(zé)對相關(guān)的日志進行捕獲，并經(jīng)過系統(tǒng)過濾處理后進行存儲，同時其還負責(zé)對主機的日志和網(wǎng)絡(luò)數(shù)據(jù)進行定期的上傳；而客戶端的Agent其主要的功能能而是對本地所存儲的日志進行審計，并向管理中心傳遞相關(guān)的屏幕采樣、鍵盤信息以及審計的日志記錄的呢過，同時可接收來自管理控制中心的Agent所發(fā)送的遠程審計命令。

而上述的審計分析和管理中心則分布在服務(wù)器或者是網(wǎng)關(guān)上面，其中審計分析的Agent主要接收主機的日志數(shù)據(jù)，并對其中的數(shù)據(jù)進行匹配，當(dāng)發(fā)現(xiàn)其中出現(xiàn)任何的違規(guī)的時間，則其立即發(fā)出警報和提供相關(guān)的審計的結(jié)果；而其中的MA接口，則主要提供監(jiān)視對客戶端的Agent 的注冊、撤銷等操作；接收上傳的屏幕、鼠鍵信息和審計日志記錄，對局域網(wǎng)內(nèi)用戶行為和網(wǎng)絡(luò)訪問等進行審計監(jiān)控，根據(jù)分析結(jié)果及時發(fā)布遠程審計指令等。

而利用Socket 類的通信機制連接，則主要是實現(xiàn)對不同日志數(shù)據(jù)的安全審計，并由此保證整個局域網(wǎng)的安全。同時在服務(wù)器端口，采用MS SQL Server 2008數(shù)據(jù)庫，實現(xiàn)對產(chǎn)生的日志進行存儲，以此提供更好的相關(guān)輔助服務(wù)。

4 系統(tǒng)的設(shè)計

4.1數(shù)據(jù)采集的設(shè)計

對該系統(tǒng)數(shù)據(jù)采集的設(shè)計，其主要是對主機產(chǎn)生的日志，客戶端產(chǎn)生的信息和網(wǎng)絡(luò)數(shù)據(jù)等進行采集，并通過格式化處理，成為統(tǒng)一的格式，并將其存儲到SQL Server數(shù)據(jù)庫當(dāng)中，為以后系統(tǒng)提供日志查詢等功能。而其具體的流程則如圖2所示。

圖2 數(shù)據(jù)采集和處理

4.2審計分析設(shè)計

該模塊其主要的功能則是對在數(shù)據(jù)預(yù)處理后，對統(tǒng)一的數(shù)據(jù)進行分析和比對，從而發(fā)現(xiàn)其中違反規(guī)則的日志，以此可有效地做出相應(yīng)的警報。而該模塊其主要分為對數(shù)據(jù)的屬性的分析和相關(guān)日志的數(shù)據(jù)挖掘與響應(yīng)。而其具體的數(shù)據(jù)分析如圖3所示。

圖3 審計分析過程

圖4 局域網(wǎng)拓撲分布圖

4.3基于Socket 類的通信機制設(shè)計

該部分設(shè)計的核心，是如何通過通信協(xié)議，實現(xiàn)對服務(wù)器端和客戶端的遠程操作。因此，對該模塊的設(shè)計則是首先實行Agent注冊，在注冊后，方可實現(xiàn)對通信機制的管理，并通過MA實現(xiàn)對其中的局域網(wǎng)的監(jiān)控。一旦出現(xiàn)任何的異常，系統(tǒng)則會自動報警；其次則是建立服務(wù)器和主機之間的通信連接，而該連接是通過創(chuàng)建Socket類的方式來實現(xiàn)對其進行的監(jiān)聽。而其具體過程則是在服務(wù)器和客戶端分別建立Socket，并輸入對方的IP地址，以方便進行數(shù)據(jù)的接收。通過上述的通信，并通過MA實現(xiàn)對主機的遠程操作。

5 系統(tǒng)的實現(xiàn)

對該系統(tǒng)的實現(xiàn)則主要從其開發(fā)環(huán)境和運行環(huán)境進行實現(xiàn)。對該系統(tǒng)的開發(fā)則采用基于Windows下的MS Visual Studio 2008進行開發(fā)，并運用SQL Server 2008數(shù)據(jù)庫作為系統(tǒng)的整體數(shù)據(jù)庫管理。

而其運行環(huán)境為服務(wù)器端采用Win Server 2003,操作系統(tǒng)，客戶端運行win 7系統(tǒng)。同時，該局域網(wǎng)布局采用外網(wǎng)1臺，內(nèi)網(wǎng)29臺，其具體的網(wǎng)絡(luò)拓撲如圖4所示。

同時通過上述的設(shè)計，并按照在服務(wù)端可客戶端安裝Socket后，產(chǎn)生相應(yīng)的違規(guī)事件，并經(jīng)過安全審計的統(tǒng)計，其具體得到系統(tǒng)所發(fā)生的結(jié)果。

總之，本文通過采用多Agent技術(shù)，設(shè)計出了通過數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理和安全審計分析、通信機制連接等步驟，實現(xiàn)了對主機日志、網(wǎng)絡(luò)信息等的安全審計，并可通過遠程操作實現(xiàn)對網(wǎng)絡(luò)信息安全的保護，以此更好的保障用戶的安全。

[1] 周劍嵐,羅健峰,馮珊等.基于移動智能體技術(shù)的先進日志審計系統(tǒng)[J].華中科技大學(xué)學(xué)報,2005(04).

[2] 宋四新,劉先榮,周劍嵐.基于多Agent的可控網(wǎng)絡(luò)安全系統(tǒng)研究[J].系統(tǒng)工程與電子技術(shù),2008(06).

[3] M.Arun Kumar,M.Gopal. Least squares twin support vector machines for pattern classification[J]. Expert Systems with Applications, 2009,36(4):7535-7543.

Design and implementation of network security system based on Agent

Zhang Xiaowei
(Shaanxi youth Shaanxi Career Academy,Xi'an,710068)

Along with the development of modern information technology and computer technology,the network security has become a topic of concern.This paper adopts multi Agent intelligent system technology, the settings for each network security system to each legitimate user terminal,network security is now focused on firewall technology,therefore,this paper uses Agent security audit module to realize the system security.

Agent software;network security;multi-agent system;firewall technology