(陕西青年职业学院,陕西西安,710068)

基于Agent的网络安全系统设计与实现

张小卫

(陕西青年职业学院,陕西西安,710068)

随着现代信息技术和计算机技术的发展，网络安全成为人们关心的话题。本文采用多Agent智能体系技术，将每个网络安全防范体系设置到每一个合法的用户终端上面，而现在的网络安全大都集中在防火墙技术等，因此，本文提出采用Agent安全审计模块实现对系统的安全保障。

Agent软件；网络安全；多智能体系统；防火墙技术

随着现代网络技术的不断更新，黑客对网络的攻击手段和方式也在不断的翻新，网络安全也变得越来越突出。而当前对网络的安全防御通常是通过及时发现，并通过立即改正的方式，实现对网络中安全隐患的派出的方式，并定期的通过了解黑客对网络攻击的新方式来完善对相关数据库和防御体系的建设。而除此之外，黑客还利用网络中的病毒、木马等对主机形成攻击，从而导致主机个人信息被泄露。本文正是基于，提出利用多Agent技术，采用安全审计系统实现对网络的安全，以此使该系统成为网络安全的第三道防线。

1 Agent技术

该技术起源于上个世纪70年代的人工智能系统，而对其进行的定义则认为所谓的Agent 技术就是一种在特定的环境下所包装的计算机系统，而为实现该目的，其环境必须是灵活的和自主的。而对技术进行分类，按照其工作环境来分，可以分为人工生命Agent、软件Agent以及硬件Agent；而按照实行对其进行分类的话，则可以分为思考型、反应型和混合型。而现阶段使用比较多的则为BDI模型。其主要包括信念、愿望、意图和规划库等组成部分。通过规划库当中的方案提供，并在解释器里面进行使用。

2 系统设计的目标

对该安全审计的设计，其主要的用途是实现对政府或者是企业内部网络的监控，因此，对该系统设计的目标在主要是采用分布式的运行方法，实现对不同审计模块的实现；其次是对在监控中捕获的相关日志数据进行实时或者是事后的审计，并根据审计的结构，做出相应的安全警报；对相关行为的审计，如发现其中出现越权删除文件、更改防火墙等操作的行为，则运用数据挖掘中的关联规则，形成规则库，对其中的事件进行比对，如出现违规则理解做出响应，并做出响应，并不断增强其审计的功能；运用Socket 类的 Agent 间通信机制，实现在服务器端对不同主机的远程审计；可扩展性则是根据其具体的参数和审计的规则不同，可对系统进行一定的扩展。

3 基于安全审计的模型设计

对该系统的安全审计设计通常包括三个不同的模块，其注意要数据采集、报警响应、数据分析。通过对安全审计模型的分析，本文提出结合Agent技术、数据挖掘和入侵检测等各种不同的关键技术，并融合多Agent见的共享和交换功能，慧慈挖掘日志数据产生动态规则和多方面防御局域网攻击等优势，设计和实现一个分布式的、智能的安全审计系统。

因此，本文将其分为两个不同的功能，第一则是对该系统各个不同功能的实现；第二则是利用现有的Socket类对Agent间通信进行实现。其整体的架构设计如图1所示。

图1 Agent系统整体架构设计

通过上述的布局，我们可看出，其中的数据采集和客户端Agent则被分布在其监控的节点上。而这其中是数据采集端则主要负责对相关的日志进行捕获，并经过系统过滤处理后进行存储，同时其还负责对主机的日志和网络数据进行定期的上传；而客户端的Agent其主要的功能能而是对本地所存储的日志进行审计，并向管理中心传递相关的屏幕采样、键盘信息以及审计的日志记录的呢过，同时可接收来自管理控制中心的Agent所发送的远程审计命令。

而上述的审计分析和管理中心则分布在服务器或者是网关上面，其中审计分析的Agent主要接收主机的日志数据，并对其中的数据进行匹配，当发现其中出现任何的违规的时间，则其立即发出警报和提供相关的审计的结果；而其中的MA接口，则主要提供监视对客户端的Agent 的注册、撤销等操作；接收上传的屏幕、鼠键信息和审计日志记录，对局域网内用户行为和网络访问等进行审计监控，根据分析结果及时发布远程审计指令等。

而利用Socket 类的通信机制连接，则主要是实现对不同日志数据的安全审计，并由此保证整个局域网的安全。同时在服务器端口，采用MS SQL Server 2008数据库，实现对产生的日志进行存储，以此提供更好的相关辅助服务。

4 系统的设计

4.1数据采集的设计

对该系统数据采集的设计，其主要是对主机产生的日志，客户端产生的信息和网络数据等进行采集，并通过格式化处理，成为统一的格式，并将其存储到SQL Server数据库当中，为以后系统提供日志查询等功能。而其具体的流程则如图2所示。

图2 数据采集和处理

4.2审计分析设计

该模块其主要的功能则是对在数据预处理后，对统一的数据进行分析和比对，从而发现其中违反规则的日志，以此可有效地做出相应的警报。而该模块其主要分为对数据的属性的分析和相关日志的数据挖掘与响应。而其具体的数据分析如图3所示。

图3 审计分析过程

图4 局域网拓扑分布图

4.3基于Socket 类的通信机制设计

该部分设计的核心，是如何通过通信协议，实现对服务器端和客户端的远程操作。因此，对该模块的设计则是首先实行Agent注册，在注册后，方可实现对通信机制的管理，并通过MA实现对其中的局域网的监控。一旦出现任何的异常，系统则会自动报警；其次则是建立服务器和主机之间的通信连接，而该连接是通过创建Socket类的方式来实现对其进行的监听。而其具体过程则是在服务器和客户端分别建立Socket，并输入对方的IP地址，以方便进行数据的接收。通过上述的通信，并通过MA实现对主机的远程操作。

5 系统的实现

对该系统的实现则主要从其开发环境和运行环境进行实现。对该系统的开发则采用基于Windows下的MS Visual Studio 2008进行开发，并运用SQL Server 2008数据库作为系统的整体数据库管理。

而其运行环境为服务器端采用Win Server 2003,操作系统，客户端运行win 7系统。同时，该局域网布局采用外网1台，内网29台，其具体的网络拓扑如图4所示。

同时通过上述的设计，并按照在服务端可客户端安装Socket后，产生相应的违规事件，并经过安全审计的统计，其具体得到系统所发生的结果。

总之，本文通过采用多Agent技术，设计出了通过数据采集、数据预处理和安全审计分析、通信机制连接等步骤，实现了对主机日志、网络信息等的安全审计，并可通过远程操作实现对网络信息安全的保护，以此更好的保障用户的安全。

[1] 周剑岚,罗健峰,冯珊等.基于移动智能体技术的先进日志审计系统[J].华中科技大学学报,2005(04).

[2] 宋四新,刘先荣,周剑岚.基于多Agent的可控网络安全系统研究[J].系统工程与电子技术,2008(06).

[3] M.Arun Kumar,M.Gopal. Least squares twin support vector machines for pattern classification[J]. Expert Systems with Applications, 2009,36(4):7535-7543.

Design and implementation of network security system based on Agent

Zhang Xiaowei
(Shaanxi youth Shaanxi Career Academy,Xi'an,710068)

Along with the development of modern information technology and computer technology,the network security has become a topic of concern.This paper adopts multi Agent intelligent system technology, the settings for each network security system to each legitimate user terminal,network security is now focused on firewall technology,therefore,this paper uses Agent security audit module to realize the system security.

Agent software;network security;multi-agent system;firewall technology