基于Agent技術的校園網絡安全管理系統設計

周立林 劉昌賀

摘要： 隨著校園網對安全的要求越來越高，結合Agent技術的發展，設計了基于Agent技術的校園網絡安全管理系統。詳細分析了Agent技術，并介紹了校園網絡安全管理系統的整體結構及各功能模塊，包括控制服務器、用戶終端控制臺，用戶控制臺。介紹了Agent模塊功能設計，并搭建了測試環境，實際測試表明達到了預期目標。

關鍵詞：校園網 網絡安全 Agent技術 分布式結構

中圖分類號：TP311 文獻標識碼：A 文章編號：1007-9416（2016）06-0218-01

隨著計算機技術和網絡技術的快速發展，全國絕大多數的高校均已建成了自己的校園網絡。校園網為教職員工的教學、科研和管理，以及廣大學生對網絡的各項應用提供了基本保障。由于網絡應用的深入、規模的擴大和數據存儲量的增加，相關的網絡安全問題如數據丟失、系統癱瘓、病毒入侵、網絡阻塞、信息傳輸中斷等問題都對校園網絡的健康發展產生了影響和制約，對學校的教學、管理、科研等活動也產生了很大影響。運行一套行之有效的校園網絡安全管理與維護系統是校園網絡安全管理與維護人員的切實需要。

1 Agent技術

IT界的Agent概念是由麻省理工學院的著名計算機學家和人工智能學科創始人之一的Minsky提出來的，他在“Society of Mind”一書中將社會與社會行為概念引入計算系統。傳統的計算系統是封閉的，要滿足一致性的要求，然而社會機制是開放的，不能滿足一致性條件，這種機制下的部分個體在矛盾的情況下，需要通過某種協商機制達成一個可接受的解。Minsky將計算社會中的這種個體稱為Agent。這些個體的有機組合則構成計算社會-多Agent系統。Agent是指駐留在某一環境下，能持續自主地發揮作用，具備駐留性、反應性、社會性、主動性等特征的計算實體。

Agent具有自治性、反應性、主動性、社會性、進化性等特性，和對象一樣具有標識、狀態、行為和接口，但Agent和對象相比，又有以下差異：

（1）Agent具有智能，通常擁有自己的知識庫和推理機，而對象一般不具有智能性；

（2）Agent能夠自主地決定是否對來自其它Agent的信息做出響應，而對象必須按照外界的要求去行動。也就是說Agent系統能封裝行為，而對象只能封裝狀態，不能封裝行為，對象的行為取決于外部方法的調用；

（3）Agent之間有通信通常采用支持知識傳遞的通信語言。

但Agent可以看作是一類特殊的對象，即具有心智狀態和智能的對象，Agent本身可以通過對象技術進行構造，而且大多數Agent都采用了面向對象的技術，Agent本身具有的特性又彌補了對象技術本身存在的不足，成為繼對象技術后，計算機領域的又一次飛躍。全球范圍內的Agent研究浪潮正在興起，包括計算機、人工智能、系統集成以及其它行業的研究人員正在對該技術進行更深入的研究，并將其引入到各自的研究領域，為更加有效地解決生產實際問題提供了新的工具。

2 系統設計

校園網絡安全管理與防護系統運行于具有分層結構的校園網絡環境中，根據學校網絡分散、復雜等特點，系統采用了網絡分布式體系結構，終端代理Agent運行在各個用戶終端上負責監控和收集系統信息，而控制服務器則可以進行集中的管理，該體系結構兼具靈活部署能力與良好拓展能力兩個特點。系統體系結構如圖1所示。

系統主體包括：控制服務器、用戶終端控制臺和用戶控制臺。其中用戶控制臺和控制服務器之間采用 C/S 模式確定規則部署、告警信息設定和統計報表等功能；終端用戶控制臺和控制服務器之間采用C/S模式實現各類數據上報，采用B/S模式實現客戶端軟件下載安裝；控制服務器還提供 B/S 模式實現服務器自身維護和管理，包括軟件升級、服務管理和用戶管理等。

網絡安全管理與防護系統各模塊功能如下：

（1）控制服務器：作為整個系統的核心，具有集中存放、管理和分析監控數據的功能。控制服務器還完成構件的集中管理、自動部署以及快速開發、組裝，同時新的數據采集探針、監控分析構件也可在系統平臺上快速開發、部署。控制服務器具有拓展靈活的特點，適用于各種復雜的監控應用環境。

（2）用戶終端控制臺：為終端用戶提供的圖形用戶終端，以供用戶查看當前終端相關安全信息。Agent 駐留用戶監控目標機上，負責按設定規則對桌面操作進行監控，在必要時觸發報警，并實時對控制服務器上傳數據。同時用戶終端控制臺還具有遠程控制和實時錄像的功能，能夠對信息系統的多層面進行監測、掃描。通過多途徑的數據過濾、分析和處理，及時反映系統的運行狀態和性能。Agent 還完成探針組件包的調度、升級更新等管理操作。用戶終端控制臺又細分為3個模塊，Agent 管理模塊、Agent監控模塊和終端用戶應用程序模塊。

（3）用戶控制臺：所有管理工作運行的平臺單位。用戶控制平臺為了便于控制利用，實現了用戶終端的圖形可視化，為用戶提供查看報表、配置規則及其他相關方面的信息。

3 Agent模塊功能設計

由于 Agent 具有的自適應、自組織能力，將其安裝在被監控機器上，負責自動執行接收到的監控策略，同時相應地更新策略信息，并記錄監控信息，在適時地上傳警報。其中包含了通訊Agent、監控Agent和策略庫。通訊Agent用于實現系統和被監控主機間的通信，可收發來自控制端、配置端和 監控Agent端的數據，同時更新被監控機器策略庫中的子策略。策略庫存儲了被監測機器的所有策略，為監控Agent端管理提供了規則。監控Agent負責根據策略庫中的規則來對數據包進行分析，并產生日志和發出警報。

整個Agent端可以劃分為監控和管理兩大模塊，兩個模塊都是由多個不同功能的Agent子模塊組成，監控模塊分為：網絡連接Agent、設備監控Agent、系統環境監控Agent、程序行為監控Agent、文件目錄監控Agent。管理模塊分為：Agent自我保護、Agent狀態管理、桌面違規響應動作、桌面動態信息實時采集。

4 系統測試及結論

系統測試環境的搭建依附于學院校園網絡之上，各終端之間均是 100M連接，網絡硬件性能良好。測試提供了1臺控制服務器（獨立硬件設備），50臺終端用戶機，其中選擇一臺終端測試機器作為用戶控制臺主機，負責規則部署下發和審計查詢測試。

將該安全管理與防護系統的測試分為兩個階段進行，第一個階段進行系統各項功能的確認測試，第二階段是系統的運行負載和穩定性測試。 通過對系統進行了測試分析評估，測試結果證明整個系統界面友好，操作十分便捷，運行穩定可靠。

總之， 根據學校數字校園建設中對網絡安全管理和防護需求的分析，提出了面向整個校園的信息安全管理與防護系統的體系框架，采用分布式 Agent 的設計模式將系統劃分為控制服務器、用戶控制臺、用戶終端控制臺三個子系統，提供一套完整的網絡安全管理解決方案，實際運行表明基于Agent技術的校園網絡安全管理系統達到預期目標。