基于Agent技术的校园网络安全管理系统设计

2016-07-09 09:26周立林刘昌贺
数字技术与应用 2016年6期
关键词:校园网网络安全

周立林 刘昌贺

摘要: 随着校园网对安全的要求越来越高,结合Agent技术的发展,设计了基于Agent技术的校园网络安全管理系统。详细分析了Agent技术,并介绍了校园网络安全管理系统的整体结构及各功能模块,包括控制服务器、用户终端控制台,用户控制台。介绍了Agent模块功能设计,并搭建了测试环境,实际测试表明达到了预期目标。

关键词:校园网 网络安全 Agent技术 分布式结构

中图分类号:TP311 文献标识码:A 文章编号:1007-9416(2016)06-0218-01

随着计算机技术和网络技术的快速发展,全国绝大多数的高校均已建成了自己的校园网络。校园网为教职员工的教学、科研和管理,以及广大学生对网络的各项应用提供了基本保障。由于网络应用的深入、规模的扩大和数据存储量的增加,相关的网络安全问题如数据丢失、系统瘫痪、病毒入侵、网络阻塞、信息传输中断等问题都对校园网络的健康发展产生了影响和制约,对学校的教学、管理、科研等活动也产生了很大影响。运行一套行之有效的校园网络安全管理与维护系统是校园网络安全管理与维护人员的切实需要。

1 Agent技术

IT界的Agent概念是由麻省理工学院的著名计算机学家和人工智能学科创始人之一的Minsky提出来的,他在“Society of Mind”一书中将社会与社会行为概念引入计算系统。传统的计算系统是封闭的,要满足一致性的要求,然而社会机制是开放的,不能满足一致性条件,这种机制下的部分个体在矛盾的情况下,需要通过某种协商机制达成一个可接受的解。Minsky将计算社会中的这种个体称为Agent。这些个体的有机组合则构成计算社会-多Agent系统。Agent是指驻留在某一环境下,能持续自主地发挥作用,具备驻留性、反应性、社会性、主动性等特征的计算实体。

Agent具有自治性、反应性、主动性、社会性、进化性等特性,和对象一样具有标识、状态、行为和接口,但Agent和对象相比,又有以下差异:

(1)Agent具有智能,通常拥有自己的知识库和推理机,而对象一般不具有智能性;

(2)Agent能够自主地决定是否对来自其它Agent的信息做出响应,而对象必须按照外界的要求去行动。也就是说Agent系统能封装行为,而对象只能封装状态,不能封装行为,对象的行为取决于外部方法的调用;

(3)Agent之间有通信通常采用支持知识传递的通信语言。

但Agent可以看作是一类特殊的对象,即具有心智状态和智能的对象,Agent本身可以通过对象技术进行构造,而且大多数Agent都采用了面向对象的技术,Agent本身具有的特性又弥补了对象技术本身存在的不足,成为继对象技术后,计算机领域的又一次飞跃。全球范围内的Agent研究浪潮正在兴起,包括计算机、人工智能、系统集成以及其它行业的研究人员正在对该技术进行更深入的研究,并将其引入到各自的研究领域,为更加有效地解决生产实际问题提供了新的工具。

2 系统设计

校园网络安全管理与防护系统运行于具有分层结构的校园网络环境中,根据学校网络分散、复杂等特点,系统采用了网络分布式体系结构,终端代理Agent运行在各个用户终端上负责监控和收集系统信息,而控制服务器则可以进行集中的管理,该体系结构兼具灵活部署能力与良好拓展能力两个特点。系统体系结构如图1所示。

系统主体包括:控制服务器、用户终端控制台和用户控制台。其中用户控制台和控制服务器之间采用 C/S 模式确定规则部署、告警信息设定和统计报表等功能;终端用户控制台和控制服务器之间采用C/S模式实现各类数据上报,采用B/S模式实现客户端软件下载安装;控制服务器还提供 B/S 模式实现服务器自身维护和管理,包括软件升级、服务管理和用户管理等。

网络安全管理与防护系统各模块功能如下:

(1)控制服务器:作为整个系统的核心,具有集中存放、管理和分析监控数据的功能。控制服务器还完成构件的集中管理、自动部署以及快速开发、组装,同时新的数据采集探针、监控分析构件也可在系统平台上快速开发、部署。控制服务器具有拓展灵活的特点,适用于各种复杂的监控应用环境。

(2)用户终端控制台:为终端用户提供的图形用户终端,以供用户查看当前终端相关安全信息。Agent 驻留用户监控目标机上,负责按设定规则对桌面操作进行监控,在必要时触发报警,并实时对控制服务器上传数据。同时用户终端控制台还具有远程控制和实时录像的功能,能够对信息系统的多层面进行监测、扫描。通过多途径的数据过滤、分析和处理,及时反映系统的运行状态和性能。Agent 还完成探针组件包的调度、升级更新等管理操作。用户终端控制台又细分为3个模块,Agent 管理模块、Agent监控模块和终端用户应用程序模块。

(3)用户控制台:所有管理工作运行的平台单位。用户控制平台为了便于控制利用,实现了用户终端的图形可视化,为用户提供查看报表、配置规则及其他相关方面的信息。

3 Agent模块功能设计

由于 Agent 具有的自适应、自组织能力,将其安装在被监控机器上,负责自动执行接收到的监控策略,同时相应地更新策略信息,并记录监控信息,在适时地上传警报。其中包含了通讯Agent、监控Agent和策略库。通讯Agent用于实现系统和被监控主机间的通信,可收发来自控制端、配置端和 监控Agent端的数据,同时更新被监控机器策略库中的子策略。策略库存储了被监测机器的所有策略,为监控Agent端管理提供了规则。监控Agent负责根据策略库中的规则来对数据包进行分析,并产生日志和发出警报。

整个Agent端可以划分为监控和管理两大模块,两个模块都是由多个不同功能的Agent子模块组成,监控模块分为:网络连接Agent、设备监控Agent、系统环境监控Agent、程序行为监控Agent、文件目录监控Agent。管理模块分为:Agent自我保护、Agent状态管理、桌面违规响应动作、桌面动态信息实时采集。

4 系统测试及结论

系统测试环境的搭建依附于学院校园网络之上,各终端之间均是 100M连接,网络硬件性能良好。测试提供了1台控制服务器(独立硬件设备),50台终端用户机,其中选择一台终端测试机器作为用户控制台主机,负责规则部署下发和审计查询测试。

将该安全管理与防护系统的测试分为两个阶段进行,第一个阶段进行系统各项功能的确认测试,第二阶段是系统的运行负载和稳定性测试。 通过对系统进行了测试分析评估,测试结果证明整个系统界面友好,操作十分便捷,运行稳定可靠。

总之, 根据学校数字校园建设中对网络安全管理和防护需求的分析,提出了面向整个校园的信息安全管理与防护系统的体系框架,采用分布式 Agent 的设计模式将系统划分为控制服务器、用户控制台、用户终端控制台三个子系统,提供一套完整的网络安全管理解决方案,实际运行表明基于Agent技术的校园网络安全管理系统达到预期目标。

猜你喜欢
校园网网络安全
网络安全知多少?
试论最大匹配算法在校园网信息提取中的应用
网络安全
网络安全人才培养应“实战化”
基于VRRP和MSTP协议实现校园网高可靠性
上网时如何注意网络安全?
NAT技术在校园网中的应用
校园网贷有哪些违法隐患
VPN在校园网中的集成应用
“4.29首都网络安全日”特别报道