基于多Agent的可控网络安全系统的开发策略

　随着网络技术的不断发展与更新，黑客攻击的方式也在逐渐的更新，网络的安全问题也就越来越突出。目前，比较有效的安全防御对策就是及时发现并且改正网络系统中出现的安全隐患，不仅要定期对网络安全性开展分析、检查以及评估工作，还要充分了解黑客的最新攻击方式以此来完善系统的数据库，进而提高网络系统自身的抗攻击性能。除此之外，木马、病毒等还可以利用漏洞攻击主机，留下相应的痕迹，进而出现安全事故。对此可以采取审计技术，记录相应的痕迹与事故日志，进而采取相应的措施确保网络系统的安全性。
　　1 可控网络安全系统概述
　　可控网络安全系统指的就是一种运行安全，具有可扩展性与较高灵活性的综合解决系统。该系统首先利用控制中心认证客户的主机，以此来确保客户主机身份的可操作性与合法性，之后开展漏洞检测与安全审计工作，对网络的所有客户主机展开安全扫描，记录扫描结果与异常活动的审计日志，在完成综合评估之后，对存在着一些高风险的主机进行封网，以此来增强网络系统的安全性。在该网络系统的结构当中，控制中心是处在外部网络中。在网络系统运行过程中，一般均会包括不同的分散内网，相应的内网用户能够对任何交换机进行操作，甚至在网络系统中接入集线器。
　　2 Agent软件的认证
　　Agent软件主要包括消息处理器、策略部件、目标函数、效用器、感知器以及处在感知融合基础上的世界模型。从此软件的外在行为方面而言，其可以对外界环境的改变展开一定的感知，可以同相关的软件展开合作，还可以影响外界环境的变化。由此可以看出，消息处理器、效用器以及感知器是该软件的重要组成部件，在设计的时候一定要对其展开详细的分析。其中感知器是用来输入相关数据的，对外界环境以及系统运行状态进行一定的检测，完成相应对认证软件的维护。所以，认证Agent一定会具备实时定位与识别网络环境的作用，也就证明了该系统是值得推广的。通常情况下，认证Agent的状态主要有六种：认证失败（0）、认证成功（1）、认证超时（2）、封网（3）、解网（4）以及正在认证（5）。一般将认证超时理解为主机系统的运行情况不在可控网络中，这时就不需要管理员对其展开相关的监控操作，认证Agent要将主机的全部数据包展开放行操作。当认证失败与封网的时候，主机的所有数据包均会被阻塞，而当处在正在认证状态的时候，只有相关的认证数据包才能够通过。
　　通常情况下，网络系统的初始认证状态是认证失败，其转换的过程主要包括以下步骤：一是，在进行初始化的时候，如果检测到封网状态，就可以将其认证状态设置成封网；二是，对封网状态进行实时检测，如果确认是封网，就将其设置为封网；三是，当认证超时的时候，就将其状态设置成认证超时；四是，如果不是认证超时，并且还检测到了CN，一定要进行空操作；五是，如果不是认证超时，并且没有检测到CN，就可以将其状态设置成认证超时；六是，在认证超时的状态下，还检测到了CN，一定要自行开展重新认证，如果认证失败的话，就将其状态设置成认证失败，相反就是认证成功。开展这样的操作就能够有效的防止恶意攻击与通讯。
　　软件认证的实现主要可以从三个方面展开分析：身份属性、通信接口以及功能属性。身份属性也就表示认证软件一定要有自己的标识名称，主要就是负责软件的管理与合作，同时在网络系统内部此项名称是唯一的。在可控网络安全系统中，该软件的名称主要包括两个部分：一是逻辑名称，说明软件目前的位置，利用相应的IP地址表示；二是物理名称，在网络范围内具有唯一性，用于绑定硬盘序列号、中央处理器序列号以及用户名的身份认证，进而对主机与用户进行划分。通信接口基本上就是软件通信的一种规范与流程，主要体现为数据包与协议。功能属性主要指的就是认证、检测软件的执行环境以及实现软件的自我保护。
　　3 Agent软件的保护机制
　　因为Agent软件能够被用户有意或者无意之间破坏，所以，在可控网络安全系统中一定要对其展开相应的保护。与此同时，相关的网络用户还可以利用新设备或者重装系统等行为避免认证，进而展开非法访问网络的行为，所以，一定要对认证软件的执行环境展开监测操作，及时发现并且制止这些不安全的现象，保证网络系统运行的安全性。通过对网络系统的内核进行安全加固，能够完成对认证软件的静态保护操作，也就是对相关文件、注册表以及进程的一种保护。此时认证软件是采用一致的驱动程序对相关文件、注册表以及进程展开保护。并且静态保护也只是针对安装了认证软件的系统进行保护，没有办法处理一些恶意躲避认证的行为。所以，在可控网络安全系统中一般采用的均是动态方式，并且可以敦促相关用户改正不良行为，此项技术也被称之为自我保护检测技术。主要就是由控制中心对网络主机进行判断其认证软件的部署状态，先决条件就是一定要分析其主机在线的实际状况。其运行原理就是：控制中心将相应加密的认证数据包发送到相应的在线主机上，如果有验证数据回应，就表示相应的主机是合法的，要不然就是非控节点。在发现存在非控节点的时候，相关的管理员与控制中心一定要实施相应的保障措施，部署正确、安全的认证软件。
　　可控网络安全系统的在线监测协议就是ARP协议，可以处理一般的监测方法，比如，TCP SYN、TCP ACK等，但是相应的处理效率就比较低，通常情况下需要对端口进行逐一的测试。各个网络系统是由相应的路由器予以划分的，ARP数据包通常不能跨越路由器，只可以在同一个网段范围内进行传播。同时可控网络安全系统也可以授权给相关可信的可控节点进行检测工作。其原理就是：控制中心需要对在同一网段范围内的IP地址进行相关的检测，对其其他相关的网络可以由可信的可控节点代理检测，在完成相关检测工作之后，将检测信息发送到控制中心。
　　4 结束语
　　总而言之，与网络信息资源相关的安全服务主要有身份认证、安全审计以及漏洞检测等方面，在分析可控网络安全系统的时候，一定要基于安全性标准、容易达成以及综合功能的方面，采取多Agent软件系统的智能化与自主化，在确保网络系统安全性的基础上，对网络系统的运行环境与状态转换进行认证，同时采取非对称的加密技术，确保认证软件通信的迁移以及安全性。之后运用ARP协议实现Agent软件执行 环境的检测工作，进而达到静态与动态的双重保护。
　　参考文献：
　　[1]陈国龙，陈火旺，康仲生.基于内容的网络信息安全审计中的匹配算法研究[J].小型微型计算机系统，2004（09）.
　　[2]杜春燕，黄宪，陆建德.一种改进的基于PKI/ECC的IKE协议设计[J].微电子学与计算机，2006（05）.
　　[3]周剑岚，罗健峰，冯珊等.基于移动智能体技术的先进日志审计系统[J].华中科技大学学报，2005（04）.
　　[4]宋四新，刘先荣，周剑岚.基于多Agent的可控网络安全系统研究[J].系统工程与电子技术，2008（06）.