基于Packet Tracer軟件的主動防御網絡安全性評估系統設計

鄭毅平 劉雍

摘? 要： 針對傳統系統受到吞吐量和傳輸延遲影響而導致評估結果精準度低的問題，提出基于Packet Tracer軟件的主動防御網絡安全性評估系統設計。在主動防御原理支持下，設計服務器端結構，采用ScanHome SH?800/400嵌入式掃描模組條形碼二維碼掃描設備作為掃描引擎，并在RISC芯片PA?RISC微處理器上安放評估裝置，一旦系統出現故障，就會發出預警信號，通過設置控制、數據、協同接口，能夠支持子系統之間信息交互，利用較高的脈寬調制器TL494：4引腳設計電源。采用自上而下的數據管理方式設計系統軟件流程，以此構建數學模型，引入網絡熵權衡收益，實現系統安全性評估。通過實驗對比結果可知，該系統最高評估精準度可達到98%，可保障用戶信息安全。

關鍵詞： 主動防御; 網絡安全評估; Packet Tracer; 掃描引擎; 軟件流程設計; 數學模型

中圖分類號： TN915.08?34; TP393? ? ? ? ? ? ? ? ? 文獻標識碼： A? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）17?0087?05

Abstract： In view of the problem that the traditional systems are affected by the throughput and transmission delay， which results in low accuracy of evaluation results， an active defense network security evaluation system based on the Packet Tracer software is proposed. The server?side structure is designed with the support of the principle of active defense. The embedded scanning module barcode & two?dimensional code scanning device ScanHome SH?800/400 is used as the scanning engine. In addition， an evaluation device is set on the RISC chip′s PA?RISC microprocessor. Once the system breaks down， the early warning signal will be sent out. By setting up the control interface， data interface and cooperative interface， the information interaction between subsystems can be realized. The power supply is designed with the wide pulse width modulator TL494：4 pin. The top?down data management method is adopted to design the software flow of the system， so as to build the mathematical model. And then， the network entropy is introduced to weigh the benefits and realize the system security evaluation. The results of comparison experiments show that the highest evaluation accuracy of the system can reach 98%， which is capable to guarantee user information security.

Keywords： active defense; network security evaluation; Packet Tracer; scanning engine; software procedure design; mathematical model

0? 引? 言

計算機網絡安全問題隨著因特網普及，變得越來越重要，主動防御網絡無法對正常信息中攜帶的非正常信息進行識別，導致網絡使用不安全，用戶信息安全無法得到保障[1]。為了避免用戶在大數據環境下私密信息被泄露，需對主動防御網絡安全性進行評估[2]。

目前，我國已經存在多種網絡安全性評估系統，甚至有些已經投入到使用當中，但這些系統針對的都是網絡安全漏洞檢測，對于風險評估存在的干擾問題還沒有解決[3]。因此，需要建立一個全面的主動防御網絡安全性評估系統。

借助Packet Tracer軟件完成主動防御網絡安全性評估系統設計，通過終端安全接入與訪問控制列表網絡安全問題，分析整個系統的設計過程。

1? 主動防御原理

主動防御網絡功能可在大數據環境下安全運行，結合網絡監測技術，能夠保障用戶在安全環境下安心使用[4]。主動防御系統是在保證用戶信息安全情況下實現的，在原有系統防御技術基礎上，使用Packet Tracer軟件，主動防御原理如圖1所示。

依據傳統主動防御技術，使用Packet Tracer軟件將監測原理與預測原理相結合，形成主動防御原理。在系統中引入網絡熵權衡收益，能夠避免正常信息中攜帶的非正常信息的干擾，依據該原則設計網絡安全性評估系統結構[5]。

2? 系統結構設計

漏洞掃描技術、防火墻技術、入侵檢測技術是目前最為常見的網絡安全防御有效手段，其中漏洞掃描技術是主動檢查網絡安全、及時堵住漏洞的網絡抗攻擊能力技術，也是網絡安全保障措施中最重要的一個環節。

網絡安全性評估系統總體結構設計如圖2所示。

由客戶端掃描系統配置，并將配置文件發送到引擎組件之中，根據確定的掃描策略，采用主機和網絡掃描方式進行全面漏洞信息采集，從操作系統層檢測目標漏洞，并將掃描結果傳送到評估模塊之中。評估模塊對掃描的所有漏洞信息進行統計，根據設定綜合分析函數對系統安全性進行評估[6]。

2.1? 服務器端結構設計

服務器端結構設計如圖3所示，由客戶端、服務器端、掃描引擎、結果數據庫、漏洞數據庫、規則數據庫等幾個部分組成。

1） 掃描引擎

掃描引擎是殺毒軟件中最重要的部分，當操作殺毒軟件掃描一個磁盤驅動器時，需將整個磁盤驅動器下的檔案送進掃描引擎中進行掃描，該掃描只通過一個使用者接口，并無任何包裝的核心程序[7]。采用ScanHome SH?800/400嵌入式掃描模組條形碼二維碼掃描設備作為掃描引擎，其產品尺寸如圖4所示。

通過SH?800 RS串口接口實現各個掃描插件的相互聯系，執行掃描程序，可將結果存入掃描結果庫之中。

2） 結果數據庫

在掃描過程中，一旦發現網絡存在漏洞，就需將漏洞相關信息存入結果數據庫之中。當掃描任務完成之后，需將服務器獲取的全部數據都傳送到客戶端，方便用戶評估[8]。

3） 漏洞數據庫

利用主機對外部環境進行掃描時，需將主機返回的信息與漏洞數據庫信息相互結合，以此為依據，判斷系統是否存在漏洞。

4） 規則數據庫

從漏洞數據庫中獲取相關數據，并配置重要規則，存儲到規則數據庫中[9]。

2.2? 評估裝置

評估裝置由評估終端、信息接收、外置GSM模塊和主機四部分組成，如圖5所示。

結合ScanHome SH?800/400型號掃描引擎，在RISC芯片PA?RISC微處理器上設計評估裝置，使其在正常工作時，消耗的功率達到最低[10]。一旦系統出現故障時，評估裝置就會立刻發出預警信號，提醒用戶主動防御，網絡安全性較差。

2.3? 接口設置

系統通過控制、數據、協同這三個類型的接口支持子系統之間信息交互，其中，控制和數據接口主要負責管理子系統與其他系統之間數據的傳輸，協同接口主要用于管理控制和安全態勢評估之間信息的交互[11]。

為了提高整個硬件設備的使用靈活性，需面向復雜多變的安全態勢評估標準設計支撐硬件平臺中各個子系統獨立的接口：具有獨立硬件承載接口，分別連接不同的運行設備;具有獨立運行接口，創建可執行評估任務[12]。

將控制、數據、協同這三個接口設置為通用接口，根據這些接口可將子系統集成為一個綜合平臺，將評估方法融入其中，基于移動存儲設備進行文件傳輸，并依據XML文件進行系統間的交互傳輸。

2.4? 電路設計

開關電源的可靠性直接影響整個系統的可靠性，從開關電源中的各種電路保護著手，分析數控開關電源的啟動電路，為硬件設備提供保障[7]。開關電源電路負責為整個系統提供電源，當存在較多大功率用電設備情況下時，如果開關電源可靠性不高，那么說明保護性較差，使系統工作出現異常，容易造成設備損壞現象的發生。

針對上述問題，利用較高的脈寬調制器TL494：4引腳進行電源設計，如圖6所示。

圖6中，TL494引腳為死區控制，通過轉換功率管控制安全死區時間，也可通過控制驅動芯片啟動開關。在系統啟動瞬間，電容器未建立電壓，通過電容封鎖脈寬調制器的輸出脈沖。由于電容兩端電壓逐漸升高，引腳電壓逐漸降低，驅動脈沖寬度持續加寬。一旦輔助電源出現故障，那么三極管將導通，此時需切斷驅動脈沖，保證電源開關不會停止工作。

3? 系統軟件部分設計

系統軟件部分設計采用自上而下的數據管理方式，系統軟件部分設計流程如圖7所示。

系統根據評估要求創建測試評估項目，將資產識別任務分配給項目識別模塊;項目識別模塊根據目標信息錄入完整識別信息，并對每項分配的信息進行ID標識，生成相應列表后，轉交給控制模塊;根據項目列表填充測試評估任務，并將任務依次分發給子任務;項目識別、在線檢測、惡意代碼識別、安全分析等四個部分系統根據下達的任務完成相應測試，通過向控制系統提交測試結果完成軟件部分設計。

依據軟件部分設計流程，使用Packet Tracer軟件對主動防御網絡安全性進行評估。在Packet Tracer軟件中，提供交換機、路由器和網卡等網絡設備，其中，交換機負責提供選項卡，將交換機端口與終端相連接，并與網卡MAC地址綁定，實現終端設備安全接入到交換機之中，而路由器通過路由鑒別網絡是否安全，經過配置相應密鑰，構建數學模型，引入網絡熵權衡收益，最終進行安全性評估。

3.1? 數學模型構建

設[Q=q1，q2]為一個集合，[q1]表示攻擊者，[q2]表示防御者;[Ek=Ek1，Ek2，…，Ekm]表示事件發生的空間;[E1i=e1i，h1i，π1i0<π1i<1，π1i=1]表示攻擊行為，[e1i]表示攻擊者惡意行為，[h1i]表示攻擊者攻擊的設備，根據設備種類將攻擊行為劃分為5個等級，[π1i]表示攻擊者惡意攻擊所發生的幾率。

在不同網絡防御狀態下，將防御與攻擊等級進行轉換，依據防御與攻擊行為之間的關系構建數學模型，如式（1）所示：

3.2? 引入網絡熵權衡收益

由于在模型構建過程中會受到外界環境干擾，導致網絡并不安全，造成安全性評估結果并不精準，因此，需引入網絡熵權衡收益。

網絡狀態熵差為：

充分考慮防御與攻擊行為的雙方利益，進行量化效果屏蔽，如果攻擊行為大于防御行為，那么說明攻擊者采用的方法已經成功侵入了整個系統，在既定環境下，將防御者的收益情況作為評估指標。

3.3? 安全性評估

在進行安全性評估過程中，通過分析安全狀態下均衡處置方案，需先獲取網絡最佳安全狀態，對其狀態進行評估。設in為大數據下主動防御網絡中的指標信息，將初始化向量設置為：

結合上述公式，更新向量，計算不同評估階段的熵差，并得出均衡狀態下的概率，以此分析主動防御情況，完成對主動防御網絡安全性評估。

4? 安全仿真實驗設計

借助Packet Tracer軟件，從仿真實驗中對基于Packet Tracer軟件的主動防御網絡安全性評估系統設計進行驗證分析。

4.1? 仿真實驗目的

在Packet Tracer軟件上，通過配置終端安全接入，實現計算機網絡安全。通過交換機端口與終端地址綁定實現系統安全接入網絡;通過路由協議OSPF明文認證實現安全路由;通過在路由器上配置標準訪問列表實現數據包過濾。

4.2? 仿真實驗網絡拓撲結構

依據OSPF路由協議明文認證和加密報文摘要認證原理，標準訪問控制列表充分考慮到多區域OSPF協議原理，設計完成網絡安全仿真實驗的拓撲結構，如圖8所示。

按照圖8所示網絡拓撲結構，配置地址信息如表1所示。

4.3? 實驗結果與分析

以吞吐量和傳輸延遲為基本指標，進行主動防御網絡安全性評估系統的評估精準度驗證。

4.3.1? 吞吐量對評估精準度影響結果分析

在保證數據幀不丟失的前提下，使設備保持最大傳輸速率，不斷改變數據幀長度，實現接收器幀速快速獲取，但由于吞吐量需進行在線測試，因此，在進行實驗分析過程中不能出現中斷現象。將傳統系統與基于Packet Tracer軟件系統的評估精準度進行對比分析，結果如圖9所示。

由圖9可知：隨著吞吐量不斷增加，兩種系統評估精準度逐漸降低，當吞吐量為150 bit時，傳統系統和基于Packet Tracer軟件系統的評估精準度都達到最低，依次為90%和22%。由此可知，在不同吞吐量下，基于Packet Tracer軟件系統評估精準度比傳統系統評估精準度要高。

4.3.2? 傳輸延遲對評估精準度影響結果分析

通過Intel Core i7處理器對信號發送與接收時間和介質傳輸時間進行測試，兩種系統受到傳輸延遲影響，評估結果精準度對比情況如表2所示。

通過對比兩種系統可知，無論是信號接收出現延遲，還是介質傳輸出現延遲，基于Packet Tracer軟件系統都比傳統系統評估精準度要高。

綜上可得出仿真實驗結論：基于Packet Tracer軟件的主動防御網絡安全性評估系統設計具有合理性。

5? 結? 語

在大數據環境下引入網絡熵權衡收益，可將主動防御網絡安全性問題轉化為動態分析問題，為管理者提供有效的決策方案，基于Packet Tracer軟件系統評估精準度較高，為網絡安全分析提供了重要決策。由于海量數據快速增長，定期引入安全實施方案還無法實施，因此，對于動態化安全評估還需研究。

參考文獻

[1] 王云，付蓉.Cisco Packet Tracer支持下的創客教育：以“網絡系統設計與集成”課程為例[J].電化教育研究，2018，39（5）：74?78.

[2] 陳智勇，孫嘉.大數據下移動網絡信息傳輸安全防御仿真[J].計算機仿真，2018，35（5）：207?210.

[3] WU Hao， WANG Xiaoping， LIN Qinying， et al. Evaluation method of active defense effectiveness in single aircraft air combat [J]. Firepower and command control， 2017， 22（12）： 22?26.

[4] 劉世文，馬多耀，雷程，等.基于網絡安全態勢感知的主動防御技術研究[J].計算機工程與科學，2018，40（6）：1054?1061.

[5] 王偉，曾俊杰，李光松.動態異構冗余系統的安全性分析[J].計算機工程，2018，44（10）：42?45.

[6] 劉江，張紅旗，楊英杰，等.一種面向C/S模式的地址跳變主動網絡防御方法[J].電子與信息學報，2017，39（4）：1007?1011.

[7] 楊茹，王立中.復雜網絡安全態勢實時預測方法仿真[J].計算機仿真，2018，35（11）：426?430.

[8] 向征，譚田天，蔡桂林，等.通信網絡動目標防御技術研究[J].高技術通訊，2017，27（8）：690?698.

[9] 孔亞洲，張連成，王振興.基于滑動時間窗口的IPv6地址跳變主動防御模型[J].計算機應用，2018，38（7）：1936?1940.

[10] 吳昊，王小平，林秦穎，等.單機空戰中的主動防御效能評估方法[J].火力與指揮控制，2017，42（12）：22?26.

[11] 李治國.基于SVR的網絡安全評價模型的建立與仿真[J].電子設計工程，2018，26（13）：75?79.

[12] 張麗敏.基于云計算技術的網絡安全攻防實驗平臺設計與研究[J].電子設計工程，2018，26（17）：62?65.