基于Packet Tracer軟件的主動防御網(wǎng)絡安全性評估系統(tǒng)設計

鄭毅平 劉雍

摘? 要： 針對傳統(tǒng)系統(tǒng)受到吞吐量和傳輸延遲影響而導致評估結果精準度低的問題，提出基于Packet Tracer軟件的主動防御網(wǎng)絡安全性評估系統(tǒng)設計。在主動防御原理支持下，設計服務器端結構，采用ScanHome SH?800/400嵌入式掃描模組條形碼二維碼掃描設備作為掃描引擎，并在RISC芯片PA?RISC微處理器上安放評估裝置，一旦系統(tǒng)出現(xiàn)故障，就會發(fā)出預警信號，通過設置控制、數(shù)據(jù)、協(xié)同接口，能夠支持子系統(tǒng)之間信息交互，利用較高的脈寬調制器TL494：4引腳設計電源。采用自上而下的數(shù)據(jù)管理方式設計系統(tǒng)軟件流程，以此構建數(shù)學模型，引入網(wǎng)絡熵權衡收益，實現(xiàn)系統(tǒng)安全性評估。通過實驗對比結果可知，該系統(tǒng)最高評估精準度可達到98%，可保障用戶信息安全。

關鍵詞： 主動防御; 網(wǎng)絡安全評估; Packet Tracer; 掃描引擎; 軟件流程設計; 數(shù)學模型

中圖分類號： TN915.08?34; TP393? ? ? ? ? ? ? ? ? 文獻標識碼： A? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）17?0087?05

Abstract： In view of the problem that the traditional systems are affected by the throughput and transmission delay， which results in low accuracy of evaluation results， an active defense network security evaluation system based on the Packet Tracer software is proposed. The server?side structure is designed with the support of the principle of active defense. The embedded scanning module barcode & two?dimensional code scanning device ScanHome SH?800/400 is used as the scanning engine. In addition， an evaluation device is set on the RISC chip′s PA?RISC microprocessor. Once the system breaks down， the early warning signal will be sent out. By setting up the control interface， data interface and cooperative interface， the information interaction between subsystems can be realized. The power supply is designed with the wide pulse width modulator TL494：4 pin. The top?down data management method is adopted to design the software flow of the system， so as to build the mathematical model. And then， the network entropy is introduced to weigh the benefits and realize the system security evaluation. The results of comparison experiments show that the highest evaluation accuracy of the system can reach 98%， which is capable to guarantee user information security.

Keywords： active defense; network security evaluation; Packet Tracer; scanning engine; software procedure design; mathematical model

0? 引? 言

計算機網(wǎng)絡安全問題隨著因特網(wǎng)普及，變得越來越重要，主動防御網(wǎng)絡無法對正常信息中攜帶的非正常信息進行識別，導致網(wǎng)絡使用不安全，用戶信息安全無法得到保障[1]。為了避免用戶在大數(shù)據(jù)環(huán)境下私密信息被泄露，需對主動防御網(wǎng)絡安全性進行評估[2]。

目前，我國已經(jīng)存在多種網(wǎng)絡安全性評估系統(tǒng)，甚至有些已經(jīng)投入到使用當中，但這些系統(tǒng)針對的都是網(wǎng)絡安全漏洞檢測，對于風險評估存在的干擾問題還沒有解決[3]。因此，需要建立一個全面的主動防御網(wǎng)絡安全性評估系統(tǒng)。

借助Packet Tracer軟件完成主動防御網(wǎng)絡安全性評估系統(tǒng)設計，通過終端安全接入與訪問控制列表網(wǎng)絡安全問題，分析整個系統(tǒng)的設計過程。

1? 主動防御原理

主動防御網(wǎng)絡功能可在大數(shù)據(jù)環(huán)境下安全運行，結合網(wǎng)絡監(jiān)測技術，能夠保障用戶在安全環(huán)境下安心使用[4]。主動防御系統(tǒng)是在保證用戶信息安全情況下實現(xiàn)的，在原有系統(tǒng)防御技術基礎上，使用Packet Tracer軟件，主動防御原理如圖1所示。

依據(jù)傳統(tǒng)主動防御技術，使用Packet Tracer軟件將監(jiān)測原理與預測原理相結合，形成主動防御原理。在系統(tǒng)中引入網(wǎng)絡熵權衡收益，能夠避免正常信息中攜帶的非正常信息的干擾，依據(jù)該原則設計網(wǎng)絡安全性評估系統(tǒng)結構[5]。

2? 系統(tǒng)結構設計

漏洞掃描技術、防火墻技術、入侵檢測技術是目前最為常見的網(wǎng)絡安全防御有效手段，其中漏洞掃描技術是主動檢查網(wǎng)絡安全、及時堵住漏洞的網(wǎng)絡抗攻擊能力技術，也是網(wǎng)絡安全保障措施中最重要的一個環(huán)節(jié)。

網(wǎng)絡安全性評估系統(tǒng)總體結構設計如圖2所示。

由客戶端掃描系統(tǒng)配置，并將配置文件發(fā)送到引擎組件之中，根據(jù)確定的掃描策略，采用主機和網(wǎng)絡掃描方式進行全面漏洞信息采集，從操作系統(tǒng)層檢測目標漏洞，并將掃描結果傳送到評估模塊之中。評估模塊對掃描的所有漏洞信息進行統(tǒng)計，根據(jù)設定綜合分析函數(shù)對系統(tǒng)安全性進行評估[6]。

2.1? 服務器端結構設計

服務器端結構設計如圖3所示，由客戶端、服務器端、掃描引擎、結果數(shù)據(jù)庫、漏洞數(shù)據(jù)庫、規(guī)則數(shù)據(jù)庫等幾個部分組成。

1） 掃描引擎

掃描引擎是殺毒軟件中最重要的部分，當操作殺毒軟件掃描一個磁盤驅動器時，需將整個磁盤驅動器下的檔案送進掃描引擎中進行掃描，該掃描只通過一個使用者接口，并無任何包裝的核心程序[7]。采用ScanHome SH?800/400嵌入式掃描模組條形碼二維碼掃描設備作為掃描引擎，其產品尺寸如圖4所示。

通過SH?800 RS串口接口實現(xiàn)各個掃描插件的相互聯(lián)系，執(zhí)行掃描程序，可將結果存入掃描結果庫之中。

2） 結果數(shù)據(jù)庫

在掃描過程中，一旦發(fā)現(xiàn)網(wǎng)絡存在漏洞，就需將漏洞相關信息存入結果數(shù)據(jù)庫之中。當掃描任務完成之后，需將服務器獲取的全部數(shù)據(jù)都傳送到客戶端，方便用戶評估[8]。

3） 漏洞數(shù)據(jù)庫

利用主機對外部環(huán)境進行掃描時，需將主機返回的信息與漏洞數(shù)據(jù)庫信息相互結合，以此為依據(jù)，判斷系統(tǒng)是否存在漏洞。

4） 規(guī)則數(shù)據(jù)庫

從漏洞數(shù)據(jù)庫中獲取相關數(shù)據(jù)，并配置重要規(guī)則，存儲到規(guī)則數(shù)據(jù)庫中[9]。

2.2? 評估裝置

評估裝置由評估終端、信息接收、外置GSM模塊和主機四部分組成，如圖5所示。

結合ScanHome SH?800/400型號掃描引擎，在RISC芯片PA?RISC微處理器上設計評估裝置，使其在正常工作時，消耗的功率達到最低[10]。一旦系統(tǒng)出現(xiàn)故障時，評估裝置就會立刻發(fā)出預警信號，提醒用戶主動防御，網(wǎng)絡安全性較差。

2.3? 接口設置

系統(tǒng)通過控制、數(shù)據(jù)、協(xié)同這三個類型的接口支持子系統(tǒng)之間信息交互，其中，控制和數(shù)據(jù)接口主要負責管理子系統(tǒng)與其他系統(tǒng)之間數(shù)據(jù)的傳輸，協(xié)同接口主要用于管理控制和安全態(tài)勢評估之間信息的交互[11]。

為了提高整個硬件設備的使用靈活性，需面向復雜多變的安全態(tài)勢評估標準設計支撐硬件平臺中各個子系統(tǒng)獨立的接口：具有獨立硬件承載接口，分別連接不同的運行設備;具有獨立運行接口，創(chuàng)建可執(zhí)行評估任務[12]。

將控制、數(shù)據(jù)、協(xié)同這三個接口設置為通用接口，根據(jù)這些接口可將子系統(tǒng)集成為一個綜合平臺，將評估方法融入其中，基于移動存儲設備進行文件傳輸，并依據(jù)XML文件進行系統(tǒng)間的交互傳輸。

2.4? 電路設計

開關電源的可靠性直接影響整個系統(tǒng)的可靠性，從開關電源中的各種電路保護著手，分析數(shù)控開關電源的啟動電路，為硬件設備提供保障[7]。開關電源電路負責為整個系統(tǒng)提供電源，當存在較多大功率用電設備情況下時，如果開關電源可靠性不高，那么說明保護性較差，使系統(tǒng)工作出現(xiàn)異常，容易造成設備損壞現(xiàn)象的發(fā)生。

針對上述問題，利用較高的脈寬調制器TL494：4引腳進行電源設計，如圖6所示。

圖6中，TL494引腳為死區(qū)控制，通過轉換功率管控制安全死區(qū)時間，也可通過控制驅動芯片啟動開關。在系統(tǒng)啟動瞬間，電容器未建立電壓，通過電容封鎖脈寬調制器的輸出脈沖。由于電容兩端電壓逐漸升高，引腳電壓逐漸降低，驅動脈沖寬度持續(xù)加寬。一旦輔助電源出現(xiàn)故障，那么三極管將導通，此時需切斷驅動脈沖，保證電源開關不會停止工作。

3? 系統(tǒng)軟件部分設計

系統(tǒng)軟件部分設計采用自上而下的數(shù)據(jù)管理方式，系統(tǒng)軟件部分設計流程如圖7所示。

系統(tǒng)根據(jù)評估要求創(chuàng)建測試評估項目，將資產識別任務分配給項目識別模塊;項目識別模塊根據(jù)目標信息錄入完整識別信息，并對每項分配的信息進行ID標識，生成相應列表后，轉交給控制模塊;根據(jù)項目列表填充測試評估任務，并將任務依次分發(fā)給子任務;項目識別、在線檢測、惡意代碼識別、安全分析等四個部分系統(tǒng)根據(jù)下達的任務完成相應測試，通過向控制系統(tǒng)提交測試結果完成軟件部分設計。

依據(jù)軟件部分設計流程，使用Packet Tracer軟件對主動防御網(wǎng)絡安全性進行評估。在Packet Tracer軟件中，提供交換機、路由器和網(wǎng)卡等網(wǎng)絡設備，其中，交換機負責提供選項卡，將交換機端口與終端相連接，并與網(wǎng)卡MAC地址綁定，實現(xiàn)終端設備安全接入到交換機之中，而路由器通過路由鑒別網(wǎng)絡是否安全，經(jīng)過配置相應密鑰，構建數(shù)學模型，引入網(wǎng)絡熵權衡收益，最終進行安全性評估。

3.1? 數(shù)學模型構建

設[Q=q1，q2]為一個集合，[q1]表示攻擊者，[q2]表示防御者;[Ek=Ek1，Ek2，…，Ekm]表示事件發(fā)生的空間;[E1i=e1i，h1i，π1i0<π1i<1，π1i=1]表示攻擊行為，[e1i]表示攻擊者惡意行為，[h1i]表示攻擊者攻擊的設備，根據(jù)設備種類將攻擊行為劃分為5個等級，[π1i]表示攻擊者惡意攻擊所發(fā)生的幾率。

在不同網(wǎng)絡防御狀態(tài)下，將防御與攻擊等級進行轉換，依據(jù)防御與攻擊行為之間的關系構建數(shù)學模型，如式（1）所示：

3.2? 引入網(wǎng)絡熵權衡收益

由于在模型構建過程中會受到外界環(huán)境干擾，導致網(wǎng)絡并不安全，造成安全性評估結果并不精準，因此，需引入網(wǎng)絡熵權衡收益。

網(wǎng)絡狀態(tài)熵差為：

充分考慮防御與攻擊行為的雙方利益，進行量化效果屏蔽，如果攻擊行為大于防御行為，那么說明攻擊者采用的方法已經(jīng)成功侵入了整個系統(tǒng)，在既定環(huán)境下，將防御者的收益情況作為評估指標。

3.3? 安全性評估

在進行安全性評估過程中，通過分析安全狀態(tài)下均衡處置方案，需先獲取網(wǎng)絡最佳安全狀態(tài)，對其狀態(tài)進行評估。設in為大數(shù)據(jù)下主動防御網(wǎng)絡中的指標信息，將初始化向量設置為：

結合上述公式，更新向量，計算不同評估階段的熵差，并得出均衡狀態(tài)下的概率，以此分析主動防御情況，完成對主動防御網(wǎng)絡安全性評估。

4? 安全仿真實驗設計

借助Packet Tracer軟件，從仿真實驗中對基于Packet Tracer軟件的主動防御網(wǎng)絡安全性評估系統(tǒng)設計進行驗證分析。

4.1? 仿真實驗目的

在Packet Tracer軟件上，通過配置終端安全接入，實現(xiàn)計算機網(wǎng)絡安全。通過交換機端口與終端地址綁定實現(xiàn)系統(tǒng)安全接入網(wǎng)絡;通過路由協(xié)議OSPF明文認證實現(xiàn)安全路由;通過在路由器上配置標準訪問列表實現(xiàn)數(shù)據(jù)包過濾。

4.2? 仿真實驗網(wǎng)絡拓撲結構

依據(jù)OSPF路由協(xié)議明文認證和加密報文摘要認證原理，標準訪問控制列表充分考慮到多區(qū)域OSPF協(xié)議原理，設計完成網(wǎng)絡安全仿真實驗的拓撲結構，如圖8所示。

按照圖8所示網(wǎng)絡拓撲結構，配置地址信息如表1所示。

4.3? 實驗結果與分析

以吞吐量和傳輸延遲為基本指標，進行主動防御網(wǎng)絡安全性評估系統(tǒng)的評估精準度驗證。

4.3.1? 吞吐量對評估精準度影響結果分析

在保證數(shù)據(jù)幀不丟失的前提下，使設備保持最大傳輸速率，不斷改變數(shù)據(jù)幀長度，實現(xiàn)接收器幀速快速獲取，但由于吞吐量需進行在線測試，因此，在進行實驗分析過程中不能出現(xiàn)中斷現(xiàn)象。將傳統(tǒng)系統(tǒng)與基于Packet Tracer軟件系統(tǒng)的評估精準度進行對比分析，結果如圖9所示。

由圖9可知：隨著吞吐量不斷增加，兩種系統(tǒng)評估精準度逐漸降低，當吞吐量為150 bit時，傳統(tǒng)系統(tǒng)和基于Packet Tracer軟件系統(tǒng)的評估精準度都達到最低，依次為90%和22%。由此可知，在不同吞吐量下，基于Packet Tracer軟件系統(tǒng)評估精準度比傳統(tǒng)系統(tǒng)評估精準度要高。

4.3.2? 傳輸延遲對評估精準度影響結果分析

通過Intel Core i7處理器對信號發(fā)送與接收時間和介質傳輸時間進行測試，兩種系統(tǒng)受到傳輸延遲影響，評估結果精準度對比情況如表2所示。

通過對比兩種系統(tǒng)可知，無論是信號接收出現(xiàn)延遲，還是介質傳輸出現(xiàn)延遲，基于Packet Tracer軟件系統(tǒng)都比傳統(tǒng)系統(tǒng)評估精準度要高。

綜上可得出仿真實驗結論：基于Packet Tracer軟件的主動防御網(wǎng)絡安全性評估系統(tǒng)設計具有合理性。

5? 結? 語

在大數(shù)據(jù)環(huán)境下引入網(wǎng)絡熵權衡收益，可將主動防御網(wǎng)絡安全性問題轉化為動態(tài)分析問題，為管理者提供有效的決策方案，基于Packet Tracer軟件系統(tǒng)評估精準度較高，為網(wǎng)絡安全分析提供了重要決策。由于海量數(shù)據(jù)快速增長，定期引入安全實施方案還無法實施，因此，對于動態(tài)化安全評估還需研究。

參考文獻

[1] 王云，付蓉.Cisco Packet Tracer支持下的創(chuàng)客教育：以“網(wǎng)絡系統(tǒng)設計與集成”課程為例[J].電化教育研究，2018，39（5）：74?78.

[2] 陳智勇，孫嘉.大數(shù)據(jù)下移動網(wǎng)絡信息傳輸安全防御仿真[J].計算機仿真，2018，35（5）：207?210.

[3] WU Hao， WANG Xiaoping， LIN Qinying， et al. Evaluation method of active defense effectiveness in single aircraft air combat [J]. Firepower and command control， 2017， 22（12）： 22?26.

[4] 劉世文，馬多耀，雷程，等.基于網(wǎng)絡安全態(tài)勢感知的主動防御技術研究[J].計算機工程與科學，2018，40（6）：1054?1061.

[5] 王偉，曾俊杰，李光松.動態(tài)異構冗余系統(tǒng)的安全性分析[J].計算機工程，2018，44（10）：42?45.

[6] 劉江，張紅旗，楊英杰，等.一種面向C/S模式的地址跳變主動網(wǎng)絡防御方法[J].電子與信息學報，2017，39（4）：1007?1011.

[7] 楊茹，王立中.復雜網(wǎng)絡安全態(tài)勢實時預測方法仿真[J].計算機仿真，2018，35（11）：426?430.

[8] 向征，譚田天，蔡桂林，等.通信網(wǎng)絡動目標防御技術研究[J].高技術通訊，2017，27（8）：690?698.

[9] 孔亞洲，張連成，王振興.基于滑動時間窗口的IPv6地址跳變主動防御模型[J].計算機應用，2018，38（7）：1936?1940.

[10] 吳昊，王小平，林秦穎，等.單機空戰(zhàn)中的主動防御效能評估方法[J].火力與指揮控制，2017，42（12）：22?26.

[11] 李治國.基于SVR的網(wǎng)絡安全評價模型的建立與仿真[J].電子設計工程，2018，26（13）：75?79.

[12] 張麗敏.基于云計算技術的網(wǎng)絡安全攻防實驗平臺設計與研究[J].電子設計工程，2018，26（17）：62?65.