彭東城 林佳聰 屈曉靜 李君

摘要：隨著防火墻技術(shù)的不斷發(fā)展，云計算、大數(shù)據(jù)、社交網(wǎng)絡(luò)、BYOD相繼出現(xiàn)，新一代防火墻面臨更多挑戰(zhàn)，需要不斷增大監(jiān)控力度、提升管理復(fù)雜度、迎接未知威脅及性能的挑戰(zhàn)。為了提高防火墻攔截效能的評估能力，該文提出了一種基于云特征提取和深度神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)的防火墻攔截能力評估優(yōu)化方法。使用KDD‘99訓(xùn)練集攻擊防火墻，測試防火墻的攔截能力[1]。云特征提取和本地攔截信息配合深度神經(jīng)網(wǎng)絡(luò)建模威脅文件，對防火墻進(jìn)行未知威脅攔截測試，并利用入侵?jǐn)r截信息動態(tài)評估防火墻的未知威脅攔截情況。實驗表明，該模型能有效地評估防火墻攔截的有效性，提高對未知威脅的攔截檢測能力。

關(guān)鍵詞：攔截;深度神經(jīng)網(wǎng)絡(luò);防火墻;網(wǎng)絡(luò)安全

中圖分類號：TP393 ? ? ? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2022）05-0040-03

隨著計算機(jī)的信息交流、網(wǎng)絡(luò)數(shù)據(jù)交流平臺的不斷發(fā)展，國內(nèi)外的網(wǎng)絡(luò)安全事件層出不窮，近年來網(wǎng)絡(luò)安全信息泄露事件不勝枚舉，企業(yè)及用戶成為網(wǎng)絡(luò)安全中的受害者，遭受不法分子的網(wǎng)絡(luò)攻擊和數(shù)據(jù)盜取。在這個不斷發(fā)展的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)攻擊犯罪組織正不斷進(jìn)行升級，開始“敏捷化”“公司化”“品牌化”并且不斷開發(fā)出新型網(wǎng)絡(luò)攻擊方式。因此，如何使網(wǎng)絡(luò)防火墻在保護(hù)用戶的同時不斷升級來滿足這個信息高速發(fā)展的時代，已成為網(wǎng)絡(luò)防火墻的安全問題和發(fā)展趨勢。多種神經(jīng)網(wǎng)絡(luò)的發(fā)展不斷完善網(wǎng)絡(luò)防火墻的數(shù)據(jù)處理方面，使現(xiàn)如今的計算機(jī)對網(wǎng)絡(luò)數(shù)據(jù)的識別更加人性化。為了對網(wǎng)絡(luò)防火墻安全程度及病毒攔截效率的評估測試，本文了提出一種基于深度神經(jīng)學(xué)習(xí)的特征提取和云端未知威脅特征建模的攔截能力評估系統(tǒng)。通過對防火墻攔截評估系統(tǒng)模型的優(yōu)化設(shè)計，進(jìn)一步對防火墻截取和檢測能力進(jìn)行了優(yōu)化，防火墻的性能和行為是由一個有限的排列模型仿真組成，從攔截信息中提取數(shù)據(jù)特征，并由防火墻交給深度神經(jīng)網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)，結(jié)合入侵檢測系統(tǒng)測量防火墻的攔截效率。 最后，根據(jù)云端最新的威脅特征對威脅文件進(jìn)行建模，并進(jìn)一步測試防火墻的新威脅攔截效能。經(jīng)實驗測試分析，得到本項目的方法有效性。

1 網(wǎng)絡(luò)防火墻解析模型及攔截原理

1.1 網(wǎng)絡(luò)防火墻攔截模型

網(wǎng)絡(luò)防火墻的分析模型通過調(diào)度任務(wù)執(zhí)行程序和任務(wù)管理來最大化CPU負(fù)載，降低CPU負(fù)載率，使系統(tǒng)可以無故障運行。網(wǎng)絡(luò)防火墻內(nèi)核、防火墻系統(tǒng)程序、外殼和應(yīng)用程序是防火墻系統(tǒng)通常具有的四個部分[1]。設(shè)置防火墻過濾規(guī)則，引導(dǎo)離線病毒威脅包的添加，模擬防火墻面對網(wǎng)絡(luò)攻擊。 防火墻的攔截模型圖如圖1所示。

1.2 攔截效能檢測及攔截原理

防火墻是一種硬件建設(shè)和軟件編程相結(jié)合的設(shè)備，通過內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)接口之間的防護(hù)屏障保護(hù)內(nèi)部網(wǎng)絡(luò)攔截非法用戶入侵。傳統(tǒng)防火墻主要分為四部分：業(yè)務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)[4]。防火墻攔截是指所有的網(wǎng)絡(luò)信息交換和數(shù)據(jù)通過防火墻，按照防火墻預(yù)先設(shè)置的訪問規(guī)則進(jìn)行，實現(xiàn)對有威脅的信息攔截從而保證內(nèi)部網(wǎng)環(huán)境的安全[5]。包過濾型防火墻原理圖如圖2所示。

2 防火墻效能檢測模型優(yōu)化

2.1 深度神經(jīng)網(wǎng)絡(luò)模型

神經(jīng)網(wǎng)絡(luò)是基于感知器的擴(kuò)展。深度神經(jīng)網(wǎng)絡(luò)是一種具有許多隱含層的神經(jīng)網(wǎng)絡(luò)。由于DNN是由幾個不同層連接的神經(jīng)網(wǎng)絡(luò)，深度神經(jīng)網(wǎng)絡(luò)DNN也可以被稱為多層神經(jīng)網(wǎng)絡(luò)和多層感知器（MLP） [2]。

通過按位置劃分深度神經(jīng)網(wǎng)絡(luò)的層次，內(nèi)部神經(jīng)網(wǎng)絡(luò)可以大致分為輸入層、隱藏層和輸出層[2]。第一層是輸入層，最后一層是輸出層，第一層和最后一層之間的層數(shù)都是隱藏層。如圖3所示。

各層與各層之間是相互連接的，也就是說第i層的任意一個神經(jīng)元與第i+1的任意第一神經(jīng)元相連。它的局部的線性關(guān)系為加上一個激活函數(shù)σ（z）[3]。

2.2 入侵檢測系統(tǒng)

防火墻攔截效率的衡量是系統(tǒng)是否有病毒破壞的最直觀表現(xiàn)，防火墻通常不能及時提供入侵檢測，當(dāng)發(fā)現(xiàn)系統(tǒng)被入侵時往往伴隨著系統(tǒng)威脅。因此，入侵檢測系統(tǒng)的出現(xiàn)被用來實時監(jiān)控入侵行為，并對入侵行為采取相應(yīng)的保護(hù)措施。通過收集和分析被保護(hù)系統(tǒng)中的信息，對入侵信息的行為進(jìn)行分類，檢測出不符合信息傳輸安全標(biāo)準(zhǔn)的內(nèi)部攻擊、外部入侵和錯誤操作行為，并在攻擊前發(fā)現(xiàn)問題，從而做出相應(yīng)的措施。

2.3 數(shù)據(jù)預(yù)處理

KDD‘99的數(shù)據(jù)中有數(shù)字還有字符串，標(biāo)簽也是字符串，且數(shù)字范圍較大，不利于下面的訓(xùn)練。所以在訓(xùn)練之前，需要對數(shù)據(jù)進(jìn)行預(yù)處理。首先，將字符串轉(zhuǎn)換為離散的數(shù)字，再將數(shù)據(jù)進(jìn)行歸一化到[0，1]。Y是屬性值，min是屬性最小值，max是屬性最大值，公式如下：

2.4 深度神經(jīng)網(wǎng)絡(luò)訓(xùn)練

2.5 DNN特征提取的未知威脅建模測試

在以往防火墻性能評估的基礎(chǔ)上，我們進(jìn)行了進(jìn)一步的性能評估和檢測，利用深度神經(jīng)網(wǎng)絡(luò)（DNN）檢測網(wǎng)絡(luò)防火墻上的惡意攻擊，對離線攔截的惡意信息進(jìn)行處理，提取惡意文件的靜態(tài)特征、反匯編命令序列、ICON特征和脫殼相關(guān)特征，然后通過機(jī)器深度學(xué)習(xí)實現(xiàn)惡意文件的建模，進(jìn)而動態(tài)攔截和檢測防火墻。同時，它還通過云收集的惡意文件樣本進(jìn)行威脅建模，并生成惡意文件用于動態(tài)防火墻檢測，從而對防火墻攔截未知威脅效能進(jìn)行評估。

2.6 防火墻模型效能評估流程

攔截評估系統(tǒng)威脅數(shù)據(jù)有云端未知威脅及人為導(dǎo)入的KDD‘99數(shù)據(jù)庫兩個部分，其中云端未知威脅是把從網(wǎng)絡(luò)上定期更新的新出現(xiàn)的網(wǎng)絡(luò)威脅添加到新威脅數(shù)據(jù)庫并且通過深度神經(jīng)網(wǎng)絡(luò)對云端威脅進(jìn)行特征提取并且對其進(jìn)行威脅建模擴(kuò)充新威脅庫;人為導(dǎo)入的KDD‘99數(shù)據(jù)庫與新威脅數(shù)據(jù)庫首先通過需要檢測評估的防火墻，規(guī)定防火墻攔截規(guī)律及攔截經(jīng)驗對防火墻攔截與未攔截數(shù)據(jù)進(jìn)行攔截評估。其次通過對未攔截的危害信息及行為進(jìn)行深度神經(jīng)網(wǎng)絡(luò)的特征提取，分析其危害行為和未被攔截原因，用于更新原先防火墻的固定規(guī)矩及經(jīng)驗，實現(xiàn)對防火墻的動態(tài)評估及其對評估防火墻的攔截規(guī)則的滯后性檢測。

3 實驗

3.1 環(huán)境配置

KDD‘99數(shù)據(jù)集作為本實驗防火墻效能測試數(shù)據(jù)，這個數(shù)據(jù)集是通過對美國空軍局域網(wǎng)的模擬環(huán)境構(gòu)建的網(wǎng)絡(luò)流量測試集，可以將其分成標(biāo)識的和未標(biāo)識的兩種測試數(shù)據(jù)。同時以ASA防火墻模型進(jìn)行仿真測試，具體使用USG2000。其中asa842-initrd、ASA842防火墻鏡像為標(biāo)準(zhǔn)。

測試數(shù)據(jù)和訓(xùn)練數(shù)據(jù)有著不同的概率分布，測試數(shù)據(jù)包含了一些通過深度神經(jīng)特征提取未知威脅建模生成且未出現(xiàn)在訓(xùn)練數(shù)據(jù)中的攻擊類型，更能體現(xiàn)深度神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)能力，這使得防火墻攔截效能檢測更具有現(xiàn)實性。KDD‘99的10%數(shù)據(jù)集的各種攻擊類型數(shù)據(jù)的分布表如表1所示。

3.2 實驗結(jié)果

通過10%的KDD‘99訓(xùn)練集進(jìn)行測試，結(jié)果如下，通過本文方法提出的模型，攔截率得到較好的提升，并與傳統(tǒng)方法進(jìn)行對比，如圖7所示。

4 結(jié)束語

深度神經(jīng)網(wǎng)絡(luò)方法的運用使得防火墻的學(xué)習(xí)分析能力可以更接近人腦的分析思維過程?；谏疃壬窠?jīng)網(wǎng)絡(luò)的學(xué)習(xí)能力和容錯能力，防火墻會收集數(shù)據(jù)并與人工導(dǎo)入的數(shù)據(jù)組合成數(shù)據(jù)集。不同于人為的固定規(guī)則和固定經(jīng)驗，深度神經(jīng)網(wǎng)絡(luò)通過不斷的學(xué)習(xí)和訓(xùn)練，分析神經(jīng)網(wǎng)絡(luò)中各點之間的連接，獲取數(shù)據(jù)集中的數(shù)據(jù)進(jìn)行分析，得到問題的最優(yōu)解，從而防火墻能夠在信息快速發(fā)展的時代具有一定的自我學(xué)習(xí)適應(yīng)能力。該防火墻評估系統(tǒng)與深度神經(jīng)網(wǎng)絡(luò)相結(jié)合，通過客觀測試進(jìn)行主觀能效判斷，從一定程度上讓測試防火墻能效時產(chǎn)生的人為判斷大大減小，保證了評估防火墻的客觀及科學(xué)性，防火墻系統(tǒng)評估能力也能緊跟信息時代的發(fā)展，減少防火墻效能檢測的滯后型，這種結(jié)合神經(jīng)網(wǎng)絡(luò)的效能檢測方式符合新時代防火墻攔截效能檢測的新思路。

參考文獻(xiàn)：

[1] 張創(chuàng)基.基于神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)的網(wǎng)絡(luò)防火墻攔截效能評估[J].信息技術(shù)，2019，43（7）：97-100.

[2] 詹小雨.面向語音增強的深度神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)與參數(shù)優(yōu)化研究[D].北京：北京郵電大學(xué)，2019.

[3] 戴世鼎.機(jī)器學(xué)習(xí)視角下基于駕駛行為矩陣的出險預(yù)測研究[D].長沙：湖南大學(xué)，2019.

[4] 王敏慧，樊艷芬.淺析防火墻技術(shù)[J].福建電腦，2012，28（11）：82-83.

[5] 路瑩.防火墻與入侵檢測系統(tǒng)聯(lián)動的研究[J].中華醫(yī)學(xué)圖書情報雜志，2009，18（1）：56-58.

[6] 姚東鈮.防火墻發(fā)展的新趨勢[J].中國高新技術(shù)企業(yè)，2010（13）：36-37.

[7] 曹曉斌.基于深度學(xué)習(xí)的SQL注入檢測研究[D].南寧：廣西大學(xué)，2020.

[8] 陳洪剛.基于防火墻數(shù)據(jù)的風(fēng)險評估系統(tǒng)的設(shè)計與實現(xiàn)[D].成都：電子科技大學(xué)，2013.

[9] 高妮，賀毅岳，高嶺.海量數(shù)據(jù)環(huán)境下用于入侵檢測的深度學(xué)習(xí)方法[J].計算機(jī)應(yīng)用研究，2018，35（4）：1197-1200.

[10] 文偉軍，梁宇.基于BP神經(jīng)網(wǎng)絡(luò)的防火墻系統(tǒng)綜合性能評估方法研究[J].計算技術(shù)與自動化，2005，24（4）：26-28.

[11] 陸倩.基于仿生算法的網(wǎng)絡(luò)入侵檢測系統(tǒng)研究[D].桂林：廣西師范大學(xué)，2019.

[12] 陳虹，萬廣雪，肖振久.基于優(yōu)化數(shù)據(jù)處理的深度信念網(wǎng)絡(luò)模型的入侵檢測方法[J].計算機(jī)應(yīng)用，2017，37（6）：1636-1643，1656.

[13] 楊雅輝，黃海珍，沈晴霓，等.基于增量式GHSOM神經(jīng)網(wǎng)絡(luò)模型的入侵檢測研究[J].計算機(jī)學(xué)報，2014，37（5）：1216-1224.

【通聯(lián)編輯：代影】

收稿日期：2021-08-31

基金項目：大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計劃項目，項目名稱：基于神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)網(wǎng)絡(luò)防火墻攔截效能評估模型（項目編號：S201913656019）

作者簡介：彭東城（1999—），男，廣東揭陽人，本科在讀，主要研究方向為計算機(jī)運用、計算機(jī)網(wǎng)絡(luò);林佳聰（1996—），男，廣東梅州人，學(xué)士，主要研究方向為計算機(jī)應(yīng)用、圖像處理;屈曉靜（2000—），女，廣東汕尾人，本科在讀，主要研究方向為計算機(jī)應(yīng)用;李君 （1999—），女，廣東揭陽人，本科在讀，主要研究方向為計算機(jī)應(yīng)用、網(wǎng)絡(luò)安全。