彭東城 林佳聰 屈曉靜 李君

摘要：隨著防火墻技術的不斷發(fā)展，云計算、大數(shù)據(jù)、社交網(wǎng)絡、BYOD相繼出現(xiàn)，新一代防火墻面臨更多挑戰(zhàn)，需要不斷增大監(jiān)控力度、提升管理復雜度、迎接未知威脅及性能的挑戰(zhàn)。為了提高防火墻攔截效能的評估能力，該文提出了一種基于云特征提取和深度神經(jīng)網(wǎng)絡學習的防火墻攔截能力評估優(yōu)化方法。使用KDD‘99訓練集攻擊防火墻，測試防火墻的攔截能力[1]。云特征提取和本地攔截信息配合深度神經(jīng)網(wǎng)絡建模威脅文件，對防火墻進行未知威脅攔截測試，并利用入侵攔截信息動態(tài)評估防火墻的未知威脅攔截情況。實驗表明，該模型能有效地評估防火墻攔截的有效性，提高對未知威脅的攔截檢測能力。

關鍵詞：攔截;深度神經(jīng)網(wǎng)絡;防火墻;網(wǎng)絡安全

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）05-0040-03

隨著計算機的信息交流、網(wǎng)絡數(shù)據(jù)交流平臺的不斷發(fā)展，國內(nèi)外的網(wǎng)絡安全事件層出不窮，近年來網(wǎng)絡安全信息泄露事件不勝枚舉，企業(yè)及用戶成為網(wǎng)絡安全中的受害者，遭受不法分子的網(wǎng)絡攻擊和數(shù)據(jù)盜取。在這個不斷發(fā)展的網(wǎng)絡環(huán)境中，網(wǎng)絡攻擊犯罪組織正不斷進行升級，開始“敏捷化”“公司化”“品牌化”并且不斷開發(fā)出新型網(wǎng)絡攻擊方式。因此，如何使網(wǎng)絡防火墻在保護用戶的同時不斷升級來滿足這個信息高速發(fā)展的時代，已成為網(wǎng)絡防火墻的安全問題和發(fā)展趨勢。多種神經(jīng)網(wǎng)絡的發(fā)展不斷完善網(wǎng)絡防火墻的數(shù)據(jù)處理方面，使現(xiàn)如今的計算機對網(wǎng)絡數(shù)據(jù)的識別更加人性化。為了對網(wǎng)絡防火墻安全程度及病毒攔截效率的評估測試，本文了提出一種基于深度神經(jīng)學習的特征提取和云端未知威脅特征建模的攔截能力評估系統(tǒng)。通過對防火墻攔截評估系統(tǒng)模型的優(yōu)化設計，進一步對防火墻截取和檢測能力進行了優(yōu)化，防火墻的性能和行為是由一個有限的排列模型仿真組成，從攔截信息中提取數(shù)據(jù)特征，并由防火墻交給深度神經(jīng)網(wǎng)絡進行學習，結合入侵檢測系統(tǒng)測量防火墻的攔截效率。 最后，根據(jù)云端最新的威脅特征對威脅文件進行建模，并進一步測試防火墻的新威脅攔截效能。經(jīng)實驗測試分析，得到本項目的方法有效性。

1 網(wǎng)絡防火墻解析模型及攔截原理

1.1 網(wǎng)絡防火墻攔截模型

網(wǎng)絡防火墻的分析模型通過調(diào)度任務執(zhí)行程序和任務管理來最大化CPU負載，降低CPU負載率，使系統(tǒng)可以無故障運行。網(wǎng)絡防火墻內(nèi)核、防火墻系統(tǒng)程序、外殼和應用程序是防火墻系統(tǒng)通常具有的四個部分[1]。設置防火墻過濾規(guī)則，引導離線病毒威脅包的添加，模擬防火墻面對網(wǎng)絡攻擊。 防火墻的攔截模型圖如圖1所示。

1.2 攔截效能檢測及攔截原理

防火墻是一種硬件建設和軟件編程相結合的設備，通過內(nèi)部網(wǎng)絡和外部網(wǎng)絡接口之間的防護屏障保護內(nèi)部網(wǎng)絡攔截非法用戶入侵。傳統(tǒng)防火墻主要分為四部分：業(yè)務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關[4]。防火墻攔截是指所有的網(wǎng)絡信息交換和數(shù)據(jù)通過防火墻，按照防火墻預先設置的訪問規(guī)則進行，實現(xiàn)對有威脅的信息攔截從而保證內(nèi)部網(wǎng)環(huán)境的安全[5]。包過濾型防火墻原理圖如圖2所示。

2 防火墻效能檢測模型優(yōu)化

2.1 深度神經(jīng)網(wǎng)絡模型

神經(jīng)網(wǎng)絡是基于感知器的擴展。深度神經(jīng)網(wǎng)絡是一種具有許多隱含層的神經(jīng)網(wǎng)絡。由于DNN是由幾個不同層連接的神經(jīng)網(wǎng)絡，深度神經(jīng)網(wǎng)絡DNN也可以被稱為多層神經(jīng)網(wǎng)絡和多層感知器（MLP） [2]。

通過按位置劃分深度神經(jīng)網(wǎng)絡的層次，內(nèi)部神經(jīng)網(wǎng)絡可以大致分為輸入層、隱藏層和輸出層[2]。第一層是輸入層，最后一層是輸出層，第一層和最后一層之間的層數(shù)都是隱藏層。如圖3所示。

各層與各層之間是相互連接的，也就是說第i層的任意一個神經(jīng)元與第i+1的任意第一神經(jīng)元相連。它的局部的線性關系為加上一個激活函數(shù)σ（z）[3]。

2.2 入侵檢測系統(tǒng)

防火墻攔截效率的衡量是系統(tǒng)是否有病毒破壞的最直觀表現(xiàn)，防火墻通常不能及時提供入侵檢測，當發(fā)現(xiàn)系統(tǒng)被入侵時往往伴隨著系統(tǒng)威脅。因此，入侵檢測系統(tǒng)的出現(xiàn)被用來實時監(jiān)控入侵行為，并對入侵行為采取相應的保護措施。通過收集和分析被保護系統(tǒng)中的信息，對入侵信息的行為進行分類，檢測出不符合信息傳輸安全標準的內(nèi)部攻擊、外部入侵和錯誤操作行為，并在攻擊前發(fā)現(xiàn)問題，從而做出相應的措施。

2.3 數(shù)據(jù)預處理

KDD‘99的數(shù)據(jù)中有數(shù)字還有字符串，標簽也是字符串，且數(shù)字范圍較大，不利于下面的訓練。所以在訓練之前，需要對數(shù)據(jù)進行預處理。首先，將字符串轉換為離散的數(shù)字，再將數(shù)據(jù)進行歸一化到[0，1]。Y是屬性值，min是屬性最小值，max是屬性最大值，公式如下：

2.4 深度神經(jīng)網(wǎng)絡訓練

2.5 DNN特征提取的未知威脅建模測試

在以往防火墻性能評估的基礎上，我們進行了進一步的性能評估和檢測，利用深度神經(jīng)網(wǎng)絡（DNN）檢測網(wǎng)絡防火墻上的惡意攻擊，對離線攔截的惡意信息進行處理，提取惡意文件的靜態(tài)特征、反匯編命令序列、ICON特征和脫殼相關特征，然后通過機器深度學習實現(xiàn)惡意文件的建模，進而動態(tài)攔截和檢測防火墻。同時，它還通過云收集的惡意文件樣本進行威脅建模，并生成惡意文件用于動態(tài)防火墻檢測，從而對防火墻攔截未知威脅效能進行評估。

2.6 防火墻模型效能評估流程

攔截評估系統(tǒng)威脅數(shù)據(jù)有云端未知威脅及人為導入的KDD‘99數(shù)據(jù)庫兩個部分，其中云端未知威脅是把從網(wǎng)絡上定期更新的新出現(xiàn)的網(wǎng)絡威脅添加到新威脅數(shù)據(jù)庫并且通過深度神經(jīng)網(wǎng)絡對云端威脅進行特征提取并且對其進行威脅建模擴充新威脅庫;人為導入的KDD‘99數(shù)據(jù)庫與新威脅數(shù)據(jù)庫首先通過需要檢測評估的防火墻，規(guī)定防火墻攔截規(guī)律及攔截經(jīng)驗對防火墻攔截與未攔截數(shù)據(jù)進行攔截評估。其次通過對未攔截的危害信息及行為進行深度神經(jīng)網(wǎng)絡的特征提取，分析其危害行為和未被攔截原因，用于更新原先防火墻的固定規(guī)矩及經(jīng)驗，實現(xiàn)對防火墻的動態(tài)評估及其對評估防火墻的攔截規(guī)則的滯后性檢測。

3 實驗

3.1 環(huán)境配置

KDD‘99數(shù)據(jù)集作為本實驗防火墻效能測試數(shù)據(jù)，這個數(shù)據(jù)集是通過對美國空軍局域網(wǎng)的模擬環(huán)境構建的網(wǎng)絡流量測試集，可以將其分成標識的和未標識的兩種測試數(shù)據(jù)。同時以ASA防火墻模型進行仿真測試，具體使用USG2000。其中asa842-initrd、ASA842防火墻鏡像為標準。

測試數(shù)據(jù)和訓練數(shù)據(jù)有著不同的概率分布，測試數(shù)據(jù)包含了一些通過深度神經(jīng)特征提取未知威脅建模生成且未出現(xiàn)在訓練數(shù)據(jù)中的攻擊類型，更能體現(xiàn)深度神經(jīng)網(wǎng)絡的學習能力，這使得防火墻攔截效能檢測更具有現(xiàn)實性。KDD‘99的10%數(shù)據(jù)集的各種攻擊類型數(shù)據(jù)的分布表如表1所示。

3.2 實驗結果

通過10%的KDD‘99訓練集進行測試，結果如下，通過本文方法提出的模型，攔截率得到較好的提升，并與傳統(tǒng)方法進行對比，如圖7所示。

4 結束語

深度神經(jīng)網(wǎng)絡方法的運用使得防火墻的學習分析能力可以更接近人腦的分析思維過程。基于深度神經(jīng)網(wǎng)絡的學習能力和容錯能力，防火墻會收集數(shù)據(jù)并與人工導入的數(shù)據(jù)組合成數(shù)據(jù)集。不同于人為的固定規(guī)則和固定經(jīng)驗，深度神經(jīng)網(wǎng)絡通過不斷的學習和訓練，分析神經(jīng)網(wǎng)絡中各點之間的連接，獲取數(shù)據(jù)集中的數(shù)據(jù)進行分析，得到問題的最優(yōu)解，從而防火墻能夠在信息快速發(fā)展的時代具有一定的自我學習適應能力。該防火墻評估系統(tǒng)與深度神經(jīng)網(wǎng)絡相結合，通過客觀測試進行主觀能效判斷，從一定程度上讓測試防火墻能效時產(chǎn)生的人為判斷大大減小，保證了評估防火墻的客觀及科學性，防火墻系統(tǒng)評估能力也能緊跟信息時代的發(fā)展，減少防火墻效能檢測的滯后型，這種結合神經(jīng)網(wǎng)絡的效能檢測方式符合新時代防火墻攔截效能檢測的新思路。

參考文獻：

[1] 張創(chuàng)基.基于神經(jīng)網(wǎng)絡學習的網(wǎng)絡防火墻攔截效能評估[J].信息技術，2019，43（7）：97-100.

[2] 詹小雨.面向語音增強的深度神經(jīng)網(wǎng)絡結構與參數(shù)優(yōu)化研究[D].北京：北京郵電大學，2019.

[3] 戴世鼎.機器學習視角下基于駕駛行為矩陣的出險預測研究[D].長沙：湖南大學，2019.

[4] 王敏慧，樊艷芬.淺析防火墻技術[J].福建電腦，2012，28（11）：82-83.

[5] 路瑩.防火墻與入侵檢測系統(tǒng)聯(lián)動的研究[J].中華醫(yī)學圖書情報雜志，2009，18（1）：56-58.

[6] 姚東鈮.防火墻發(fā)展的新趨勢[J].中國高新技術企業(yè)，2010（13）：36-37.

[7] 曹曉斌.基于深度學習的SQL注入檢測研究[D].南寧：廣西大學，2020.

[8] 陳洪剛.基于防火墻數(shù)據(jù)的風險評估系統(tǒng)的設計與實現(xiàn)[D].成都：電子科技大學，2013.

[9] 高妮，賀毅岳，高嶺.海量數(shù)據(jù)環(huán)境下用于入侵檢測的深度學習方法[J].計算機應用研究，2018，35（4）：1197-1200.

[10] 文偉軍，梁宇.基于BP神經(jīng)網(wǎng)絡的防火墻系統(tǒng)綜合性能評估方法研究[J].計算技術與自動化，2005，24（4）：26-28.

[11] 陸倩.基于仿生算法的網(wǎng)絡入侵檢測系統(tǒng)研究[D].桂林：廣西師范大學，2019.

[12] 陳虹，萬廣雪，肖振久.基于優(yōu)化數(shù)據(jù)處理的深度信念網(wǎng)絡模型的入侵檢測方法[J].計算機應用，2017，37（6）：1636-1643，1656.

[13] 楊雅輝，黃海珍，沈晴霓，等.基于增量式GHSOM神經(jīng)網(wǎng)絡模型的入侵檢測研究[J].計算機學報，2014，37（5）：1216-1224.

【通聯(lián)編輯：代影】

收稿日期：2021-08-31

基金項目：大學生創(chuàng)新創(chuàng)業(yè)訓練計劃項目，項目名稱：基于神經(jīng)網(wǎng)絡學習網(wǎng)絡防火墻攔截效能評估模型（項目編號：S201913656019）

作者簡介：彭東城（1999—），男，廣東揭陽人，本科在讀，主要研究方向為計算機運用、計算機網(wǎng)絡;林佳聰（1996—），男，廣東梅州人，學士，主要研究方向為計算機應用、圖像處理;屈曉靜（2000—），女，廣東汕尾人，本科在讀，主要研究方向為計算機應用;李君 （1999—），女，廣東揭陽人，本科在讀，主要研究方向為計算機應用、網(wǎng)絡安全。