基于深度神經網絡學習的防火墻攔截效能評估

彭東城 林佳聰 屈曉靜 李君

摘要：隨著防火墻技術的不斷發展，云計算、大數據、社交網絡、BYOD相繼出現，新一代防火墻面臨更多挑戰，需要不斷增大監控力度、提升管理復雜度、迎接未知威脅及性能的挑戰。為了提高防火墻攔截效能的評估能力，該文提出了一種基于云特征提取和深度神經網絡學習的防火墻攔截能力評估優化方法。使用KDD‘99訓練集攻擊防火墻，測試防火墻的攔截能力[1]。云特征提取和本地攔截信息配合深度神經網絡建模威脅文件，對防火墻進行未知威脅攔截測試，并利用入侵攔截信息動態評估防火墻的未知威脅攔截情況。實驗表明，該模型能有效地評估防火墻攔截的有效性，提高對未知威脅的攔截檢測能力。

關鍵詞：攔截;深度神經網絡;防火墻;網絡安全

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）05-0040-03

隨著計算機的信息交流、網絡數據交流平臺的不斷發展，國內外的網絡安全事件層出不窮，近年來網絡安全信息泄露事件不勝枚舉，企業及用戶成為網絡安全中的受害者，遭受不法分子的網絡攻擊和數據盜取。在這個不斷發展的網絡環境中，網絡攻擊犯罪組織正不斷進行升級，開始“敏捷化”“公司化”“品牌化”并且不斷開發出新型網絡攻擊方式。因此，如何使網絡防火墻在保護用戶的同時不斷升級來滿足這個信息高速發展的時代，已成為網絡防火墻的安全問題和發展趨勢。多種神經網絡的發展不斷完善網絡防火墻的數據處理方面，使現如今的計算機對網絡數據的識別更加人性化。為了對網絡防火墻安全程度及病毒攔截效率的評估測試，本文了提出一種基于深度神經學習的特征提取和云端未知威脅特征建模的攔截能力評估系統。通過對防火墻攔截評估系統模型的優化設計，進一步對防火墻截取和檢測能力進行了優化，防火墻的性能和行為是由一個有限的排列模型仿真組成，從攔截信息中提取數據特征，并由防火墻交給深度神經網絡進行學習，結合入侵檢測系統測量防火墻的攔截效率。 最后，根據云端最新的威脅特征對威脅文件進行建模，并進一步測試防火墻的新威脅攔截效能。經實驗測試分析，得到本項目的方法有效性。

1 網絡防火墻解析模型及攔截原理

1.1 網絡防火墻攔截模型

網絡防火墻的分析模型通過調度任務執行程序和任務管理來最大化CPU負載，降低CPU負載率，使系統可以無故障運行。網絡防火墻內核、防火墻系統程序、外殼和應用程序是防火墻系統通常具有的四個部分[1]。設置防火墻過濾規則，引導離線病毒威脅包的添加，模擬防火墻面對網絡攻擊。 防火墻的攔截模型圖如圖1所示。

1.2 攔截效能檢測及攔截原理

防火墻是一種硬件建設和軟件編程相結合的設備，通過內部網絡和外部網絡接口之間的防護屏障保護內部網絡攔截非法用戶入侵。傳統防火墻主要分為四部分：業務訪問規則、驗證工具、包過濾和應用網關[4]。防火墻攔截是指所有的網絡信息交換和數據通過防火墻，按照防火墻預先設置的訪問規則進行，實現對有威脅的信息攔截從而保證內部網環境的安全[5]。包過濾型防火墻原理圖如圖2所示。

2 防火墻效能檢測模型優化

2.1 深度神經網絡模型

神經網絡是基于感知器的擴展。深度神經網絡是一種具有許多隱含層的神經網絡。由于DNN是由幾個不同層連接的神經網絡，深度神經網絡DNN也可以被稱為多層神經網絡和多層感知器（MLP） [2]。

通過按位置劃分深度神經網絡的層次，內部神經網絡可以大致分為輸入層、隱藏層和輸出層[2]。第一層是輸入層，最后一層是輸出層，第一層和最后一層之間的層數都是隱藏層。如圖3所示。

各層與各層之間是相互連接的，也就是說第i層的任意一個神經元與第i+1的任意第一神經元相連。它的局部的線性關系為加上一個激活函數σ（z）[3]。

2.2 入侵檢測系統

防火墻攔截效率的衡量是系統是否有病毒破壞的最直觀表現，防火墻通常不能及時提供入侵檢測，當發現系統被入侵時往往伴隨著系統威脅。因此，入侵檢測系統的出現被用來實時監控入侵行為，并對入侵行為采取相應的保護措施。通過收集和分析被保護系統中的信息，對入侵信息的行為進行分類，檢測出不符合信息傳輸安全標準的內部攻擊、外部入侵和錯誤操作行為，并在攻擊前發現問題，從而做出相應的措施。

2.3 數據預處理

KDD‘99的數據中有數字還有字符串，標簽也是字符串，且數字范圍較大，不利于下面的訓練。所以在訓練之前，需要對數據進行預處理。首先，將字符串轉換為離散的數字，再將數據進行歸一化到[0，1]。Y是屬性值，min是屬性最小值，max是屬性最大值，公式如下：

2.4 深度神經網絡訓練

2.5 DNN特征提取的未知威脅建模測試

在以往防火墻性能評估的基礎上，我們進行了進一步的性能評估和檢測，利用深度神經網絡（DNN）檢測網絡防火墻上的惡意攻擊，對離線攔截的惡意信息進行處理，提取惡意文件的靜態特征、反匯編命令序列、ICON特征和脫殼相關特征，然后通過機器深度學習實現惡意文件的建模，進而動態攔截和檢測防火墻。同時，它還通過云收集的惡意文件樣本進行威脅建模，并生成惡意文件用于動態防火墻檢測，從而對防火墻攔截未知威脅效能進行評估。

2.6 防火墻模型效能評估流程

攔截評估系統威脅數據有云端未知威脅及人為導入的KDD‘99數據庫兩個部分，其中云端未知威脅是把從網絡上定期更新的新出現的網絡威脅添加到新威脅數據庫并且通過深度神經網絡對云端威脅進行特征提取并且對其進行威脅建模擴充新威脅庫;人為導入的KDD‘99數據庫與新威脅數據庫首先通過需要檢測評估的防火墻，規定防火墻攔截規律及攔截經驗對防火墻攔截與未攔截數據進行攔截評估。其次通過對未攔截的危害信息及行為進行深度神經網絡的特征提取，分析其危害行為和未被攔截原因，用于更新原先防火墻的固定規矩及經驗，實現對防火墻的動態評估及其對評估防火墻的攔截規則的滯后性檢測。

3 實驗

3.1 環境配置

KDD‘99數據集作為本實驗防火墻效能測試數據，這個數據集是通過對美國空軍局域網的模擬環境構建的網絡流量測試集，可以將其分成標識的和未標識的兩種測試數據。同時以ASA防火墻模型進行仿真測試，具體使用USG2000。其中asa842-initrd、ASA842防火墻鏡像為標準。

測試數據和訓練數據有著不同的概率分布，測試數據包含了一些通過深度神經特征提取未知威脅建模生成且未出現在訓練數據中的攻擊類型，更能體現深度神經網絡的學習能力，這使得防火墻攔截效能檢測更具有現實性。KDD‘99的10%數據集的各種攻擊類型數據的分布表如表1所示。

3.2 實驗結果

通過10%的KDD‘99訓練集進行測試，結果如下，通過本文方法提出的模型，攔截率得到較好的提升，并與傳統方法進行對比，如圖7所示。

4 結束語

深度神經網絡方法的運用使得防火墻的學習分析能力可以更接近人腦的分析思維過程。基于深度神經網絡的學習能力和容錯能力，防火墻會收集數據并與人工導入的數據組合成數據集。不同于人為的固定規則和固定經驗，深度神經網絡通過不斷的學習和訓練，分析神經網絡中各點之間的連接，獲取數據集中的數據進行分析，得到問題的最優解，從而防火墻能夠在信息快速發展的時代具有一定的自我學習適應能力。該防火墻評估系統與深度神經網絡相結合，通過客觀測試進行主觀能效判斷，從一定程度上讓測試防火墻能效時產生的人為判斷大大減小，保證了評估防火墻的客觀及科學性，防火墻系統評估能力也能緊跟信息時代的發展，減少防火墻效能檢測的滯后型，這種結合神經網絡的效能檢測方式符合新時代防火墻攔截效能檢測的新思路。

參考文獻：

[1] 張創基.基于神經網絡學習的網絡防火墻攔截效能評估[J].信息技術，2019，43（7）：97-100.

[2] 詹小雨.面向語音增強的深度神經網絡結構與參數優化研究[D].北京：北京郵電大學，2019.

[3] 戴世鼎.機器學習視角下基于駕駛行為矩陣的出險預測研究[D].長沙：湖南大學，2019.

[4] 王敏慧，樊艷芬.淺析防火墻技術[J].福建電腦，2012，28（11）：82-83.

[5] 路瑩.防火墻與入侵檢測系統聯動的研究[J].中華醫學圖書情報雜志，2009，18（1）：56-58.

[6] 姚東鈮.防火墻發展的新趨勢[J].中國高新技術企業，2010（13）：36-37.

[7] 曹曉斌.基于深度學習的SQL注入檢測研究[D].南寧：廣西大學，2020.

[8] 陳洪剛.基于防火墻數據的風險評估系統的設計與實現[D].成都：電子科技大學，2013.

[9] 高妮，賀毅岳，高嶺.海量數據環境下用于入侵檢測的深度學習方法[J].計算機應用研究，2018，35（4）：1197-1200.

[10] 文偉軍，梁宇.基于BP神經網絡的防火墻系統綜合性能評估方法研究[J].計算技術與自動化，2005，24（4）：26-28.

[11] 陸倩.基于仿生算法的網絡入侵檢測系統研究[D].桂林：廣西師范大學，2019.

[12] 陳虹，萬廣雪，肖振久.基于優化數據處理的深度信念網絡模型的入侵檢測方法[J].計算機應用，2017，37（6）：1636-1643，1656.

[13] 楊雅輝，黃海珍，沈晴霓，等.基于增量式GHSOM神經網絡模型的入侵檢測研究[J].計算機學報，2014，37（5）：1216-1224.

【通聯編輯：代影】

收稿日期：2021-08-31

基金項目：大學生創新創業訓練計劃項目，項目名稱：基于神經網絡學習網絡防火墻攔截效能評估模型（項目編號：S201913656019）

作者簡介：彭東城（1999—），男，廣東揭陽人，本科在讀，主要研究方向為計算機運用、計算機網絡;林佳聰（1996—），男，廣東梅州人，學士，主要研究方向為計算機應用、圖像處理;屈曉靜（2000—），女，廣東汕尾人，本科在讀，主要研究方向為計算機應用;李君 （1999—），女，廣東揭陽人，本科在讀，主要研究方向為計算機應用、網絡安全。