基于大數(shù)據(jù)的網(wǎng)絡防火墻策略研究

王萬龍 孫尚

(中國人民解放軍66061 部隊,北京 100144)

0 引言

在網(wǎng)絡發(fā)達的現(xiàn)今,為了防范信息系統(tǒng)遭受入侵或攻擊,會使用各種網(wǎng)絡安全系統(tǒng),如防火墻以及入侵偵測系統(tǒng)建構防衛(wèi)系統(tǒng),然而以現(xiàn)今的技術及實際狀況,防衛(wèi)系統(tǒng)仍需要管理者緊密的配合才能正確的阻斷攻擊。然而,僅有防火墻并無法擁有保護的功能,還需搭配防火墻政策規(guī)則(Policy rule)的設置,將網(wǎng)絡劃分成不同的區(qū)域,而不同區(qū)域的網(wǎng)絡溝通,則以政策規(guī)則表(Policy rule table)為依據(jù),以達到管制網(wǎng)絡封包進出的目的[1-2]。防火墻系統(tǒng)雖能告知管理者相關的攻擊報警,但管理者仍必須手動更新規(guī)則來完成對防火墻的配置,這樣的操作往往存在不全面和不及時的問題。

本研究主要目的在于如何通過分析防火墻日志記錄來優(yōu)化防火墻政策規(guī)則表,近年來,雖然有不少研究嘗試從數(shù)量龐大的網(wǎng)絡日志中找出目前所需要的政策規(guī)則,運用關聯(lián)規(guī)則挖掘技術產生新的防火墻政策規(guī)則。然而,僅運用關聯(lián)規(guī)則挖掘技術將面臨兩個問題:(1)網(wǎng)絡封包的存取常會隨著時間而變動,倘若關聯(lián)規(guī)則未能隨著網(wǎng)絡封包存取的變化而適當調整,將無法有效阻擋攻擊。(2)運用關聯(lián)規(guī)則挖掘技術產生的新關聯(lián)規(guī)則可能與現(xiàn)有規(guī)則差異非常大,若這些規(guī)則都必須套用于正在運作的防火墻規(guī)則表上,將耗費更多的時間去核對與驗證規(guī)則是否有遺漏,這些反復調整規(guī)則或驗證的步驟,都將成為信息安全管理人員的另一種負擔。為了解決上述問題,本研究嘗試整合關聯(lián)規(guī)則挖掘及改變挖掘(Change mining)技術,提出Change-based association rule mining(CBARM)方法,從而動態(tài)的根據(jù)歷史記錄來完成防火墻規(guī)則的調整,這樣就可以更好的完成對網(wǎng)絡攻擊的防護。

1 基于數(shù)據(jù)挖掘的網(wǎng)絡入侵防御策略

本研究所提出CBARM方法流程如圖1所示,主要可以分為四個步驟,依序為:數(shù)據(jù)前處理、關聯(lián)規(guī)則挖掘、改變挖掘及防火墻政策規(guī)則評估。以下將詳細說明各個步驟的流程與任務。

1.1 數(shù)據(jù)前處理

本研究從防火墻日志記錄中獲取出所需分析的數(shù)據(jù)字段,分別是:日期(Date)、時間(Time)、通訊協(xié)議(Protocol)、來源地址(Source IP Address)、源通訊端口(Source Port)、目的地址(Destination IP Address)、目的通訊端口(Destination Port)及狀態(tài)(Status)等八項屬性數(shù)據(jù)。本研究將防火墻日志記錄文件存放于遠端F T P 服務器上,并以Comma-Separated Values(CSV)純文字格式文件儲存數(shù)據(jù)。除此之外,由于防火墻系統(tǒng)儲存的時間是以筆數(shù)來做儲存,所以無法將每日數(shù)據(jù)匯整成一個文件,所以借由數(shù)據(jù)前處理先將每份CSV文件匯整至數(shù)據(jù)庫存放,接著匯出一周的日志記錄由當周第一天(星期日)0時0分0秒開始至當周最后一天(星期六)23時59分59秒的文件(如圖2所示),并匯整每周的防火墻日志記錄,以利后續(xù)關聯(lián)規(guī)則挖掘的進行。因此,數(shù)據(jù)前處理步驟中,本研究先通過自動匯出的功能,將防火墻日志記錄儲存在文件服務器或數(shù)據(jù)庫上,再將原始數(shù)據(jù)整理成為關聯(lián)規(guī)則挖掘所需的數(shù)據(jù)格式[3]。

1.2 關聯(lián)規(guī)則與防火墻政策規(guī)則的整合評估

關聯(lián)規(guī)則與防火墻政策規(guī)則的整合評估流程如圖2所示。首選根據(jù)原來的規(guī)則表和關聯(lián)規(guī)則進行整合和比較,這樣就可以獲取到新的規(guī)則表,如果進來的網(wǎng)絡包符合這個規(guī)則就接受該包,否則就拒絕該包[4-5]。

圖1 CBARM 流程圖Fig.1 CBARM flow chart

圖2 防火墻政策規(guī)則整合流程圖Fig.2 Firewall policy rules integration flow chart

表1 各種類型規(guī)則的執(zhí)行動作Tab.1 Execution actions of various types of rules

本研究的防火墻政策調整動作原則如表1所示,此表描述了最近兩周通過關聯(lián)規(guī)則獲取的防火墻規(guī)則表與現(xiàn)有的防火墻規(guī)則表進行整合的相關調整動作。

本研究以范例說明防火墻政策規(guī)則整合流程。假設原始防火墻規(guī)則共有3項規(guī)則,如表2所示。經由關聯(lián)規(guī)則挖掘及改變挖掘所得到的規(guī)則共有2項規(guī)則,如表3所示。表3中的第一項規(guī)則{如果X=(Src_IP=1 40.10.20.3,Dst_IP=218.89.56.4,Dst_Port=139),則Y=(Status=Deny);支持度=0.1,信心度=90%}。假設有1000個封包,{支持度=0.1}代表100 0個封包中,有100個封包符合{X=(Src_IP=140.10.20.3,Dst_IP=218.89.56.4,Dst_Port=139)且Y=(Status=Deny)}等項目,其比例為0.1(100/1000);而{信心度=90%}代表有100個封包符合{X=(Src_IP=140.10.20.3,Dst_IP=218.89.56.4, Dst_Port=139)}的前提下,而且這100個封包中有90個封包也同時符合{Y=(Status=Deny)}的情況,其比例為90%(90/100)。運用于防火墻日志,其管理上的意涵為:支持度(support)越高代表所有封包數(shù)據(jù)集中同時符合{X}與{Y}的比例越高。而信心度(confidence)越高代表封包符合{X}的情形下,也同時出現(xiàn){Y}的比例越高,即{Y}經常伴隨著{X}出現(xiàn)。

表2 原始防火墻規(guī)則表Tab.2 Original firewall rules

表3 改變挖掘得到的規(guī)則Tab.3 Rules obtained by changing mining

表4 經調整后的防火墻規(guī)則表Tab.4 Adjusted firewall rules

經調整后的防火墻規(guī)表4 所示。表4 中的第一項規(guī)則{Src_IP=140.10.20.3,Dst_IP=218.89.56.4,Dst_Port=139→Status=Deny},其規(guī)則類型屬于拒絕、規(guī)則樣式屬于新興樣式、不存在原始防火墻規(guī)則表中,故防火墻政策調整動作為加入規(guī)則。而第二項規(guī)則類型{Src_IP=192.168.10.5,Dst_IP=140.89.1.4,Dst_Port=443→Status=Allow},其規(guī)則樣式屬于新興樣式、已存在原始防火墻規(guī)則表中,因為規(guī)則的支持度提高,故防火墻政策調整動作為依據(jù)支持度調整政策順序,并將該規(guī)則向前調整順序。由上述的范例得知:規(guī)則排列的順序應優(yōu)先考慮支持度,而支持度相同則再比較信心度。

2 總結

近年來,許多研究嘗試通過關聯(lián)規(guī)則技術從數(shù)量龐大的網(wǎng)絡日志中找出目前所需要的政策規(guī)則,然而,過去的研究只考慮單一時間區(qū)間的關聯(lián)規(guī)則,卻忽略了在不同時間區(qū)間關聯(lián)規(guī)則的變化趨勢將可能顯著影響防火墻效率,若將單一時間區(qū)間的關聯(lián)規(guī)則全部套用于正在運作的防火墻規(guī)則表上,將耗費更多的時間去核對與驗證規(guī)則是否有遺漏,同時亦會增加比對次數(shù),造成防火墻效率低落。本研究根據(jù)C B A R M 方法,從而動態(tài)的根據(jù)歷史記錄來完成防火墻規(guī)則的調整,從而可以動態(tài)調整防火墻規(guī)則,實現(xiàn)更好的網(wǎng)絡安全防護。