1. 引言
按照国家互联网信息中心所公布的统计数据信息可以得出,仅国内的网民群体已超出7.5亿人,而国内网站个数大致为506万,在六个月的时间周期内稳定在4.8%的增长速率。伴随着互联网的爆发式扩张,WEB应用也早已覆盖至全球的所有范围。
考虑到互联网的重要特征以及当前发展阶段互联网的广泛覆盖面,安全性问题逐渐成为当前人们亟待解决的关键问题。不管是中国还是国外,无论是当前还是未来,网络安全始终是无法避免的话题。
应用防火墙为了可以针对高层面的WEB攻击进行防护,首先应当对流经该系统的所有信息集合与数据源做出深入解析。所以说,即便应用防火墙能够显著提升应用层面的安全保障,但该方法本身的过滤和筛选效率远低于传统过滤方式。基于此,搭建出一种应用防火墙评定模型来优化或完善应用防火墙是必要且有价值的。
2. 基于排队论的评估模型
2.1 评估模型提出
排队论通常适用于网络系统分析过程中,该方法是较为普遍的建模分析手段。而应用防火墙从定义与原理上可以划分成网络系统的范畴内,可以依托排队论来完成建模研究。
本节是引入Erlang排队模型作为应用防火墙的性能评定基础,从层次划分上而言,可将其详细界定成两个层级。当信息包或者数据集合导入系统模型以后,首先是借助于网络层以及传输层之间的交互准则实现解析,其次是按照DNS或者是HTTP完成组别分析。图1所示是具体的模型架构示意图。
图1 评估模型架构图示
上述模型架构中的各项参量表征的含义阐述为:λ代表的是运行阶段数据包传输到应用防火墙的速度参数;在图中的第一阶段内,将KL定义成此环境下的缓冲区域,NL是该条件下的服务窗个数,rL表征为此阶段条件下的规则数量值;在模型中的第二阶段内,其中覆盖了DNS、FTP以及HTTP不同类型。
实际的系统构成包括有多个单缓冲单元多并发Erlang融合产生,基于此,全局系统的解析计算能够凭借单一功能单元相互叠加构成。内部所有服务窗的分析时长满足Erlang分布条件。图2所示的是单一子单元的结构示意图。
图2 子功能单元结构图示
2.2 实验验证
为了进一步评定此模型的正确性,针对应用防火墙的评定模型执行离散事件模拟测试。将参数λ设定成随机量。同样要求服务窗服务分析时长满足Erlang分布条件。将总资源数量设置成12,借助于枚举法,罗列筛选全部组合结果。
下图3展示的是本次测试得到的误差分布图像。理论设定结果同仿真分析数值之间的误差均值是0.018,也就是1.8%。其次,测试中的最优系统资源配比同理论解析值中的最优解基本一致,根据此次测试模拟能得知,此次所搭建的应用防火墙性能评估模型能够有效完成全部评定流程,对后续应用防火墙领域的研发与设计起到参照作用。
图3 测试误差分布图例
3. URL规则匹配算法
3.1 改进型布隆过滤器算法
针对网络数据包执行上层处理分析的过程中,一般都会以Host和URL作为关键检索段完成有效配置检定。然而,不管是传统布隆过滤器或者是计数器布隆过滤器算法,处于哈希存储极值m以及函数数量k对等的条件环境中,相对应地检测错误发生概率是一致的。基于此,本节创建了一种以校验位作为基础的优化算法。
改进型的算法是添加了一组异或运算的校验流程,进而显著削减检测错误概率。即在原始计数器单元c位之后,添加v数位定义成校验数位,用数学表达式可以表征成:
此改进算法具体的优势体现在错误率的降低层面,同传统的校验方法相比较,在分析前k个哈希函数的过程中,其对应的解析方式是一致的,所有内部子集合一一映射或对应在相关地址段,添加的末端哈希函数hv(x)则是将关联性元素对应至校验位,具体的结构可参见图4所示。
图4 优化布隆过滤器结构示意图
3.2 实验验证
此次测试的操作系统选定为window10,编译环境设置成Golang语言,版本号是1.7。模拟环节选定三种类型的哈希函数,即SDBM以及JS、RS哈希函数。
测试中主要是对算法编辑功能,即增添操作、删除操作进行比较。图5所示的是传统的布隆过滤器同本节提出的改进算法在分析时长上的对比结果,从图中的计算结果可以看出,二者相比对在计算性能上呈现出较小的差异,进一步证实了改进算法适用于实际应用场景内,以降低错误率的产生。
图5 编辑操作计算耗时对比图
4. 结论
伴随着现阶段互联网的快速普及,以及互联网用户的爆发式增长, 信息技术同当前的社会生活也联结得更为紧密。当前发展趋势下,WEB攻击方式也在逐步演化,且从数量上看表现出显著增加的态势。应用防火墙属于保障可信内网安全性的基础手段,若应用防火墙的安全性能处于较低水平,则会引起内外网的数据交互阻断。基于此,怎样有效评定并完善应用防火墙的性能十分关键,本次研究针对URL规则匹配方式做了相应完善,同时对应用防火墙的性能评定做了简要建模分析,最后借助于实验来对文中所提方法的有效性做了评估,验证了改进型布隆过滤器算法与模型评定方法的正确性。
参考文献
[1] 中国互联网络信息中心.第 39 次《中国互联网络发展状况统计报告》[EB/OL]. http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201701/t20170122_66437.htm.
[2] FULP E W. Parallel Firewall Designs for High-Speed Networks [J]. Proceedings-IEEE INFOCOM, 2006:1-4P.
[3] CONSORTIUM W A S. Web Application Firewall Evaluation Criteria, version 1.0 [M]. 2006:20-21P.
[4] Bradner S. Benchmarking terminology for network interconnection devices[R]. 1991.
[5] Bolla R, Bruschi R. RFC 2544 performance evaluation and internal measurements for a Linux based open router[C]. High Performance Switching and Routing, 2006 Workshop on. IEEE, 2006: 6P.
[6] 李仕鹏.基于排队论的汽车共享优化设计[D].杭州电子科技大学, 2013:1-5 页.
[7] 何选森.随机过程与排队论[M].湖南大学出版社, 2010:1-20 页.
[8] 陆传赉.排队论(第 2 版)[M].北京:北京邮电大学出版社,2009:1-2 页.