i LỜI CAM ĐOAN Tôi xin cam đoan, luận văn cơng trình nghiên cứu khoa học thực thụ cá nhân, thực hướng dẫn khoa học TS Hoàng Xuân Dậu Các số liệu, kết nghiên cứu kết luận trình bày luận văn trung thực chưa công bố hình thức Tơi xin chịu trách nhiệm cơng trình nghiên cứu HỌC VIÊN Phạm Tiến Huy ii LỜI CẢM ƠN Lời đầu tiên, tơi xin chân thành cảm ơn TS Hồng Xn Dậu – Học viện Cơng nghệ Bưu Viễn thơng, người trực tiếp hướng dẫn thực luận văn Với hướng dẫn, cung cấp tài liệu, động viên Thầy giúp tơi vượt qua nhiều khó khăn chun mơn suốt q trình thực luận văn Tôi xin chân thành cảm ơn, Ban Giám đốc, Ban chủ nhiệm Khoa Sau Đại học Khoa Công nghệ Thông tin, Thầy, Cô giảng dạy quản lý đào tạo suốt năm theo học Học viện Cơng nghệ Bưu Viễn thông Tôi xin chân thành cảm ơn, Hội đồng chấm đề cương góp ý cho đề cương luận văn Cuối cùng, tơi xin cảm ơn, gia đình, đồng nghiệp động viên, tạo điều kiện cho suốt năm học tập nghiên cứu Xin chân thành cảm ơn iii MỤC LỤC LỜI CAM ĐOAN .i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC HÌNH VẼ vi DANH MỤC BẢNG BIỂU vii DANH MỤC TỪ VIẾT TẮT viii MỞ ĐẦU CHƯƠNG 1:KHÁI QUÁT VỀ PHÂN TÍCH SÂU NỘI DUNG GĨI TIN VÀ ỨNG DỤNG 1.1 Khái qt phân tích sâu nội dung gói tin 1.1.1 Giới thiệu phân tích sâu nội dung gói tin 1.1.2 Các thách thức với phân tích nội dung gói tin 1.2 Ứng dụng phân tích sâu nội dung gói tin 1.2.1 Ngăn chặn virus phần mềm độc hại 1.2.2 Phát ngăn chặn công, đột nhập 1.2.3 Lọc URL 1.2.4 Quản lý băng thông 1.2.5 Quảng cáo 1.2.6 Lọc nội dung quyền 10 1.2.7 Theo dõi thông tin 10 1.3 Mơ hình tổng qt phân tích sâu nội dung gói tin 11 1.4 Kết chương 12 CHƯƠNG 2:CÁC KỸ THUẬT PHÂN TÍCH SÂU NỘI DUNG GÓI TIN 13 2.1 Khái quát kỹ thuật DPI 13 iv 2.2 Các hệ thống DPI dựa phần mềm 14 2.2.1 Snort 14 2.2.2 Bro 17 2.3 DPI dựa phần cứng 18 2.3.1 Các giải thuật đối sánh 18 2.3.2 Bộ lọc Bloom 29 2.3.3 Content Addressable Memory - CAM 30 2.3.4 Sử dụng Vi xử lý đa lõi 31 2.4 DPI dựa FSA 32 2.4.1 Deterministic Finite Automata (DFA) 32 2.4.2 Nondeterministic Finite Automata (NFA) 33 2.4.3 Hybrid Finite Automaton (HFA) 34 2.5 Đánh giá kỹ thuật phân tích sâu nội dung gói tin 36 2.6 Kết chương 37 CHƯƠNG 3:ỨNG DỤNG PHÂN TÍCH SÂU NỘI DUNG GĨI TIN TRONG LỌC CÁC URL ĐỘC HẠI 38 3.1 Giới thiệu 38 3.1.1 Các tập liệu thử nghiệm 38 3.1.2 Công cụ thử nghiệm 39 3.1.3 Nội dung thử nghiệm 39 3.1.4 Yêu cầu phần cứng phần mềm 40 3.2 Thử nghiệm lọc URL dựa biểu thức quy 40 3.2.1 Mơ hình thử nghiệm 40 3.2.2 Tạo luật 41 3.2.3 Kết 42 3.3 Thử nghiệm lọc URL dựa DFA 44 3.3.1 Mơ hình thử nghiệm 45 v 3.3.2 Tạo mẫu 45 3.3.3 Kết 46 3.4 Nhận xét 47 3.5 Kết chương 48 KẾT LUẬN 49 Kết đạt 49 Hướng phát triển 49 TÀI LIỆU THAM KHẢO 50 vi DANH MỤC HÌNH VẼ Hình 1.1 Các thành phần gói tin IP Hình 1.2 Mơ hình tổng quát hệ thống DPI tiêu biểu 11 Hình 2.1 Phân loại kỹ thuật DPI 14 Hình 2.2 Các phần Snort 15 Hình 2.3 Các thành phần Bro 18 Hình 2.4 Ví dụ lọc Bloom 30 Hình 2.5 Ví dụ TCAM 31 Hình 2.6 Ví dụ DFA đơn giản 32 Hình 2.7 Ví dụ NFA 33 Hình 2.8 NFA hybrid-FA cho biểu thức quy abcd bce 35 Hình 3.1 Mơ hình thử nghiệm với biểu thức quy 41 Hình 3.2 Luật bổ xung L7-filter vào iptable 42 Hình 3.3 Phân bố malware phát tập liệu Chicago 43 Hình 3.4 Phân bố malware phát tập liệu Sanjose 44 Hình 3.4 Mơ hình thử nghiệm lọc dựa DFA - Aho-Corasick 45 Hình 3.5 Kết trả từ nDPI 46 vii DANH MỤC BẢNG BIỂU Bảng Phát url độc hại l7-filter liệu Chicago 43 Bảng Phát url độc hại l7-filter liệu Sanjose 43 Bảng Bảng kết tìm mẫu nDPI tập liệu Chicago 47 Bảng Bảng kết tìm mẫu nDPI tập liệu Sanjose 47 viii DANH MỤC TỪ VIẾT TẮT Từ viết tắt Tiếng Anh Tiếng Việt DPI Deep Packet Inspection Phân tích sâu nội dung gói tin URL Uniform Resource Locator Định vị Tài nguyên thống TCP Transmission Control Protocol Giao thức điều khiển truyền UDP User Datagram Protocol Giao thức gói liệu ngườidùng IDS Intrusion Detection System Hệ thống phát đột nhập NIDS Network Intrusion Detection System Hệ thống phát đột nhập mạng ISP Internet Service Provider Nhà cung cấp dịch vụ Internet Content Addressable Memory Bộ nhớ đánh địa theo nội dung TCAM Ternary Content Addressable Memory Bộ nhớ đánh địa theo nội dung biến FSM Finite State Machine Máy trạng thái hữu hạn DFA Deterministic Finite Automata Máy trạng thái hữu hạn xác định NFA Nondeterministic Finite Automata Máy trạng thái hữu hạn không xác định Hybrid Finite Automaton Máy hữu hạn lai DFA NFA CAM HFA MỞ ĐẦU Lý chọn đề tài Cùng với phát triển mạnh mẽ công nghệ thông tin hạ tầng mạng viễn thông, mạng Internet phát triển nhanh chóng trở thành phần thiếu đời sống xã hội đại Tuy nhiên, kèm với dịch vụ ứng dụng hữu ích Internet, ứng dụng độc hại, trang web độc hại,virus, sâu, thư rác,… phát triển lan truyền nhanh chóng Hơn nữa, phần mềm công cụ hỗ trợ công, đột nhập trái phép vào hệ thống máy tín mạng trở nên phổ biến Việc phát ngăn chặn ứng dụng độc hại hành vi công, đột nhập trái phép, đảm bảo an toàn cho người dùng Internet nhu cầu cấp thiết Một hướng giải có hiệu phân tích sâu nội dung gói tin truyền mạng nhằm phát sớm nội dung độc hại hành vi công, đột nhập trái phép Ưu điểm phương pháp khả đảm bảo an toàn cho nhiều ứng dụng, nhiều máy trạm máy chủ mạng Đề tài "Nghiên cứu kỹ thuật phân tích sâu nội dung gói tin ứng dụng" nghiên cứu kỹ thuật phântích sâu nội dung gói tintruyền mạng nhằm phát sớm dấu hiệu công, đột nhập, URL độc hại, loại virus phần mềm độc hại Tổng quan vấn đề nghiên cứu Ngoài giải pháp truyền thống đảm bảo an toàn cho thông tin, hệ thống mạng mật mã, kiểm sốt truy nhập, tường lửa, phântích sâu nội dung gói tin (Deep Packet Inspection) hướng nghiên cứu nhận nhiều quan tâm năm gần đây, đặc biệt ứng dụng lọc URL độc hại, hệ thống phát ngăn chặn lây lan virus phần mềm độc hại, hệ thống phát ngăn chặn công, đột nhập mạng Ưu điểm giải pháp dựa phântích sâu nội dung gói tin khả nhận dạng phát sớm dấu hiệu công, đột nhập, mẫu virus phần mềm độc hại, nội dung độc hại khác Một số kỹ thuật xử lý nội dung gói tin nghiên cứu triển khai ứng dụng phântích sâu nội dung gói tin, bao gồm kỹ thuật đối sánh nhận dạng mẫu, kỹ thuật huấn luyện xây dựng mơ hình nhận dạng dựa thống kê học máy Luận văn sâu nghiên cứu phân tích kỹ thuật kể ứng dụng hệ thống lọc URL độc hại Mục đích nghiên cứu • Nghiên cứu kỹ thuật phân tích sâu nội dung gói tin nhằm phát sớm dấu hiệu công, đột nhập hacker phần mềm độc hại(virus, botnet…) • Xây dựng cài đặt thử nghiệm mơ hình phân tích sâu nội dung gói tinnhận dạng lọc URL độc hại Đối tượng phạm vi nghiên cứu • Đối tượng nghiên cứu: Các gói tin truyền mạng dạng công mạngthông qua URL độc hại phần mềm độc hại • Phạm vi nghiên cứu: Giới hạn hệ thống mạng dựa TCP/IP Phương pháp nghiên cứu Phương pháp nghiên cứu nghiên cứu lý thuyết kết hợp với thực nghiệm phân tích, đánh giá kết 37 tốn đối sánh mẫu tỏ ưu với tính xác cao chặn lọc yêu cầu cụ thể Mỗi giải pháp phần cứng thường kèm vài thuật toán xử lý nhằm bổ sung cho Thông thường, hệ thống lớn giải pháp phần cứng mềm sử dụng song song liên tục cập nhật yếu tố bảo vệ 2.6 Kết chương Chương trình bày chi tiết kỹ thuật DPI ứng dụng thực tế, bao gồm nhóm kỹ thuật dựa tảng phần mềm nhóm dựa tảng phần cứng Chương cung cấp đánh giá sơ kỹ thuật DPI Chương Luận văn triển khai thử nghiệm số kỹ thuật DPI dựa phần mềm vào công việc vụ thể để lọc URL độc hại 38 CHƯƠNG 3:ỨNG DỤNG PHÂN TÍCH SÂU NỘI DUNG GÓI TIN TRONG LỌC CÁC URL ĐỘC HẠI 3.1 Giới thiệu Lọc URL nói chung lọc URL độc hại nói riêng ứng dụng quan trọng DPI.Một URL độc hại hiểu liên kết đến tài nguyên mà người dùng hay hệ thống khơng mong muốn bao gồm: -Nội dung khơng phù hợp ( văn hóa, sách) -Truy cập đến phần mềm độc hại (virus, sâu …) -Truy cập đến tài nguyên không cấp phép -Thực hành vi công giả mạo(lấy cắp thông tin, thao tác ý muốn…) 3.1.1 Các tập liệu thử nghiệm 3.1.1.1 Tập liệu Chicago Tập liệu thử nghiệm Chicago thu thập backbone Internet Datacenter công ty Equinix thành phố Chicago kết nối với thành phốSeattle [22] Tập liệu có kích thước khoảng 9,7GB tải từ địa www.caida.org/data/overview/ Dữ liệu có định dạng pcap chuyên sử dụng cho q trình kiểm thử cơng cụ giám sát mạngvà thu thập cách bắt gói tin theo thời gian thực 3.1.1.2 Tập liệu Sanjose Tập liệu thử nghiệm Sanjose thu thập backbone Internet Datacenter công ty Equinix thành phố San Josekết nối với thành phố Los Angeles [22] Tập liệu có kích thước khoảng 11,7GB vàcó định dạng pcap tải từ địa www.caida.org/data/overview/ 39 3.1.2 Công cụ thử nghiệm 3.1.2.1 L7-filter L7(Layer7)–filterlà gói phần mềm Linux hãng Netfilter, cung cấp khả phân lớp gói tin Internet phân tích chúng tầng ứng dụng Mục đích cơng cụ phát chương trình peer-to-peer, chương trình phân loại thông qua cổng sử dụng[24] L7-filter sử dụng biểu thức quy để xác định giao thức mạng, tính chất đơn giản dễ tích hợp nên cơng cụ nhiều nơi chọn để tích hợp bổ sung cho gateway dùng linux 3.1.2.2 nDPI nDPI thư viện phân tích sâu nội dung gói tin xây dựng OpenDPI nTop trì phát triển Thư viện dùng thuật toán Aho-Corasick – thuật toán đối sánh chuỗi đa mẫu dựa DFA để phân lớp ứng dụng theo nội dung phân tích Theo nhiều đánh giá, nDPI có khả lọc gói tin đường truyền mạng với tốc độ đến 10Gbit/s [23] 3.1.3 Nội dung thử nghiệm Luận văn sử dụng công cụ L7-filter nDPI thử nghiệm lọc URL độc hại hai tập liệu Chicago Sanjose mô tả mục 3.1.1 Các mẫu URL độc hại trích xuất từ tập luật MALWARE-BACKDOOR Snort Tập luật MALWARE-BACKDOOR chủ yếu phát URL malware backdoor nhằm ngăn cản chúng thực gửi liệu chống hành vi phá hoại chúng Chọn mẫu thuộc MALWARE-BACKDOOR có tập liệu chuyển sang định dạng công cụ thử nghiệm, biểu thức quy cho L7-filter mẫu URL cho nDPI Lần lượt đưa tập liệu mẫu URL độc hại (hoặc biểu chức quy mo tả URL độc hại) vào công cụ L7-filter nDPI để thực lọc thu thập kết cho phân tích, đánh giá 40 3.1.4 Yêu cầu phần cứng phần mềm Máy tính dùng thử nghiệm CPU: pentium E 5700 RAM: 3GB HDD: 320G NIC: 100Mbps Hệ điều hành: Linux 3.2 Thử nghiệm lọc URL dựa biểu thức quy Biểu thức quy (tiếng Anh: regular expression, viết tắt regexp, regex hay regxp) chuỗi miêu tả chuỗi khác, theo quy tắc cú pháp định Biểu thức quy thường dùng trình biên tập văn tiện ích tìm kiếm xử lý văn dựa mẫu quy định 3.2.1 Mơ hình thử nghiệm Mơ hình thử nghiệm dùng cơng cụ hỗ trợ phân tích gói tin L7-filter dựa biểu thức quy mơ tả Hình 3.1 Các bước thực hiện: - Lấy liệu từ tập từ liệu mô tả mục 3.1.1 theo định dạng file pcap - Tạo luật : Do l7-filter cơng cụ tích hợp nên hỗ trợ số lượng hạn chế luật nên ta cần trích xuất số luật phần mềm IDS Snort, tảng khác cần qua trình viết lại luật phù hợp với l7-filter Tích hợp luật vào luật iptables - Dùng TCPRelay để mô lại liệu vào l7-filter - Phân tích log /var/log/messages 41 Hình 3.1 Mơ hình thử nghiệm với biểu thứcc quy 3.2.2 Tạo luật Cấu trúc tạo luật ật củ l7-filter đơn giản dựa biểu ểu thức th quy có dạng sau: userspace pattern= Ví dụ : Yahoo ^(ymsg|ypns|yhoo).?.?.?.?.?.?.?[lwt].* ^(ymsg|ypns|yhoo).?.?.?.?.?.?.?[lwt].*\xc0\x80 Đây luật phát hiệnn gói tin ccủa ứng dụng Yahoo chat Ví dụ Luật Snort alert tcp $HOME_NET any BACKDOOR -> > $EXTERNAL_NET 443 (msg:"MALWARE(msg:"MALWARE Backdoor.Perl.Shellbot outbound communication flow:to_server,established; content:"NICK Rizee|7C|RYN|7C|05|7C|";) attempt"; 42 Luật l7-filter Shellbot NICK Rizee|7C|RYN|7C|05|7C| Mỗi luật chứa file Shellbot.pat đưa vào hoạt động luật phần mềm iptables IPTables -A FORWARD ‒p tcp ‒-dport 443 ‒m layer7 l7proto Shellbot -j LOG -log-prefix "Shellbot Hình 3.2 Luật bổ xung L7-filter vào iptable 3.2.3 Kết Dùng TCPRELAY đưa gói tin pcap vào card mạng đưa vào tốc độ tối đa -Thử lần với tập liệu Chicago #tcpreplay topspeed intf1=eth0 equinix-chicago.dirA.20140320- 130100.UTC.anon.pcap Sau phân tích log trong/var/log/messages ta lấy 77 dòng chứa nội dung từ l7-filter Phân loại ta bảng kết phát sau: 43 Bảng Phát url độc hại l7-filter liệu Chicago Malware/ backdoor Phát Shellbot AlienSpy Backdoor.Blohi Starysu 16 15 11 34 PHP IRCBot -Thử nghiệm lần với tập liệuSanjose #tcpreplay topspeed intf1=eth0 equinix-sanjose.dirA.20140320- 130100.UTC.anon.pcap Sau phân tích log /var/log/messages ta lấy 91 dòng chứa nội dung từ l7-filter Phân loại ta bảng kết phát sau: Bảng Phát url độc hại l7-filter liệu Sanjose Malware/ backdoor Phát Shellbot AlienSpy Backdoor.Blohi Starysu PHP IRCBot 23 32 27 16 Shellbot AlienSpy 34 Backdoor.Blohi Starysu 15 PHP IRCBot 11 Hình 3.3Phân bố malware phát tập liệu Chicago 44 23 27 Shellbot AlienSpy Backdoor.Blohi Starysu PHP IRCBot 32 Hình 3.4Phân bố malware phát tập liệu Sanjose 3.3 Thử nghiệm lọc URL dựa DFA Các hệ thống ứng dụng DFA sử dụng phổ biến để tìm kiếm chuỗi văn bản, ta khảo sát thuật toán tốt ứng dụng xác định vị trí mẫu văn thuật tốn tìm kiếm chuỗi kết hợp Aho-Corasick Thuật tốn xây dựng Alfred V Aho and Margaret J Corasick Đây thuật toán hiệu dùng để xác định số lần xuất số từ khóa hữu hạn chuỗi văn Thuật tốn xây dựng máy trạng thái hữu hạn dựa vào từ khóa sau sử dụng máy để xử lý chuỗi văn Thời gian xây dựng máy so khớp mẫu phụ thuộc vào tổng độ dài từ khóa Phương pháp tiếp cận kết hợp ý tưởng thuật toán Knuth-Morris-Pratt với máy trạng thái hữu hạn [21] 45 3.3.1 Mô hình thử nghiệ nghiệm Hình 3.4 Mơ hình th thử nghiệm lọc dựa DFA - Aho-Corasick Corasick Mơ hình thử nghiệm lọc ọc URL độc hại dựa DFA sử dụng ng cơng cụ c nDPI cho Hình 3.4 Các bước thực ực hi gồm: - Đưa file chứa ứa tập ddữ liệu vào hệ thống - Tạo mẫu theo định ịnh ddạng nDPI từ tập luật Snort - Dùng thư viện nDPIR DPIReader đọc file pcap - Đọc báo cáo từ nDPI 3.3.2 Tạo mẫu Mẫu bổ sung ung vào file protos.txt theo m mẫu sau # Subprotocols # host:"",host:"", @ Ví dụ: host:"googlesyndacation.com"@Google 46 Bổ sung từ mẫu Snort Ví dụ Lật Snort alert tcp $HOME_NET any BACKDOOR -> $EXTERNAL_NET Backdoor.Perl.Shellbot outbound 443 (msg:"MALWARE- communication attempt"; flow:to_server,established; content:"NICK Rizee|7C|RYN|7C|05|7C|";) Mẫu nDPI host:"NICK Rizee|||RYN|||05|||""@Shellbot tcp:443,@ Shellbot 3.3.3 Kết -Thử nghiệm lần với tập liệu Chicago $ /ndpiReader -i /var/tmp/equinix-chicago.dirA.20140320-130100.UTC.anon.pcap -p protos.txt Báo cáo từ phần mềm IP packets: 18634938 of 18634938 packets total IP bytes: 10440087654 Hình 3.5 Kết trả từ nDPI 47 Bảng Bảng kết tìm mẫu nDPI tập liệu Chicago Shellbot 16 AlienSpy Backdoor.Blohi Starysu PHP IRCBot 15 11 34 -Thử nghiệm lần với tập liệu Sanjose $ /ndpiReader -i /var/tmp/equinix-sanjose.dirA.20140320-130100.UTC.anon.pcap -p protos.txt Báo cáo từ phần mềm IP packets: 20321210 of 20321210 packets total IP bytes: 12567987448 Bảng Bảng kết tìm mẫu nDPI tập liệu Sanjose Shellbot 23 AlienSpy 32 Backdoor.Blohi Starysu PHP IRCBot 27 3.4 Nhận xét Kết cho thấy công cụ nhận diện tốt mẫu phần mềm độc hạicó tập liệu L7-filter hỗ trợ phân loại thêm từ iptables nDPI việc đưa mẫu thuận tiện tự lọc giao thức theo cổng địa Hai cơng cụ tìm kiếm mẫu L7-filter nDPI hoạt động ổn định với tập liệu đầu vào có tương đối lớn, với tập liệu Chicago 9,7GB tập Sanjose 11,7GB 48 Thông qua quan sát thử nghiệm cho thấy tốc độ xử lý mẫu dựa DFA nDPI nhanh so với tốc độ xử lý biểu thức quy l7-filter Tuy nhiên,L7filter thường dùng tính đơn giản bổ xung cho lọc iptables, nDPI chủ yếu dùng phần mềm hãng nTop hỗ trợ quản lý băng thông tác vụ khác tầng ứng dụng 3.5 Kết chương Chương xây dựng mơ hình thử nghiệm lọc URL độc hại sử dụnghai công cụ L7-filter nDPI, đại diện cho kỹ thuật DPI tiêu biểu lọc dựa đôi sánh mẫu dạng biểu thức quy dựa DFA Phương pháp dựa biểu thức quy thể linh hoạt cao phân tích yếu tố cơng, đột nhập, có khả tìm cấu trúc gói tin thay tìm xác mẫu, giúp loại bỏ loại URL độc hại chúng dùng biến thể khác hay thay đổi tên miền, địa IP Phương pháp dựa máy trạng thái hữu hạn DFA xác định phù hợp với việc nhận diện mẫu URL độc hại tất thuật toán đối sánh mẫu truyền thống cần nhận diện xuất thay cần tìm xác vị trí số lần xuất 49 KẾT LUẬN Kết đạt Luận văn sâu nghiên cứu kỹ thuật phân tích sâu nội dung gói tin ứng dụng lọc URL độc hại Cụ thể, Luận văn thực nội dung sau: - Giới thiệukhái quátvề phân tích sâu nội dung gói tin ứng dụng - Nghiên cứu kỹ thuật phân tích nội dung sửdụng - Xây dựng mơ hình thử nghiệm lọc URL độc hạisử dụng hai công cụ L7-filter nDPI, đại diện cho kỹ thuật DPI tiêu biểu lọc dựa đôi sánh mẫu dạng biểu thức quy dựa DFA Hướng phát triển - Bổ sung lượng đủ lớn mẫu thử nghiệm lọc URL độc hại phần mềm độc hại tiến hành thử nghiệm nhiều tập liệu để có đánh giá xác - Nghiên cứu phát triển công cụ tự động sinh chuyển đổi mẫu lọc, nhằm giảm thời gian tạo mẫu tay 50 TÀI LIỆU THAM KHẢO [1] Ralf Bendrath, Global technology trends and national regulation: Explaining Variation in the Governance of Deep Packet Inspection, International Studies Annual Convention, 2009 [2]Rafeeq Ur Rehman, Intrusion Detection Systems with Snort: Advanced IDS Techniques Using Snort,Apache,MySQL,PHP and ACID, 2003 [3]Tamer AbuHmed, Abedelaziz Mohaisen, and DeaHun Nyang, A Survey on Deep Packet Inspection for Intrusion Detection Systems, 2008 [4]Pritika Mehra, A brief study and comparison of Snort and Bro Open Source Network Intrusion Detection Systems,2012 [5]Christian Charras, Thierry Lecroq, Handbook of exact string matching algorithms,1997 [6]Configuring the SonicWALL Content Filter Service http://help.mysonicwall.com/sw/eng/216/ui2/40/Policies_SecurityServices_ContentFilt er_Snwls.html Truy cập tháng 10.2014 [7] Grant Kirkwood, Introduction to Deep Packet Inspection, 2012 [8] Michael Collins, Network Security Through Data Analysis, O’Reilly Media, 2014 [9] Sarang Dharmapurikar, Praveen Krishnamurthy,Todd S Sproull, and John W Lockwood Deep packet inspection using parallel bloom filters 2004 [10] Yu Fang, Randy H Katz, and T V Lakshman.Gigabit rate packet patternmatching using tcam.In ICNP, 2004 [11]John E Hopcroft, Jeffrey D Ullman, and Rajeev Motwani Introduction to Automata Theory, Languages and Computation Addison-Wesley, 2001 [12] Michela Becchi, Patrick Crowley , A Hybrid Finite Automaton for Practical Deep Packet Inspection,2007 51 [13] Ke Wang, Janak J Parekh, Salvatore J Stolfo, Anagram: A Content Anomaly Detector Resistant to Mimicry Attack, in Proceedings of the th International Symposium on Recent Advances in Intrusion Detection (RAID), 2006 [14] K Wang, and S.J Stolfo, Anomalous Payload-based Network Intrusion Detection, in Sympo-sium on Recent Advances in Intrusion Detection 2004 [15] Kruegel, C., T Toth, and E Kirda, Service Specific Anomaly Detection for Network Intrusion Detection, in Symposium on Applied Computing (SAC) 2002 [16]T Limmer, F Dressler,Improving the Performance of Intrusion Detection using Dialog-based Payload Aggregation, 2011 [17] Kaspersky Security Overall statistics for 2013 http://www.securelist.com/en/analysis/204792318/Kaspersky_Security_Bulleti n_2013_Overall_statistics_for_2013, truy cập tháng 9.2014 [18]N Provos, D McNamee, P Mavrommatis ,The Ghost In The Browser Analysis of Web-based Malware,2007 [19] Kolesnikov, O., D Dagon, and W Lee, Advanced Polymorphic Worms: Evading IDS by Blending in with Normal Traffic, in USENIX Security Symposium 2006 [20]Christopher Kruegel1, Engin Kirda1,Darren Mutz2, William Robertson2, and Giovanni Vigna ,Polymorphic Worm Detection Using Structural Information of Executables,2006 [21]Alfray V.Aho and Margaret J.Corasick “ Efficient string matching: An aid to biblographic search ”,1975 [22]CAIDA Data - Overview of Datasets, Monitors, and Reports ,http://www.caida.org/data/overview/, truy cập tháng 10 2014 [23]nDPI_QuickStartGuide, truy nhập tháng 10.2014 [24]Application Layer Packet Classifier for Linux, http://l7-filter.sourceforge.net/truy nhập tháng 10.2014