Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 131 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
131
Dung lượng
3,5 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ Vũ Duy Nhất NGHIÊN CỨU ĐỀ XUẤT MỘT SỐ THUẬT TỐN PHÂN LOẠI GĨI TIN VÀ PHÁT HIỆN XUNG ĐỘT NHẰM PHÁT TRIỂN TƯỜNG LỬA HIỆU NĂNG CAO LUẬN ÁN TIẾN SĨ TOÁN HỌC Hà Nội - 2019 BỘ GIÁO DỤC ĐÀO TẠO BỘ QUỐC PHÒNG VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ Vũ Duy Nhất NGHIÊN CỨU ĐỀ XUẤT MỘT SỐ THUẬT TỐN PHÂN LOẠI GĨI TIN VÀ PHÁT HIỆN XUNG ĐỘT NHẰM PHÁT TRIỂN TƯỜNG LỬA HIỆU NĂNG CAO Chuyên ngành: Cơ sở Toán học cho Tin học Mã số: 9460110 LUẬN ÁN TIẾN SĨ TOÁN HỌC NGƯỜI HƯỚNG DẪN KHOA HỌC: 1.TS Nguyễn Mạnh Hùng 2.TS Thái Trung Kiên Hà Nội - 2019 i LỜI CAM ĐOAN Tơi xin cam đoan cơng trình nghiên cứu Những nội dung, số liệu kết trình bày luận án hồn tồn trung thực chưa có tác giả cơng bố cơng trình khác, liệu tham khảo trích dẫn đầy đủ Tác giả luận án Vũ Duy Nhất ii LỜI CẢM ƠN Luận án thực Viện Công nghệ thông tin – Viện Khoa học Công nghệ quân Lời đầu tiên, NCS xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo TS Nguyễn Mạnh Hùng TS Thái Trung Kiên, người tận tình định hướng nghiên cứu, đào tạo hướng dẫn NCS suốt q trình học tập nghiên cứu để hồn thành luận án NCS xin cảm ơn Viện Công nghệ Thông tin – Viện Khoa học Công nghệ Qn nhiệt tình đóng góp ý kiến vào luận án giúp đỡ NCS trình nghiên cứu NCS xin cảm ơn thủ trưởng đồng nghiệp thuộc Cục Cơ yếu – Bộ tổng tham mưu tạo điều kiện thuận lợi cho NCS suốt thời gian nghiên cứu đề tài NCS xin bày tỏ lòng biết ơn chân thành tới Thầy, Cô, nhà khoa học chân thành góp ý giúp đỡ cho NCS hồn thành luận án Cuối cùng, NCS cảm ơn gia đình, bạn bè, đồng nghiệp hỗ trợ, động viên, chia sẻ giúp NCS có thêm tâm động lực vượt qua khó khăn để tâm hồn thành luận án Xin trân trọng cảm ơn! iii MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT .v DANH MỤC CÁC BẢNG vii DANH MỤC CÁC HÌNH VẼ viii MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ PHÂN LOẠI GÓI TIN TRÊN TƯỜNG LỬA 1.1 Một số khái niệm tường lửa 1.1.1 1.1.2 1.1.3 1.1.4 1.2 Lịch sử hình thành tường lửa Định nghĩa tường lửa Chức tường lửa Các kiểu tường lửa Hiệu mối quan hệ với q trình phân loại gói tin tường lửa 1.2.1 Mối quan hệ hiệu tốc độ phân loại gói tin 1.2.2 Quá trình phân loại gói tin tường lửa 10 1.3 Các hướng nâng cao tốc độ phân loại gói tin tường lửa 13 1.3.1 1.3.2 1.3.3 1.3.4 1.4 Các nghiên cứu lĩnh vực phần cứng 13 Các nghiên cứu lĩnh vực phần mềm 16 Một số nghiên cứu nước 25 Xác định hướng nghiên cứu luận án 26 Kết luận chương 28 CHƯƠNG THUẬT TỐN PHÂN LOẠI GĨI TIN TRÊN TƯỜNG LỬA 29 2.1 2.2 Giới thiệu chương 29 Một số khái niệm 30 2.2.1 2.2.2 2.2.3 2.2.4 2.3 Đề xuất phân loại gói tin cấu trúc Ưu tiên đa nhánh – MWP 33 2.3.1 2.3.2 2.3.3 2.3.4 2.4 Tập luật phân loại gói tin 30 Cách biểu diễn trường lọc 30 Tiêu chí lựa chọn luật 31 Các tham số đánh giá thuật tốn phân loại gói tin 32 Lí đề xuất 34 Các cấu trúc có liên quan 34 Ý tưởng đề xuất định nghĩa 39 Cấu trúc MWP 41 Kết luận chương 53 CHƯƠNG LOẠI SỚM GÓI TIN TRÊN TƯỜNG LỬA 54 3.1 3.2 Giới thiệu chương 54 Đề xuất kỹ thuật loại sớm gói tin dựa việc kết hợp trường 54 3.2.1 Ý tưởng việc loại sớm gói tin việc kết hợp trường 54 3.2.2 Loại sớm gói tin sử dụng phép kết hợp COM hai trường 55 3.2.3 Loại sớm gói tin sử dụng phép XOR kết hợp nhiều trường .69 iv 3.2.4 Hiệu việc sử dụng trường kết hợp loại sớm gói tin 79 3.3 Kết luận chương 81 CHƯƠNG PHÁT HIỆN VÀ XỬ LÝ XUNG ĐỘT TRONG TẬP LUẬT TƯỜNG LỬA .82 4.1 4.2 Giới thiệu chương 82 Một số khái niệm chung 83 4.2.1 Biểu diễn luật tường lửa 83 4.2.2 Không gian luật mối quan hệ không gian luật .83 4.2.3 Các loại xung đột tập luật tường lửa .84 4.3 Đề xuất cấu trúc phát xung đột tập luật – CDT 85 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 4.4 Các định nghĩa 86 Ý tưởng thuật toán 90 Cấu trúc CDT 91 Phát xung đột CDT 103 Cài đặt thử nghiệm đánh giá 105 Kết luận chương 109 KẾT LUẬN .111 TÀI LIỆU THAM KHẢO 114 v DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ACL ABV AFBV ASIC BDD BV CAM CDT DCFL DoS EGT ERFC FPGA FVSC GoT GPU HiCuts HSM H-Tries LAN MWP NP RFC SA-BSPL SP-Tries TCAM TCDA TCP UDP Ln(P) Sn(P) Max(G) Danh sách kiểm soát truy nhập (Access Control List) Thuật tốn bít véc tơ hỗn hợp (Aggregated Bit Vector) Thuật tốn bít véc tơ hỗn hợp phân nhóm (Aggregated and Folded Bit Vector) Vi mạch tích hợp chuyên dụng (Application-specific integrated circuit) Sơ đồ định nhị phân (Binary Decision Diagram) Thuật tốn bít véc tơ (BitVector) Bộ nhớ đánh địa nội dung (Content Addressable Memory) Cây phát xung đột (Conflict Detect Trie) Thuật toán phân loại kết hợp chéo trường riêng biệt theo nhãn (Distributed Cross producing of Field Labels) Tấn công từ chối dịch vụ (Denial-of-Service) Cây dạng lưới mở rộng (Extended Grid of Tries) Thuật toán phân loại đệ quy theo luồng mở rộng (Enhanced Recursive Flow Classiflcation) Mảng cổng lập trình dạng trường (Field Programmable Gate Array) Tập giá trị bao phủ trường (Field Value Set Cover) Cây dạng lưới (Grid of Tries) Khối xử lý đồ họa (Graphics Processing Unit) Thuật toán lát cắt theo tầng thông minh (Hierarchical intelligent Cuts) Cây ánh xạ không gian phân cấp (Hierarchical Space Mapping) Cây phân cấp (Hierarchical Tries) Mạng nội (Local Area Network) Cây ưu tiên đa nhánh (Multi-Way Priority) Bộ xử lý mạng (Network Processor) Thuật toán phân loại đệ quy theo luồng (Recursive Flow Classification) Tìm kiếm nhị phân tự hiệu chỉnh với độ dài tiền tố (Self Adjusting Binary Search on Prefix Length) Cây cắt tỉa (Set Pruning tries) Bộ nhớ đánh địa nội dung theo trạng thái (Ternary ContentAddressable Memory) Thuật toán phát xung đột dựa tham số độ dài (Tuple-base Conflict Detection Algorithm) Giao thức truyền tải (Transmission Control Protocol) Giao thức liệu người dùng (User Datagram ProtocolV Bậc n tiền tố P Tập tiền tố bậc n tiền tố P Tiền tố có độ dài lớn tập tiền tố G | Ký hiệu mối quan hệ giao hai khoảng giá trị [a,b] [c,d] ℜD Mối quan hệ tách biệt không gian hai luật ℜEM Mối quan hệ trùng khớp không gian hai luật vi ℜIM Mối quan hệ chứa không gian hai luật ℜC Mối quan hệ giao không gian hai luật |fn| Độ chi tiết trường fn luật phân loại gói tin Mối quan hệ trùng hai giá trị trường >< Mối quan hệ tách rời hai giá trị trường cho dạng khoảng ⊆ Mối quan hệ thuộc hai giá trị trường vii DANH MỤC CÁC BẢNG Trang Bảng 1.1 Thơng lượng tính theo bps tốc độ phân loại gói tin cần đạt Bảng 2.1 Ví dụ tập luật gồm luật 37 Bảng 2.2 Q trình cắt tính tốn entropy cho luật bảng 2.1 37 Bảng 2.3 Tập luật gồm 12 luật chiều cho dạng tiền tố 44 Bảng 2.4 Các tập tiền tố theo bậc R1 44 Bảng 2.5 So sánh độ phức tạp cấu trúc MWP với JA-trie PT 48 Bảng 2.6 Tốc độ phân loại gói tin cấu trúc với tập liệu khác 52 Bảng 3.1.Qui tắc kết hợp COM 56 Bảng 3.2 Tập luật gồm luật Accept 60 Bảng 3.3 Các quy tắc chèn đoạn [x,y] vào nút N 61 Bảng 3.4 Kiểm tra tính xác hiệu kỹ thuật loại sớm với fCOM 65 Bảng 3.5 Tập luật gồm luật chiều tường lửa 71 Bảng 3.6 Ví dụ bảng tiền tố khoảng giá trị trường fXOR 72 Bảng 3.7 Các bước xây dựng tập D luật Bảng 3.5 74 Bảng 3.8 Loại sớm gói tin trường fXOR với tập luật khác 75 Bảng 3.9 Sử dụng trường fXOR thuật tốn tìm kiếm 78 Bảng 4.1 Danh sách unit luật R 90 Bảng 4.2 Tập luật gồm luật chiều 96 Bảng 4.3 Tiền tố độ chi tiết giá trị trường luật thuộc Bảng 4.2 96 Bảng 4.4 Phát xung đột tập luật khác với cấu trúc CDT 106 viii DANH MỤC CÁC HÌNH VẼ Trang Hình 1-1 Q trình phân loại gói tin tường lửa 10 Hình 1-2 Q trình phân loại gói tin với tập luật tường lửa 12 Hình 1-3 Quan hệ hiệu với thành phần cấu tạo tường lửa 13 Hình 1-4 Các hướng nghiên cứu phần cứng 14 Hình 1-5 Các hướng nghiên cứu phần mềm 16 Hình 1-6 Các thuật tốn phân loại gói tin nhiều trường 17 Hình 1-7 Tấn cơng DoS vào luật mặc định tường lửa 20 Hình 1-8 Mơ hình loại sớm gói tin module loại sớm gói tin 21 Hình 1-9 Cải tiến nâng cao tốc độ phân loại gói tin tường lửa 27 Hình 1-10 Các hướng cải tiến q trình phân loại gói tin luận án 28 Hình 2-1 Ví dụ nhị phân ưu tiên 35 Hình 2-2 JA-trie gắn với luật Bảng 2.1 38 Hình 2-3 Cấu trúc nút N MWP 42 Hình 2-4 Sơ đồ thuật tốn xây dựng nút MWP 43 Hình 2-5 Cây MWP xây dựng từ tập luật Bảng 2.3 45 Hình 2-6 Thuật tốn phân loại gói tin MWP 46 Hình 2-7 Thuật tốn xác định nhanh số bít bên trái trùng hai tiền tố 47 Hình 2-8 So sánh thời gian phân loại cấu trúc MWP cấu trúc khác 51 Hình 2-9 So sánh nhu cầu sử dụng nhớ cấu trúc MWP với cấu trúc khác 52 Hình 3-1 Cách tạo tiền tố COM 56 Hình 3-2 Ví dụ tạo tiền tố COM 56 Hình 3-3 Cách xây dựng tập luật loại sớm dựa trường fCOM 59 Hình 3-4 Ví dụ xây dựng tập luật loại sớm từ trường fCOM 60 Hình 3-5 Thuật tốn loại sớm gói tin với trường fCOM 63 Hình 3-6 Mơ hình thử nghiệm kỹ thuật loại sớm 64 Hình 3-7 Các mơ hình triển khai module phân loại gói tin 65 Hình 3-8 Phân loại gói tin cấu trúc khác với trường fCOM 66 Hình 3-9 Thời gian xây dựng tập luật loại sớm với cấu trúc khác 67 Hình 3-10 Mơ hình cài đặt kỹ thuật FVSC 68 Hình 3-11 So sánh kỹ thuật loại sớm fCOM với kỹ thuật FVSC 68 Hình 3-12 Phép kết hợp trường phép XOR 70 Hình 3-13 Cách tạo trường fXOR 71 Hình 3-14 Thời gian loại sớm gói tin trường fXOR cố định số luật 76 106 4.3.5.1 Kiểm tra khả phát xung đột Quá trình kiểm tra khả phát xung đột 02 thuật toán sử dụng cấu trúc FAT CDT thử nghiệm tập liệu Classbench Kết cho thấy, số lượng xung đột phát hai cấu trúc thể Bảng 4.9 Bảng 4.4 Phát xung đột tập luật khác với cấu trúc CDT Tập luật Số luật Số xung đột (FAT CDT) ACL1 ACL2 ACL3 ACL4 ACL5 17.584 16.194 18.530 19.086 15.194 222.396 1.948.040 542.839 360.136 7501 4.3.5.2 So sánh số nút Về mặt trực quan, dễ dàng nhận thấy cấu trúc FAT, nút lưu thông tin liên quan đến byte giá trị thuộc trường cụ thể Với cấu trúc trường địa IPv4, số nút tối đa cho địa Trong cấu trúc CDT nút lưu thông tin giá trị trường So sánh số nút 60000 50000 40000 30000 20000 10000 ACL1 ACL2 ACL3 CDT ACL4 ACL5 FAT Hình 4-6 So sánh số lượng nút CDT FAT Kết thử nghiệm với liệu thực tế, số nút FAT CDT thể Hình 4-6 cho thấy cấu trúc CDT ln có số nút cấu trúc FAT với liệu 107 4.3.5.3 So sánh thời gian xây dựng Quá trình xây dựng FAT CDT gồm bước chính: Chuyển đổi từ tập luật nguyên thủy sang tập element (cây FAT) unit (cây CDT) Chèn liệu luật vào element (cây FAT) unit (cây CDT) Quá trình chèn liệu luật bao gồm thời gian xây dựng tất nút Trong trình xây dựng nút, thời gian tính tốn cho trình phân nhánh tới nút nhiều mà việc tính tốn cho ứng viên tập đầu vào (Primary, Secondary, Tertiary với FAT; Match, Super, Overlap với CDT) chiếm thời gian chủ yếu Trong tập luật, số lượng unit CDT số lượng element FAT phí cho việc lựa chọn ứng viên tập đầu vào CDT nhỏ FAT Thời gian xây dựng (ms) 300000 250000 200000 150000 100000 50000 ACL1 ACL2 ACL3 CDT ACL4 ACL5 FAT Hình 4-7 So sánh thời gian xây dựng CDT FAT Kết thực nghiệm Hình 4-7, cho thấy thời gian xây dựng CDT tối ưu thời gian xây dựng FAT 4.3.5.4 So sánh thời gian phát xung đột Vì số lượng nút CDT số nút FAT nên thời gian di chuyển từ nút gốc đến nút nhằm phát xung đột luật CDT nhỏ so với FAT Kết thực nghiệm cho kết CDT thời gian phát xung đột nhỏ FAT – Hình 4-8 108 Thời gian phát xung đột (ms) 800 600 400 200 ACL1 ACL2 ACL3 CDT ACL4 ACL5 FAT Hình 4-8 So sánh thời gian phát xung đột hai cấu trúc FAT CDT 4.3.5.5 So sánh nhớ lưu trữ Bộ nhớ sử dụng cấu trúc CDT FAT phụ thuộc vào cấu trúc nút tổng số lượng nút biểu diễn tập luật Bộ nhớ sử dụng (Kbyte) 100000 80000 60000 40000 20000 ACL1 ACL2 CDT ACL3 FAT ACL4 ACL5 Hình 4-9 So sánh nhớ sử dụng hai cấu trúc FAT CDT Kết thực nghiệm Hình 4-9 cho thấy cấu trúc CDT sử dụng nhớ hiệu cấu trúc FAT 4.3.5.6 Đánh giá hiệu kỹ thuật đề xuất Trong nghiên cứu NCS đề xuất cấu trúc CDT nhằm xác định có hiệu mối quan hệ không gian luật luật tường lửa Cấu trúc CDT xây dựng sở chứng minh lý thuyết Các loại xung đột phát CDT xác kiểu đầy đủ số lượng 109 Về mặt lý thuyết nút CDT có tối đa 32 nút Tuy nhiên, thực tế lớp mạng, dải địa cổng tập luật tường lửa nhỏ nhiều so với số 232 Thực tế số lượng tiền tố sử dụng giao thức định tuyến BGP với IPv4 www.cidr-report.org/as2.0/ đến ngày 11/6/2018 725.093 tiền tố, chiều dài tiền tố phân bố tất giá trị từ 1-32, coi số khơng lớn Số lượng lớp mạng, hay địa sử dụng tường lửa cụ thể nhỏ số nhiều Qua thử nghiệm với liệu Classbench cho thấy số lượng nút nút không vượt số 713 (ở độ dài 24) Kết thử nghiệm cho thấy so sánh với cấu trúc FAT hiệu CDT thể mặt: Số lượng nút giảm: 13% – 41% Thời gian xây dựng giảm: 6% – 83% Thời gian phát xung đột giảm: 15% – 54% Bộ nhớ sử dụng giảm: 5% – 30% Cấu trúc CDT triển khai thực tế với mục đích xây dựng cơng cụ nhằm phát xử lý xung đột tập luật tường lửa Đây hướng nghiên cứu luận án 4.4 Kết luận chương Tính chất tập luật tường lửa ảnh hưởng trực tiếp đến hoạt động thiết bị theo hai khía cạnh: An ninh an toàn hệ thống mạng bảo vệ; Hiệu tường lửa Ở khía cạnh an ninh an toàn, tập luật tường lửa chịu trách nhiệm cho phép hay không cho phép luồng liệu qua nó, với sai sót cấu hình nảy sinh tình cho phép truy cập trái phép qua hay chặn truy cập hợp pháp Ở khía cạnh hiệu năng, với chế kiểm tra gói tin qua thơng qua luật thiết bị tính chất tập luật có tác động đến hiệu tường lửa số lượng luật, thứ tự luật hay cách biểu diễn trường luật… 110 Trong chương này, luận án tiến hành nghiên cứu vấn đề tối ưu hóa tập luật tường lửa nhằm làm tăng hiệu thiết bị Trong đó, trọng tâm việc phát xử lý xung đột tập luật Trên sở phân tích đánh giá điểm mạnh điểm hạn chế kỹ thuật có, NCS đề xuất kỹ thuật phát xử lý xung đột tập luật tường lửa với cấu trúc CDT Trong tập trung giải vấn đề mấu chốt cách thức xác định hiệu mối quan hệ không gian luật hai luật từ làm sở để xác định xung đột tập luật Cấu trúc CDT áp dụng việc xây dựng công cụ hỗ trợ trực tiếp cho người quản trị hệ thống nhằm xây dựng sách an ninh kiểm tra sách an ninh triển khai tường lửa 111 KẾT LUẬN Vấn đề nâng cao hiệu tường lửa quan tâm nghiên cứu Nâng cao tốc độ phân loại gói tin tường lửa hướng quan trọng nhằm cải thiện hiệu thiết bị Các thuật toán, kỹ thuật phân loại gói tin đề xuất nhằm nâng cao tốc độ phân loại gói tin theo nhiều hướng khác Tuy nhiên khơng thuật tốn nào, kỹ thuật mang tính tổng qt mà có ưu điểm định điều kiện cụ thể tập luật hay tính chất luồng liệu qua Hơn với phát triển ngày nhanh hệ thống hạ tầng mạng nhu cầu nâng cao tốc độ phân loại gói tin cấp bách Vì vậy, hướng nghiên cứu luận án có ý nghĩa mặt khoa học mặt thực tiễn Kết nhiên cứu: Luận án tập trung nghiên cứu thuật toán, kỹ thuật nhằm nâng cao tốc độ phân loại gói tin lĩnh vực phần mềm Các nghiên cứu đề xuất luận án mang tính hệ thống nhằm đưa giải pháp mang tính tổng thể nhằm nâng cao hiệu tường lửa Các nghiên cứu luận án áp dụng trực tiếp ứng dụng tường lửa dạng phần mềm cụ thể: Tích hợp thuật tốn MWP phân loại gói IP nguồn IP đích; Xây dựng module loại sớm dựa phép kết hợp COM XOR; Xây dựng công cụ kiểm tra phát xung đột tập luật tường lửa với CDT, công cụ không cài đặt trực tiếp tường lửa mà tiện ích cho phép người quản trị mạng tối ưu hóa tập luật triển khai thiết bị tường lửa Việc áp dụng đề xuất luận án thiết bị tường lửa thương mại gặp khó khăn việc triển khai bổ sung module phần mềm thiết bị đóng Tuy nhiên điều hồn tồn khả áp dụng thiết bị tường lửa chuyên dụng nghiên cứu phát triển Đây hướng nghiên cứu luận án Những đóng góp luận án: Đề xuất thuật toán phân loại gói tin trường với cấu trúc đa nhánh ưu tiên MWP 112 Đề xuất kỹ thuật loại sớm gói tin chống lại kiểu cơng DoS vào luật mặc định tường lửa với phép kết hợp (COM XOR) dựa cấu trúc cân Đề xuất cấu trúc CDT phát xung đột tập luật tường lửa Hướng nghiên cứu tiếp theo: Việc phát triển tường lửa hiệu cao (với đầy đủ tiêu chí đánh giá) nhiệm vụ khó khăn Nhiệm vụ đặc biệt quan trọng mục đích an ninh an toàn cho hệ thống mạng lĩnh vực anh ninh quốc phòng Các nghiên cứu luận án tập trung vào phát triển thuật toán kỹ thuật lĩnh vực phần mềm Vì vậy, nghiên cứu thiết kế phần cứng để triển khai thuật tốn đề xuất cách hiệu cần tiếp tục thực 113 DANH MỤC CÁC CƠNG TRÌNH KHOA HỌC ĐÃ CƠNG BỐ Vũ Duy Nhất, Nguyễn Mạnh Hùng (2014), “B-tree based two-dimensional early packet rejection technique against DOS traffic targeting firewall default secutity rule”, The 2014 Seventh IEEE Symposium on computational Intelligence for Security and Defense Applications Vũ Duy Nhất, Nguyễn Mạnh Hùng (2015), “Early packet rejection based on combining multiple fields using XOR operator with balanced tree”, Tạp chí IJCSNS International Journal of Computer Science and Network Security (Journal ISSN : 1738-7906), p22-29, VOL.15 No.10, October 2015 Vũ Duy Nhất, Nguyễn Mạnh Hùng(2016), “Đề xuất thuật toán phát xung đột lọc hai chiều thiết bị mạng”, Hội thảo Quốc gia lần thứ 19 “Một số vấn đề chọn lọc CNTT truyền thông” Vũ Duy Nhất, Nguyễn Mạnh Hùng(2017), “A packet classification algorithm on Multi-way Priority Trie”, Tạp chí Tin học Điều khiển số 4/2016 Vũ Duy Nhất, Nguyễn Mạnh Hùng(2018), “Đề xuất cấu trúc phát xung đột tập luật tường lửa”, Tạp chí Cơng nghệ thông tin & Truyền thông (Chuyên san “Các công trình nghiên cứu, phát triển ứng dụng cơng nghệ Thông tin Truyền thông”) tháng 12/2018 114 Tiếng Anh: [1] TÀI LIỆU THAM KHẢO a, H L., Soohyun Lee a, & Earl E Swartzlander Jr (2012) A new hierarchical packet classification algorithm Computer Networks 56, 56(13), 3010–3022 [2] Abbes, T., Bouhoula, A., & Rusinowitch, M (2016) Detection of firewall configuration errors with updatable tree International Journal of Information Security, 15(3), 301–317 [3] Abedin, M., Nessa, S., & Khan, L (2006) Detection and Resolution of Anomalies in Firewall Policy Rules DBSEC'06 Proceedings of the 20th IFIP WG 11.3 working conference on Data and Applications Security Sophia Antipolis, France [4] Accardi, K., Tony Bock, Frank Hady, & Jon Krueger (2005) Network processor acceleration for a Linux* netfilter firewall Architecture for networking and communications systems, 2005 ANCS 2005 Princeton, NJ, USA [5] Acharya, S., Wang, J., Ge, Z., Znati, T F., & Greenberg, A (2006) Traffic-aware firewall optimization strategies In IEEE International Conference on Communications (ICC) 2006 Istanbul, Turkey [6] Ajami, R., & Anh Dinh (2011) Design a hardware network firewall on FPGA Electrical and Computer Engineering (CCECE) 24th Niagara Falls, ON, Canada [7] Al-shaer, & Hamed, E (2004) Modeling and management of firewall policies IEEE Trans Netw Serv Manag., 1(1), 2–10 [8] Al-shaer, E., Hamed, H., Boutaba, R., & Hasan, M (2005) Conflict classification and analysis of distributed firewall policies IEEE Journal on Selected Areas in ommunications (JSAC), 23(10), 2069 - 2084 [9] Al-Shear, E., El-Atawy, A., & Tran, T (2009) Adaptive Early Packet filtering for Defending firewalls against DoS Attack Proceeding of IEEE INFOCOM [10] Antichi, G., Callegari, C., Moore, A W., Giordano, S., & Anastasi, E (2014) JAtrie: Entropy-Based Packet Classification IEEE 15th International Conference on High Performance Switching and Routing (HPSR) Vancouver, BC, Canada [11] Avudaiammal, R., & A Swarnalatha (2015) Implementation of scalable packet classification algorithm using embedded network processor International Journal of Applied Engineering Research (IJAER), 10(66), 62-65 [12] Ayuso, P N (2006) Netfilter's Connection Tracking System ;login USENIX, 31(3) 115 [13] B, V., G, V., & N, V T (2010) EffiCuts: optimizing packet classification for memory and throughput ACM SIGCOMM Computer Communication Review – SIGCOMM New Delhi, India [14] Baboescu, F., & G Varghese (2001) Scalable Packet Classification In Proceedings of ACM SIGCOMM '01 San Diego, California, USA [15] Baboescu, F., S Singh, & G Varghese (2003) Packet Classification for Core Routers: Is there an alternative to CAMs IEEE Infocom, 1(1), 53-63 [16] Chao, H J (2002, September) Next generation routers IEEE, 90(9), 1518–1588 [17] D.E, T., & Turner J.S (2005) Scalable packet classification using distributed crossproducing of field labels 24th Annual Joint Conference of the IEEE Computer and Communications Societies, Proceedings IEEE Miami, FL, USA [18] Dixit, M., Anuja Kale, Madhavi Narote, & Sneha Talwalkar (2012) Fast Packet Classification Algorithms International Journal of Computer Theory and Engineering, 4(6) [19] Duan, Q., & Al-Shaer, E (2013) Traffic-aware dynamic firewall policy management: techniques and applications IEEE Communications Magazine, 51(7), 73 - 79 [20] E, T D (2005) Survey and Taxonomy of Packet Classification Techniques ACM Computing Surveys (CSUR), 37(3), 238-275 [21] Fulp, E W (2006) Parallel Firewall Designs for High-Speed Networks 25th IEEE International Conference on Computer Communications Barcelona, Spain [22] Geier, E (2011, September 6) Intro to Next Generation Firewalls [23] Gong, X.-Y., Wen-Dong Wang, & Shi-Duan Cheng (2010) ERFC: An Enhanced Recursive Flow Classification Algorithm Journal of Computer Science and Technology, 25(5), 958–969 [24] Gupta, P (2000) Algorithms for routing lookups and packet classification Stanford University [25] Gupta, P., & N McKeown (2001) Algorithms for packet classification IEEE Network 15, 15(2), 24 - 32 [26] Hager, S., Frank Winkler, Björn Scheuermann, & Klaus Reinhardt (2014) MPFC: Massively Parallel Firewall Circuits Local Computer Networks (LCN), 2014 IEEE 39th Conference on Edmonton, AB, Canada 116 [27] Hamed, H., & Al-Shaer, E (2006) Dynamic rule ordering optimization for highspeed firewall filtering ASIACCS '06 Proceedings of the 2006 ACM Symposium on Information, computer and communications security Taipei, Taiwan [28] Hamed, H., A El-Atawy, & E Al-Shaer (2006) Adaptive Statistical Optimization Techniques for Firewall Packet Filtering IEEE INFOCOM, (pp 1-12) Barcelona, Spain [29] Hari, A., S Suri, G., a., & Parulkar (2000) Detecting and resolving packet filter conflicts INFOCOM 2000 Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies Tel Aviv, Israel [30] Hu, H., Ahn, G.-j., & Kulkarni, K (2012) Detecting and Resolving Firewall Policy Anomalies IEEE Transactions on dependable and secure computing, 9(3), 318 331 [31] Jedhe, G., Ramamoorthy, A, & Varghee, K (2008) A Scalable High Throughput Firewall in FPGA 16th International Symposium on Field-Programmable Custom Computing Machines Stanford, CA, USA [32] KanniyaRaja, N., K Arulanandam, & B Raja Rajeswari (2012) Centralized Parallel Form of Pattern Matching Algorithm in Packet Inspection by Efficient Utilization of Secondary Memory in Network Processor International Journal of Computer Applications, 40(5), 12-17 [33] Karimi, K., Arash Ahmadi, Mahmood Ahmadi, & Bahram Bahrambeigy (2013) Acceleration of IPTABLES Linux Packet Filtering using GPGPU Symposium on Computer Science and Software Engineering (CSSE) Tehra, Iran [34] Khatami, R I., & Mahmood Ahmadi (2013) High Throughput Multi Pipeline Packet Classifier on FPGA Computer Architecture and Digital Systems (CADS), 17th CSI International Symposium Tehran, Iran [35] Koht-arsa, K., & Surasak Sanguanpong (2008) A practical approach for building a parallel firewall for ten gigabit Ethernet backbone 42nd Annual IEEE International Carnahan Conference – ICCST Prague, Czech Republic [36] Kwok, A., & Poon, C K (2009) Two-dimensional packet classification and filter conflict resolution in the Internet Theory Comput Syst, 44(3), 289–303 [37] Lai, C.-y., & Wang, P.-c (2014) Fast and Complete Conflict Detection for Packet Classifiers IEEE systems journal, 11(2), 1137 - 1148 117 [38] Lakshman, T., & D.Stidialis (1998) High speed policy-based packet forwarding using efficient multi-dimensional range matching In Proc.ACM Sigcomm’98 Vancouver, British Columbia, Canada [39] Lee, C.-L., Lin, G.-Y., & Chen, Y.-C (2012) An efficient conflict detection algorithm for packet filters IEICE Trans Inf Syst, 95-D(2), 472–479 [40] Li, J., Haiyang Liu, & Karen Sollins (2002) Scalable Packet Classification Using Bit Vector Aggregating and Folding ACM SIGCOMM Computer Communication, 32(3) [41] Li, X., ZhenZhou Ji, & MingZeng Hu (2005) Stateful Inspection Firewall Session Table Processing Information Technology: Coding and Computing, 2005 ITCC 2005 Las Vegas, NV, USA [42] Lim, H., N, L., G, J., J, L., Y, C., & C, Y (2013) Boundary Cutting for Packet Classification IEEE/ACM Transactions on Networking, 22(1), 443 - 456 [43] Lim, H., Yim, C., & Swartzlander, E E (2010) Priority Tries for IP Address Lookup IEEE Transactions on computers, 59(6), 784 - 794 [44] Lu, H., & Sahni, S (2005) Conflict detection and resolution in two-dimensional prefix router tables IEEE/ACM Trans Netw, 13(6), 1353–1363 [45] Maindorfer, C (2009) Algorithms and data structures for IP lookup, packet classification and conflict detection Freiburg, Germany: Ph.D dissertation Univ Freiburg [46] McKeown, N., T Anderson, H Balakrishnan, G Parulkar, & L Pe (2008) OpenFlow: Enabling innovation in campus networks ACM SIGCOMM Computer Communication Review, 38(2), 69–74 [47] Messmer, E (1999, September 7) New tool blocks wily e-comm hacker tricks CNN Retrieved from http://edition.cnn.com/TECH/computing/9909/07/ecomm.hack.idg/index.html [48] Mohan, R., Yazidi, A., Feng, B., & Oommen, B J (2016) Dynamic Ordering of Firewall Rules Using a Novel Swapping Window-based Paradigm ICCNS '16 Proceedings of the 6th International Conference on Communication and Network Security Singapore, Singapore 118 [49] Nassar, S., Ayman El-Sayed, & Nabil Aiad (2010) Improve the network performance by using parallel firewalls NC2010: 6th International Conference on Networked Computing Gyeongju, South Korea [50] Neji, N B., & Adel Bouhoula (2011) NAF Conversion: An Efficient Solution for the Range Matching Problem in Packet Filters IEEE 12th International Conference on High Performance Switching and Routing [51] Neji, N., & Bouhououla, A (2009) Dynamic Scheme for Packet Classification Using Splay trees Proceedings of the International Workshop on Computational Intelligence in Security for Information Systems CISIS’08 [52] OpenFlow Foundation, “OpenFlow Switch Specification, Version 1.0.0 (n.d.) Retrieved 2009, from http://www.openflowswitch.org/ documents/openflow-specv1.0.0.pdf [53] Oppliger, R (1977) Internet Security: FIREWALLS and BEYOND Communications of the ACM, 40(5), 92-102 [54] P, G., & Nick McKeown (1999) Packet classification on multiple fields Proceedings of the conference on Applications, technologies, architectures, and protocols for computer communication Cambridge, Massachusetts, USA [55] P Gupta, & N McKeown (1999) Packet Classification using Hierarchical Intelligent Cuttings Hot Interconnects VII, (pp 34-41) [56] Release, C P (1994) Check Point Introduces Revolutionary Internet Firewall Product Providing Full Internet Connectivity with Security Wins 'BEST OF SHOW' Award at Net world Inter [57] S Thanasegaran, Y Yin, Y Tateiwa, & Y Katayama (2011) A topology-based conflict detection system for firewall policies using bit-vector-based spatial calculus IJCNS, 4(11), 683–695 [58] Sahoo, A K., Amardeep Das, & Mayank Tiwary (2014) Firewall engine based on Graphics Processing Unit Advanced Communication Control and Computing Technologies (ICACCCT),IEEE Ramanathapuram, India [59] Shinder, T W (2007) The Best Damn Firewall Book Period 2nd Edition lsevier [60] Sleator, D., & Tarjan, R (1985) Self Adjusting Binary Search Trees Journal of the ACM, 32(3), 652-686 119 [61] Srinivasan, T., Nivedita, M., & Mahadevan, V (2006) Efficient Packet Classification Using Splay Tree Models IJCSNS International Journal of Computer Science and Network Security, 6(5), 28-35 [62] Srinivasan, V., G Varghese, S Suri, & M Waldvogel (1998) Fast and scalable layer four switching SIGCOMM '98 Proceedings of the ACM SIGCOMM '98 conference on Applications, technologies, architectures, and protocols for computer communication Vancouver, British Columbia, Canada [63] Taylor, D E., & Jonathan S Turner (2007) Classbench: A packet classification benchmark IEEE/ACM Transactions on Networking , 15(3), 499 - 511 [64] The netfilter.org project (2014) Retrieved from http://www.netfilter.org/ [65] Trabelsi, Z., & Zeidan, S (2012) Multilevel early packet filtering technique based on traffic statistics and splay trees for firewall performance improvement Communications (ICC), 2012 IEEE International Conference Ottawa, ON, Canada [66] Trabelsi, Z., Zhang, L., & Zeidan, S (2011) Packet flow histograms to improve firewall efficiency Information, Communications and Signal Processing (ICICS) 2011 8th International Conference Singapore, Singapore [67] Trabelsi, Z., Zhang, L., & Zeidan, S (2014) Dynamic rule and rule-field optimisation for improving firewall performance and security IET Information Security, 8(4), 250 - 257 [68] Unified Threat Management Appliances and Identity-based Security: The Next Level in Network security (September 2007) [69] Varghese, G (2004) In Network algorithms: An interdisciplinary approach to designing fast networked (p 245) Morgan Kaufmann Series in Networking [70] Vasiliadis, G (2014) GASPP: a GPU-accelerated stateful packet processing framework USENIX ATC'14 Proceedings of the 2014 USENIX conference on USENIX Annual Technical Conference Philadelphia, PA [71] Vasiliadis, G., Lazaros Koromilas, Michalis Polychronakis, & Sotiri (2016) Design and Implementation of a Stateful Network Packet Processing Framework for GPUs IEEE/ACM Transactions on Networking, 25(1), 610 - 623 [72] Wagner, J M., Weirong Jiang , & Viktor K Prasanna (2009) A scalable pipeline architecture for line rate packet classification on FPGAS IASTED International 120 Conference on Parallel and Distributed Computing and Systems Cambridge, MA; United States [73] Waldvogel, M., Varghese, G., Turner, J., & Plattner, B (1997) Scalable High Speed IP Routing Lookups In Proceedings of the ACM SIGCOMM (SIGCOMM ’97) Cannes, France [74] Wang, S Q., & Hai Yan Chen (2014) Research on ASIC Firewall Based on State Detection Technology Trans Tech Publications Inc, 644-650(Applied Mechanics & Materials), 3283-3286 [75] Woo, T (2002) A modular approach to packet classification: algorithms and results INFOCOM 2000 Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies el Aviv, Israel [76] Wu, Q.-X (2012) The Research and Application of Firewall based on Netfilter Elsevier - Physics Procedia, 25, 1231 – 1235 [77] Xu, B., D Jiang, & J Li (2005) HSM: A fast packet classification algorithm 19th International Conference on Advanced Information Networking and Applications (AINA’05) Taipei, Taiwan, Taiwan [78] Y, L., K, X., & S, L (2008) Acceleration of decision tree searching for IP traffic classification ANCS '08 Proceedings of the 4th ACM/IEEE Symposium on Architectures for Networking and Communications Systems San Jose, California [79] Yuan, L., Chen, H., Mai, J., Chuah, C., Su, Z., Mohapatra, P., & Davis, C (2006) Fireman: A Toolkit for Firewall Modeling and Analysis Security and Privacy, 2006 IEEE Symposium on Berkeley/Oakland, CA, USA [80] Zhi Liu, Xiang Wang, Baohua Yang, & Jun Li (2015) BitCuts: Towards Fast Packet Classification for OrderIndependent Rules ACM Conference on Special Interest Group on Data Communication London, United Kingdom [81] Zwicky, E D., Simon Cooper, & D Brent Chapman (2000) Building Internet Firewalls ISBN: 1-56592-871-7 ... trình phân loại gói tin tường lửa nâng cao hiệu thiết bị Luận án thực nhằm vào mục tiêu: Đề xuất kỹ thuật phân loại gói tin phát xung đột tập luật tường lửa nhằm nâng cao tốc độ phân loại gói tin. .. quan tường lửa; Hiệu tường lửa; Q trình phân loại gói tin tường lửa; Mối quan hệ hiệu tường lửa với phân loại gói tin thiết bị Trên sở phân tích hướng nghiên cứu nhằm nâng cao hiệu tường lửa từ... HỌC VÀ CÔNG NGHỆ QUÂN SỰ Vũ Duy Nhất NGHIÊN CỨU ĐỀ XUẤT MỘT SỐ THUẬT TỐN PHÂN LOẠI GĨI TIN VÀ PHÁT HIỆN XUNG ĐỘT NHẰM PHÁT TRIỂN TƯỜNG LỬA HIỆU NĂNG CAO Chuyên ngành: Cơ sở Toán