BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ Vũ Duy Nhất NGHIÊN CỨU ĐỀ XUẤT MỘT SỐ THUẬT TỐN PHÂN LOẠI GĨI TIN VÀ PHÁT HIỆN XUNG ĐỘT NHẰM PHÁT TRIỂN TƯỜNG LỬA HIỆU NĂNG CAO LUẬN ÁN TIẾN SĨ TOÁN HỌC Hà Nội - 2019 BỘ GIÁO DỤC ĐÀO TẠO BỘ QUỐC PHÒNG VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ Vũ Duy Nhất NGHIÊN CỨU ĐỀ XUẤT MỘT SỐ THUẬT TỐN PHÂN LOẠI GĨI TIN VÀ PHÁT HIỆN XUNG ĐỘT NHẰM PHÁT TRIỂN TƯỜNG LỬA HIỆU NĂNG CAO Chuyên ngành: Cơ sở Toán học cho Tin học Mã số: 9460110 LUẬN ÁN TIẾN SĨ TOÁN HỌC NGƯỜI HƯỚNG DẪN KHOA HỌC: 1.TS Nguyễn Mạnh Hùng 2.TS Thái Trung Kiên Hà Nội - 2019 i LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu tơi Những nội dung, số liệu kết trình bày luận án hoàn toàn trung thực chưa có tác giả cơng bố cơng trình khác, liệu tham khảo trích dẫn đầy đủ Tác giả luận án Vũ Duy Nhất ii LỜI CẢM ƠN Luận án thực Viện Công nghệ thông tin – Viện Khoa học Công nghệ quân Lời đầu tiên, NCS xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo TS Nguyễn Mạnh Hùng TS Thái Trung Kiên, người tận tình định hướng nghiên cứu, đào tạo hướng dẫn NCS suốt trình học tập nghiên cứu để hoàn thành luận án NCS xin cảm ơn Viện Công nghệ Thông tin – Viện Khoa học Công nghệ Quân nhiệt tình đóng góp ý kiến vào luận án giúp đỡ NCS trình nghiên cứu NCS xin cảm ơn thủ trưởng đồng nghiệp thuộc Cục Cơ yếu – Bộ tổng tham mưu tạo điều kiện thuận lợi cho NCS suốt thời gian nghiên cứu đề tài NCS xin bày tỏ lòng biết ơn chân thành tới Thầy, Cơ, nhà khoa học chân thành góp ý giúp đỡ cho NCS hoàn thành luận án Cuối cùng, NCS cảm ơn gia đình, bạn bè, đồng nghiệp hỗ trợ, động viên, chia sẻ giúp NCS có thêm tâm động lực vượt qua khó khăn để tâm hồn thành luận án Xin trân trọng cảm ơn! iii MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ PHÂN 1.1Một số khái niệm tường lửa 1.1.1Lịch sử hình thành tường lửa 1.1.2Định nghĩa tường lửa 1.1.3Chức tường lửa 1.1.4Các kiểu tường lửa 1.2Hiệu mối quan hệ với trình phân loại gói 1.2.1Mối quan hệ hiệu 1.2.2Q trình phân loại gói tin t 1.3Các hướng nâng cao tốc độ phân loại gói tin tườn 1.3.1Các nghiên cứu lĩnh v 1.3.2Các nghiên cứu lĩnh v 1.3.3Một số nghiên cứu nư 1.3.4Xác định hướng nghiên cứu 1.4Kết luận chương CHƯƠNG THUẬT TOÁN PHÂN LO 2.1Giới thiệu chương 2.2Một số khái niệm 2.2.1Tập luật phân loại gói tin 2.2.2Cách biểu diễn trường c 2.2.3Tiêu chí lựa chọn luật 2.2.4Các tham số đánh giá th 2.3Đề xuất phân loại gói tin cấu trúc Ưu tiên đa 2.3.1Lí đề xuất 2.3.2Các cấu trúc có liên quan 2.3.3Ý tưởng đề xuất v 2.3.4Cấu trúc MWP 2.4Kết luận chương CHƯƠNG LOẠI SỚM GÓI TIN TRÊ 3.1Giới thiệu chương 3.2Đề xuất kỹ thuật loại sớm gói tin dựa việc kết hợ 3.2.1 Ý tưởng việc loại sớm gói tin việc kết hợp trường 54 3.2.2 Loại sớm gói tin sử dụng phép kết hợp COM hai trường 55 3.2.3 Loại sớm gói tin sử dụng phép XOR kết hợp nhiều trường 69 iv 3.2.4 Hiệu v 3.3Kết luận chương CHƯƠNG PHÁT HIỆN VÀ XỬ LÝ XUNG ĐỘT TRONG TẬP LUẬT TƯỜNG LỬA 4.1Giới thiệu chương 4.2Một số khái niệm chung 4.2.1 Biểu diễn luật t 4.2.2 Không gian luậ 4.2.3 Các loại xung đ 4.3Đề xuất cấu trúc phát xung đột tập luật – 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 Các định nghĩa Ý tưởng thu Cấu trúc C Phát xung Cài đặt thử ngh 4.4Kết luận chương KẾT LUẬN TÀI LIỆU THAM KHẢO LAN MWP NP RFC ACL SA-BSPL ABV AFBV SP-Tries ASIC BDD BV CAM CDT TCAM DCFL DoS EGT Ln(P) Sn(P) Max(G) ERFC | FPGA FVSC GoT GPU HiCuts HSM H-Tries TCDA TCP UDP ℜD ℜEM v DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Danh sách kiểm soát truy nhập (Access Control List) Thuật tốn bít véc tơ hỗn hợp (Aggregat ed Bit Vector) Thuật tốn bít véc tơ hỗn hợp phân nhóm (Aggre gated and Folded Bit Vector) Vi mạch tích hợp chuyên dụng (Applicatio n-specific integrated circuit) Sơ đồ định nhị phân (Binary Decision Diagram) Thuật tốn bít véc tơ (BitVector) Bộ nhớ đánh địa nội dung (Content Addressable Memory) Cây phát xung đột (Conflict Detect Trie) Thuật toán phân loại kết hợp chéo trường riêng biệt theo nhãn (Distributed Cross producing of Field Labels) Tấn công từ chối dịch vụ (Denial-of-Service) Cây dạng lưới mở rộng (Extended Grid of Tries) Thuật toán phân loại đệ quy theo luồng mở rộng (Enhanced Recursive Flow Classiflcation) Mảng cổng lập trình dạng trường (Field Programmable Gate Array) Tập giá trị bao phủ trường (Field Value Set Cover) Cây dạng lưới (Grid of Tries) Khối xử lý đồ họa (Graphics Processing Unit) Thuật tốn lát cắt theo tầng thơng minh (Hierarchical intelligent Cuts) Cây ánh xạ không gian phân cấp (Hierarchical Space Mapping) Cây phân cấp (Hierarchical Tries) Mạng nội (Local Area Network) Cây ưu tiên đa nhánh (Multi-Way Priority) Bộ xử lý mạng (Network Processor) Thuật toán phân loại đệ quy theo luồng (Recursive Flow Classification) Tìm kiếm nhị phân tự hiệu chỉnh với độ dài tiền tố (Self Adjusting Binary Search on Prefix Length) Cây cắt tỉa (Set Pruning tries) Bộ nhớ đánh địa nội dung theo trạng thái (Ternary ContentAddressable Memory) Thuật toán phát xung đột dựa tham số độ dài (Tuple-base Conflict Detection Algorithm) Giao thức truyền tải (Transmission Control Protocol) Giao thức liệu người dùng (User Datagram ProtocolV Bậc n tiền tố P Tập tiền tố bậc n tiền tố P Tiền tố có độ dài lớn tập tiền tố G Ký hiệu mối quan hệ giao hai khoảng giá trị [a,b] [c,d] Mối quan hệ tách biệt không gian hai luật Mối quan hệ trùng khớp không gian hai luật vi ℜIM Mối quan hệ chứa không gian hai luật ℜC Mối quan hệ giao không gian hai luật |fn| Độ chi tiết trường fn luật phân loại gói tin Mối quan hệ trùng hai giá trị trường >< Mối quan hệ tách rời hai giá trị trường cho dạng khoảng ⊆ Mối quan hệ thuộc hai giá trị trường vii DANH MỤC CÁC BẢNG Trang Bảng 1.1 Thơng lượng tính theo bps tốc độ phân loại gói tin cần đạt Bảng 2.1 Ví dụ tập luật gồm luật 37 Bảng 2.2 Q trình cắt tính tốn entropy cho luật bảng 2.1 37 Bảng 2.3 Tập luật gồm 12 luật chiều cho dạng tiền tố 44 Bảng 2.4 Các tập tiền tố theo bậc R1 44 Bảng 2.5 So sánh độ phức tạp cấu trúc MWP với JA-trie PT 48 Bảng 2.6 Tốc độ phân loại gói tin cấu trúc với tập liệu khác 52 Bảng 3.1.Qui tắc kết hợp COM 56 Bảng 3.2 Tập luật gồm luật Accept 60 Bảng 3.3 Các quy tắc chèn đoạn [x,y] vào nút N 61 Bảng 3.4 Kiểm tra tính xác hiệu kỹ thuật loại sớm với fCOM .65 Bảng 3.5 Tập luật gồm luật chiều tường lửa 71 Bảng 3.6 Ví dụ bảng tiền tố khoảng giá trị trường fXOR 72 Bảng 3.7 Các bước xây dựng tập D luật Bảng 3.5 74 Bảng 3.8 Loại sớm gói tin trường fXOR với tập luật khác 75 Bảng 3.9 Sử dụng trường fXOR thuật tốn tìm kiếm 78 Bảng 4.1 Danh sách unit luật R 90 Bảng 4.2 Tập luật gồm luật chiều .96 Bảng 4.3 Tiền tố độ chi tiết giá trị trường luật thuộc Bảng 4.2 96 Bảng 4.4 Phát xung đột tập luật khác với cấu trúc CDT 106 viii DANH MỤC CÁC HÌNH VẼ Trang Hình 1-1 Q trình phân loại gói tin tường lửa 10 Hình 1-2 Q trình phân loại gói tin với tập luật tường lửa .12 Hình 1-3 Quan hệ hiệu với thành phần cấu tạo tường lửa 13 Hình 1-4 Các hướng nghiên cứu phần cứng 14 Hình 1-5 Các hướng nghiên cứu phần mềm 16 Hình 1-6 Các thuật tốn phân loại gói tin nhiều trường 17 Hình 1-7 Tấn cơng DoS vào luật mặc định tường lửa 20 Hình 1-8 Mơ hình loại sớm gói tin module loại sớm gói tin 21 Hình 1-9 Cải tiến nâng cao tốc độ phân loại gói tin tường lửa 27 Hình 1-10 Các hướng cải tiến q trình phân loại gói tin luận án .28 Hình 2-1 Ví dụ nhị phân ưu tiên 35 Hình 2-2 JA-trie gắn với luật Bảng 2.1 38 Hình 2-3 Cấu trúc nút N MWP .42 Hình 2-4 Sơ đồ thuật toán xây dựng nút MWP 43 Hình 2-5 Cây MWP xây dựng từ tập luật Bảng 2.3 45 Hình 2-6 Thuật tốn phân loại gói tin MWP .46 Hình 2-7 Thuật tốn xác định nhanh số bít bên trái trùng hai tiền tố 47 Hình 2-8 So sánh thời gian phân loại cấu trúc MWP cấu trúc khác 51 Hình 2-9 So sánh nhu cầu sử dụng nhớ cấu trúc MWP với cấu trúc khác 52 Hình 3-1 Cách tạo tiền tố COM 56 Hình 3-2 Ví dụ tạo tiền tố COM .56 Hình 3-3 Cách xây dựng tập luật loại sớm dựa trường fCOM 59 Hình 3-4 Ví dụ xây dựng tập luật loại sớm từ trường fCOM 60 Hình 3-5 Thuật tốn loại sớm gói tin với trường fCOM 63 Hình 3-6 Mơ hình thử nghiệm kỹ thuật loại sớm 64 Hình 3-7 Các mơ hình triển khai module phân loại gói tin 65 Hình 3-8 Phân loại gói tin cấu trúc khác với trường fCOM 66 Hình 3-9 Thời gian xây dựng tập luật loại sớm với cấu trúc khác 67 Hình 3-10 Mơ hình cài đặt kỹ thuật FVSC .68 Hình 3-11 So sánh kỹ thuật loại sớm fCOM với kỹ thuật FVSC 68 Hình 3-12 Phép kết hợp trường phép XOR .70 Hình 3-13 Cách tạo trường fXOR .71 Hình 3-14 Thời gian loại sớm gói tin trường fXOR cố định số luật 76 109 32 Về mặt lý thuyết nút CDT có tối đa nút Tuy nhiên, thực tế lớp mạng, dải địa cổng tập luật tường lửa 32 nhỏ nhiều so với số Thực tế số lượng tiền tố sử dụng giao thức định tuyến BGP với IPv4 www.cidr-report.org/as2.0/ đến ngày 11/6/2018 725.093 tiền tố, chiều dài tiền tố phân bố tất giá trị từ 1-32, coi số không lớn Số lượng lớp mạng, hay địa sử dụng tường lửa cụ thể nhỏ số nhiều Qua thử nghiệm với liệu Classbench cho thấy số lượng nút nút không vượt số 713 (ở độ dài 24) Kết thử nghiệm cho thấy so sánh với cấu trúc FAT hiệu CDT thể mặt:  Số lượng nút giảm: 13% – 41%  Thời gian xây dựng giảm: 6% – 83%  Thời gian phát xung đột giảm: 15% – 54%  Bộ nhớ sử dụng giảm: 5% – 30% Cấu trúc CDT triển khai thực tế với mục đích xây dựng cơng cụ nhằm phát xử lý xung đột tập luật tường lửa Đây hướng nghiên cứu luận án 4.4 Kết luận chương Tính chất tập luật tường lửa ảnh hưởng trực tiếp đến hoạt động thiết bị theo hai khía cạnh: An ninh an tồn hệ thống mạng bảo vệ; Hiệu tường lửa Ở khía cạnh an ninh an toàn, tập luật tường lửa chịu trách nhiệm cho phép hay không cho phép luồng liệu qua nó, với sai sót cấu hình nảy sinh tình cho phép truy cập trái phép qua hay chặn truy cập hợp pháp Ở khía cạnh hiệu năng, với chế kiểm tra gói tin qua thông qua luật thiết bị tính chất tập luật có tác động đến hiệu tường lửa số lượng luật, thứ tự luật hay cách biểu diễn trường luật… 110 Trong chương này, luận án tiến hành nghiên cứu vấn đề tối ưu hóa tập luật tường lửa nhằm làm tăng hiệu thiết bị Trong đó, trọng tâm việc phát xử lý xung đột tập luật Trên sở phân tích đánh giá điểm mạnh điểm hạn chế kỹ thuật có, NCS đề xuất kỹ thuật phát xử lý xung đột tập luật tường lửa với cấu trúc CDT Trong tập trung giải vấn đề mấu chốt cách thức xác định hiệu mối quan hệ khơng gian luật hai luật từ làm sở để xác định xung đột tập luật Cấu trúc CDT áp dụng việc xây dựng công cụ hỗ trợ trực tiếp cho người quản trị hệ thống nhằm xây dựng sách an ninh kiểm tra sách an ninh triển khai tường lửa 111 KẾT LUẬN Vấn đề nâng cao hiệu tường lửa quan tâm nghiên cứu Nâng cao tốc độ phân loại gói tin tường lửa hướng quan trọng nhằm cải thiện hiệu thiết bị Các thuật toán, kỹ thuật phân loại gói tin đề xuất nhằm nâng cao tốc độ phân loại gói tin theo nhiều hướng khác Tuy nhiên khơng thuật tốn nào, kỹ thuật mang tính tổng quát mà có ưu điểm định điều kiện cụ thể tập luật hay tính chất luồng liệu qua Hơn với phát triển ngày nhanh hệ thống hạ tầng mạng nhu cầu nâng cao tốc độ phân loại gói tin cấp bách Vì vậy, hướng nghiên cứu luận án có ý nghĩa mặt khoa học mặt thực tiễn Kết nhiên cứu: Luận án tập trung nghiên cứu thuật toán, kỹ thuật nhằm nâng cao tốc độ phân loại gói tin lĩnh vực phần mềm Các nghiên cứu đề xuất luận án mang tính hệ thống nhằm đưa giải pháp mang tính tổng thể nhằm nâng cao hiệu tường lửa Các nghiên cứu luận án áp dụng trực tiếp ứng dụng tường lửa dạng phần mềm cụ thể: Tích hợp thuật tốn MWP phân loại gói IP nguồn IP đích; Xây dựng module loại sớm dựa phép kết hợp COM XOR; Xây dựng công cụ kiểm tra phát xung đột tập luật tường lửa với CDT, công cụ không cài đặt trực tiếp tường lửa mà tiện ích cho phép người quản trị mạng tối ưu hóa tập luật triển khai thiết bị tường lửa Việc áp dụng đề xuất luận án thiết bị tường lửa thương mại gặp khó khăn việc triển khai bổ sung module phần mềm thiết bị đóng Tuy nhiên điều hồn tồn khả áp dụng thiết bị tường lửa chuyên dụng nghiên cứu phát triển Đây hướng nghiên cứu luận án Những đóng góp luận án: Đề xuất thuật tốn phân loại gói tin trường với cấu trúc đa nhánh ưu tiên MWP 112 Đề xuất kỹ thuật loại sớm gói tin chống lại kiểu công DoS vào luật mặc định tường lửa với phép kết hợp (COM XOR) dựa cấu trúc cân Đề xuất cấu trúc CDT phát xung đột tập luật tường lửa Hướng nghiên cứu tiếp theo: Việc phát triển tường lửa hiệu cao (với đầy đủ tiêu chí đánh giá) nhiệm vụ khó khăn Nhiệm vụ đặc biệt quan trọng mục đích an ninh an tồn cho hệ thống mạng lĩnh vực anh ninh quốc phòng Các nghiên cứu luận án tập trung vào phát triển thuật toán kỹ thuật lĩnh vực phần mềm Vì vậy, nghiên cứu thiết kế phần cứng để triển khai thuật tốn đề xuất cách hiệu cần tiếp tục thực 113 DANH MỤC CÁC CƠNG TRÌNH KHOA HỌC ĐÃ CÔNG BỐ Vũ Duy Nhất, Nguyễn Mạnh Hùng (2014), “B-tree based two- dimensional early packet rejection technique against DOS traffic targeting firewall default secutity rule”, The 2014 Seventh IEEE Symposium on computational Intelligence for Security and Defense Applications Vũ Duy Nhất, Nguyễn Mạnh Hùng (2015), “Early packet rejection based on combining multiple fields using XOR operator with balanced tree”, Tạp chí IJCSNS International Journal of Computer Science and Network Security (Journal ISSN : 1738-7906), p22-29, VOL.15 No.10, October 2015 Vũ Duy Nhất, Nguyễn Mạnh Hùng(2016), “Đề xuất thuật toán phát xung đột lọc hai chiều thiết bị mạng”, Hội thảo Quốc gia lần thứ 19 “Một số vấn đề chọn lọc CNTT truyền thông” Vũ Duy Nhất, Nguyễn Mạnh Hùng(2017), “A packet classification algorithm on Multi-way Priority Trie”, Tạp chí Tin học Điều khiển số 4/2016 Vũ Duy Nhất, Nguyễn Mạnh Hùng(2018), “Đề xuất cấu trúc phát xung đột tập luật tường lửa”, Tạp chí Cơng nghệ thơng tin & Truyền thơng (Chun san “Các cơng trình nghiên cứu, phát triển ứng dụng công nghệ Thông tin Truyền thông”) tháng 12/2018 114 Tiếng Anh: [1] TÀI LIỆU THAM KHẢO a, H L., Soohyun Lee a, & Earl E Swartzlander Jr (2012) A new hierarchical packet classification algorithm Computer Networks 56, 56(13), 3010– 3022 [2] Abbes, T., Bouhoula, A., & Rusinowitch, M (2016) Detection of firewall configuration errors with updatable tree International Journal of Information Security, 15(3), 301–317 [3] Abedin, M., Nessa, S., & Khan, L (2006) Detection and Resolution of Anomalies in Firewall Policy Rules DBSEC'06 Proceedings of the 20th IFIP WG 11.3 working conference on Data and Applications Security Sophia Antipolis, France [4] Accardi, K., Tony Bock, Frank Hady, & Jon Krueger (2005) Network processor acceleration for a Linux* netfilter firewall Architecture for networking and communications systems, 2005 ANCS 2005 Princeton, NJ, USA [5] Acharya, S., Wang, J., Ge, Z., Znati, T F., & Greenberg, A (2006) Traffic-aware firewall optimization strategies In IEEE International Conference on Communications (ICC) 2006 Istanbul, Turkey [6] Ajami, R., & Anh Dinh (2011) Design a hardware network firewall on FPGA Electrical and Computer Engineering (CCECE) 24th Niagara Falls, ON, Canada [7] Al-shaer, & Hamed, E (2004) Modeling and management of firewall policies IEEE Trans Netw Serv Manag., 1(1), 2–10 [8] Al-shaer, E., Hamed, H., Boutaba, R., & Hasan, M (2005) Conflict classification and analysis of distributed firewall policies IEEE Journal on Selected Areas in ommunications (JSAC), 23(10), 2069 - 2084 [9] Al-Shear, E., El-Atawy, A., & Tran, T (2009) Adaptive Early Packet filtering for Defending firewalls against DoS Attack Proceeding of IEEE INFOCOM [10] Antichi, G., Callegari, C., Moore, A W., Giordano, S., & Anastasi, E (2014) JA-trie: Entropy-Based Packet Classification IEEE 15th International Conference on High Performance Switching and Routing (HPSR) Vancouver, BC, Canada [11] Avudaiammal, R., & A Swarnalatha (2015) Implementation of scalable packet classification algorithm using embedded network processor International Journal of Applied Engineering Research (IJAER), 10(66), 62-65 [12] 31(3) Ayuso, P N (2006) Netfilter's Connection Tracking System ;login USENIX, 115 [13] B, V., G, V., & N, V T (2010) EffiCuts: optimizing packet classification for memory and throughput ACM SIGCOMM Computer Communication Review – SIGCOMM New Delhi, India [14] Baboescu, F., & G Varghese (2001) Scalable Packet Classification In Proceedings of ACM SIGCOMM '01 San Diego, California, USA [15] Baboescu, F., S Singh, & G Varghese (2003) Packet Classification for Core Routers: Is there an alternative to CAMs IEEE Infocom, 1(1), 53-63 [16] Chao, H J (2002, September) Next generation routers IEEE, 90(9), 1518–1588 [17] D.E, T., & Turner J.S (2005) Scalable packet classification using distributed crossproducing of field labels 24th Annual Joint Conference of the IEEE Computer and Communications Societies, Proceedings IEEE Miami, FL, USA [18] Dixit, M., Anuja Kale, Madhavi Narote, & Sneha Talwalkar (2012) Fast Packet Classification Algorithms International Journal of Computer Theory and Engineering, 4(6) [19] Duan, Q., & Al-Shaer, E (2013) Traffic-aware dynamic firewall policy management: techniques and applications IEEE Communications Magazine, 51(7), 73 - 79 [20] E, T D (2005) Survey and Taxonomy of Packet Classification Techniques ACM Computing Surveys (CSUR), 37(3), 238-275 [21] Fulp, E W (2006) Parallel Firewall Designs for High-Speed Networks 25th IEEE International Conference on Computer Communications Barcelona, Spain [22] Geier, E (2011, September 6) Intro to Next Generation Firewalls [23] Gong, X.-Y., Wen-Dong Wang, & Shi-Duan Cheng (2010) ERFC: An Enhanced Recursive Flow Classification Algorithm Journal of Computer Science and Technology, 25(5), 958–969 [24] Gupta, P (2000) Algorithms for routing lookups and packet classification Stanford University [25] Gupta, P., & N McKeown (2001) Algorithms for packet classification IEEE Network 15, 15(2), 24 - 32 [26] Hager, S., Frank Winkler, Björn Scheuermann, & Klaus Reinhardt (2014) MPFC: Massively Parallel Firewall Circuits Local Computer Networks (LCN), 2014 IEEE 39th Conference on Edmonton, AB, Canada 116 [27] Hamed, H., & Al-Shaer, E (2006) Dynamic rule ordering optimization for high-speed firewall filtering ASIACCS '06 Proceedings of the 2006 ACM Symposium on Information, computer and communications security Taipei, Taiwan [28] Hamed, H., A El-Atawy, & E Al-Shaer (2006) Adaptive Statistical Optimization Techniques for Firewall Packet Filtering IEEE INFOCOM, (pp 112) Barcelona, Spain [29] Hari, A., S Suri, G., a., & Parulkar (2000) Detecting and resolving packet filter conflicts INFOCOM 2000 Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies Tel Aviv, Israel [30] Hu, H., Ahn, G.-j., & Kulkarni, K (2012) Detecting and Resolving Firewall Policy Anomalies IEEE Transactions on dependable and secure computing, 9(3), 318 - 331 [31] Jedhe, G., Ramamoorthy, A, & Varghee, K (2008) A Scalable High Throughput Firewall in FPGA 16th International Symposium on FieldProgrammable Custom Computing Machines Stanford, CA, USA [32] KanniyaRaja, N., K Arulanandam, & B Raja Rajeswari (2012) Centralized Parallel Form of Pattern Matching Algorithm in Packet Inspection by Efficient Utilization of Secondary Memory in Network Processor International Journal of Computer Applications, 40(5), 12-17 [33] Karimi, K., Arash Ahmadi, Mahmood Ahmadi, & Bahram Bahrambeigy (2013) Acceleration of IPTABLES Linux Packet Filtering using GPGPU Symposium on Computer Science and Software Engineering (CSSE) Tehra, Iran [34] Khatami, R I., & Mahmood Ahmadi (2013) High Throughput Multi Pipeline Packet Classifier on FPGA Computer Architecture and Digital Systems (CADS), 17th CSI International Symposium Tehran, Iran [35] Koht-arsa, K., & Surasak Sanguanpong (2008) A practical approach for building a parallel firewall for ten gigabit Ethernet backbone 42nd Annual IEEE International Carnahan Conference – ICCST Prague, Czech Republic [36] Kwok, A., & Poon, C K (2009) Two-dimensional packet classification and filter conflict resolution in the Internet Theory Comput Syst, 44(3), 289–303 [37] Lai, C.-y., & Wang, P.-c (2014) Fast and Complete Conflict Detection for Packet Classifiers IEEE systems journal, 11(2), 1137 - 1148 117 [38] Lakshman, T., & D.Stidialis (1998) High speed policy-based packet forwarding using efficient multi-dimensional range matching In Proc.ACM Sigcomm’98 Vancouver, British Columbia, Canada [39] Lee, C.-L., Lin, G.-Y., & Chen, Y.-C (2012) An efficient conflict detection algorithm for packet filters IEICE Trans Inf Syst, 95-D(2), 472–479 [40] Li, J., Haiyang Liu, & Karen Sollins (2002) Scalable Packet Classification Using Bit Vector Aggregating and Folding ACM SIGCOMM Computer Communication, 32(3) [41] Li, X., ZhenZhou Ji, & MingZeng Hu (2005) Stateful Inspection Firewall Session Table Processing Information Technology: Coding and Computing, 2005 ITCC 2005 Las Vegas, NV, USA [42] Lim, H., N, L., G, J., J, L., Y, C., & C, Y (2013) Boundary Cutting for Packet Classification IEEE/ACM Transactions on Networking, 22(1), 443 - 456 [43] Lim, H., Yim, C., & Swartzlander, E E (2010) Priority Tries for IP Address Lookup IEEE Transactions on computers, 59(6), 784 - 794 [44] Lu, H., & Sahni, S (2005) Conflict detection and resolution in two- dimensional prefix router tables IEEE/ACM Trans Netw, 13(6), 1353–1363 [45] Maindorfer, C (2009) Algorithms and data structures for IP lookup, packet classification and conflict detection Freiburg, Germany: Ph.D dissertation Univ Freiburg [46] McKeown, N., T Anderson, H Balakrishnan, G Parulkar, & L Pe (2008) OpenFlow: Enabling innovation in campus networks ACM SIGCOMM Computer Communication Review, 38(2), 69–74 [47] Messmer, E (1999, September 7) New tool blocks wily e-comm hacker tricks CNN Retrieved from http://edition.cnn.com/TECH/computing/9909/07/ecomm.hack.idg/index.html [48] Mohan, R., Yazidi, A., Feng, B., & Oommen, B J (2016) Dynamic Ordering of Firewall Rules Using a Novel Swapping Window-based Paradigm ICCNS '16 Proceedings of the 6th International Conference on Communication and Network Security Singapore, Singapore 118 [49] Nassar, S., Ayman El-Sayed, & Nabil Aiad (2010) Improve the network performance by using parallel firewalls NC2010: 6th International Conference on Networked Computing Gyeongju, South Korea [50] Neji, N B., & Adel Bouhoula (2011) NAF Conversion: An Efficient Solution for the Range Matching Problem in Packet Filters IEEE 12th International Conference on High Performance Switching and Routing [51] Neji, N., & Bouhououla, A (2009) Dynamic Scheme for Packet Classification Using Splay trees Proceedings of the International Workshop on Computational Intelligence in Security for Information Systems CISIS’08 [52] OpenFlow Foundation, “OpenFlow Switch Specification, Version 1.0.0 (n.d.) Retrieved 2009, from http://www.openflowswitch.org/ documents/openflowspec-v1.0.0.pdf [53] Oppliger, R (1977) Internet Security: FIREWALLS and BEYOND Communications of the ACM, 40(5), 92-102 [54] P, G., & Nick McKeown (1999) Packet classification on multiple fields Proceedings of the conference on Applications, technologies, architectures, and protocols for computer communication Cambridge, Massachusetts, USA [55] P Gupta, & N McKeown (1999) Packet Classification using Hierarchical Intelligent Cuttings Hot Interconnects VII, (pp 34-41) [56] Release, C P (1994) Check Point Introduces Revolutionary Internet Firewall Product Providing Full Internet Connectivity with Security Wins 'BEST OF SHOW' Award at Net world Inter [57] S Thanasegaran, Y Yin, Y Tateiwa, & Y Katayama (2011) A topology- based conflict detection system for firewall policies using bit-vector-based spatial calculus IJCNS, 4(11), 683–695 [58] Sahoo, A K., Amardeep Das, & Mayank Tiwary (2014) Firewall engine based on Graphics Processing Unit Advanced Communication Control and Computing Technologies (ICACCCT),IEEE Ramanathapuram, India [59] Shinder, T W (2007) The Best Damn Firewall Book Period 2nd Edition lsevier [60] Sleator, D., & Tarjan, R (1985) Self Adjusting Binary Search Trees Journal of the ACM, 32(3), 652-686 119 [61] Srinivasan, T., Nivedita, M., & Mahadevan, V (2006) Efficient Packet Classification Using Splay Tree Models IJCSNS International Journal of Computer Science and Network Security, 6(5), 28-35 [62] Srinivasan, V., G Varghese, S Suri, & M Waldvogel (1998) Fast and scalable layer four switching SIGCOMM '98 Proceedings of the ACM SIGCOMM '98 conference on Applications, technologies, architectures, and protocols for computer communication Vancouver, British Columbia, Canada [63] Taylor, D E., & Jonathan S Turner (2007) Classbench: A packet classification benchmark IEEE/ACM Transactions on Networking , 15(3), 499 511 [64] The netfilter.org project (2014) Retrieved from http://www.netfilter.org/ [65] Trabelsi, Z., & Zeidan, S (2012) Multilevel early packet filtering technique based on traffic statistics and splay trees for firewall performance improvement Communications (ICC), 2012 IEEE International Conference Ottawa, ON, Canada [66] Trabelsi, Z., Zhang, L., & Zeidan, S (2011) Packet flow histograms to improve firewall efficiency Information, Communications and Signal Processing (ICICS) 2011 8th International Conference Singapore, Singapore [67] Trabelsi, Z., Zhang, L., & Zeidan, S (2014) Dynamic rule and rule-field optimisation for improving firewall performance and security IET Information Security, 8(4), 250 - 257 [68] Unified Threat Management Appliances and Identity-based Security: The Next Level in Network security (September 2007) [69] Varghese, G (2004) In Network algorithms: An interdisciplinary approach to designing fast networked (p 245) Morgan Kaufmann Series in Networking [70] Vasiliadis, G (2014) GASPP: a GPU-accelerated stateful packet processing framework USENIX ATC'14 Proceedings of the 2014 USENIX conference on USENIX Annual Technical Conference Philadelphia, PA [71] Vasiliadis, G., Lazaros Koromilas, Michalis Polychronakis, & Sotiri (2016) Design and Implementation of a Stateful Network Packet Processing Framework for GPUs IEEE/ACM Transactions on Networking, 25(1), 610 - 623 [72] Wagner, J M., Weirong Jiang , & Viktor K Prasanna (2009) A scalable pipeline architecture for line rate packet classification on FPGAS IASTED International 120 Conference on Parallel and Distributed Computing and Systems Cambridge, MA; United States [73] Waldvogel, M., Varghese, G., Turner, J., & Plattner, B (1997) Scalable High Speed IP Routing Lookups In Proceedings of the ACM SIGCOMM (SIGCOMM ’97) Cannes, France [74] Wang, S Q., & Hai Yan Chen (2014) Research on ASIC Firewall Based on State Detection Technology Trans Tech Publications Inc, 644-650(Applied Mechanics & Materials), 3283-3286 [75] Woo, T (2002) A modular approach to packet classification: algorithms and results INFOCOM 2000 Nineteenth Annual Joint Conference of the IEEE Computer and Communications Societies el Aviv, Israel [76] Wu, Q.-X (2012) The Research and Application of Firewall based on Netfilter Elsevier - Physics Procedia, 25, 1231 – 1235 [77] Xu, B., D Jiang, & J Li (2005) HSM: A fast packet classification algorithm 19th International Conference on Advanced Information Networking and Applications (AINA’05) Taipei, Taiwan, Taiwan [78] Y, L., K, X., & S, L (2008) Acceleration of decision tree searching for IP traffic classification ANCS '08 Proceedings of the 4th ACM/IEEE Symposium on Architectures for Networking and Communications Systems San Jose, California [79] Yuan, L., Chen, H., Mai, J., Chuah, C., Su, Z., Mohapatra, P., & Davis, C (2006) Fireman: A Toolkit for Firewall Modeling and Analysis Security and Privacy, 2006 IEEE Symposium on Berkeley/Oakland, CA, USA [80] Zhi Liu, Xiang Wang, Baohua Yang, & Jun Li (2015) BitCuts: Towards Fast Packet Classification for OrderIndependent Rules ACM Conference on Special Interest Group on Data Communication London, United Kingdom [81] Zwicky, E D., Simon Cooper, & D Brent Chapman (2000) Building Internet Firewalls ISBN: 1-56592-871-7 ... trình phân loại gói tin tường lửa nâng cao hiệu thiết bị Luận án thực nhằm vào mục tiêu: Đề xuất kỹ thuật phân loại gói tin phát xung đột tập luật tường lửa nhằm nâng cao tốc độ phân loại gói tin. .. quan tường lửa; Hiệu tường lửa; Quá trình phân loại gói tin tường lửa; Mối quan hệ hiệu tường lửa với phân loại gói tin thiết bị Trên sở phân tích hướng nghiên cứu nhằm nâng cao hiệu tường lửa. .. HỌC VÀ CÔNG NGHỆ QUÂN SỰ Vũ Duy Nhất NGHIÊN CỨU ĐỀ XUẤT MỘT SỐ THUẬT TỐN PHÂN LOẠI GĨI TIN VÀ PHÁT HIỆN XUNG ĐỘT NHẰM PHÁT TRIỂN TƯỜNG LỬA HIỆU NĂNG CAO Chuyên ngành: Cơ sở Toán