I ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA O BÁO CÁO TỔNG KẾT KẾT QUẢ ĐỀ TÀI KHCN CẤP TRƯỜNG Tên đề tài: Thiết kế tiền xử lý cho hệ thống phát xâm nhập mạng NIDS tốc độ cao Mã số đề tài: T-KHMT-2013-22 Thời gian thực hiện: 05/2013 – 05/2014 Chủ nhiệm đề tài: Trần Huy Vũ Thành phố Hồ Chí Minh – Tháng ……/20… Author: Tran Huy Vu II Danh sách cán tham gia thực đề tài (Ghi rõ học hàm, học vị, đơn vị công tác gồm mơn, khoa/ phịng ban) TS Trần Ngọc Thịnh ThS Trần Huy Vũ ThS Trần Trung Hiếu Author: Tran Huy Vu III LỜI MỞ ĐẦU Xâm nhập mạng bất hợp pháp, hay hiểu rộng vi phạm sách an ninh hệ thống mạng, mối đe dọa lớn an tồn thơng tin Hàng năm, hành động xâm nhập làm thiệt hại lên đến hàng tỷ USD Các thiệt hại bao gồm phá hoại, đánh cắp liệu, nghẽn mạch mạng, v.v… chí cơng cơng cụ bảo mật sẵn có Sự xâm nhập ngày gia tăng có sẵn nhiều công cụ công với độ phức tạp, tinh vi gia tăng theo thời gian, dễ dàng làm suy yếu công cụ bảo mật tường lửa Thông thường, hệ thống mạng bảo vệ tường lửa, cung cấp chức việc giám sát lọc mức phần đầu gói liệu (packet header) Tuy nhiên, tất xâm nhập nguy hiểm bị ngăn chặn Điều đòi hỏi giải pháp an ninh mạng tốt Vì vậy, hệ thống phát xâm nhập mạng (Network Intrusion Detection – NIDS) xa thêm bước lọc mức sâu gói liệu mạng để tìm kiếm dấu hiệu cơng xâm nhập mạng NIDS khác tường lửa chỗ cho phép kiểm tra mức sâu nội dung gói liệu (packet payload) Một cách tổng quát, phần lớn NIDS tìm kiếm dựa tập quy luật (rules) có sẵn Những qui luật thường bao gồm thông tin TCP/IP header thường có mẫu (patterns) loại hình cơng worm, Trojan, v.v… Có thể nói, hệ thống NIDS ngày chứng tỏ vị lĩnh vực an ninh mạng Các hệ thống làm tốt việc phát ngăn chặn xâm nhập mạng bất hợp pháp, nhiên tội phạm lợi dụng kẽ hở hệ thống giao thức mạng, truyền không thứ tự, để vượt qua NIDS Môt phương pháp phổ biến mà kẻ công mạng hay sử dụng lợi dụng việc hỗ trợ truyền lại giao thức TCP để thực vượt tường lửa Hơn nữa, để Author: Tran Huy Vu IV hệ thống NIDS đủ mạnh để theo dõi đường truyền tốc độ cao, chúng cần thực số phần cốt lõi phần cứng mà FPGA lựa chọn thích hợp Với lí trên, nhóm thực đề tài tâm tìm hiểu xây dựng tiền xử lý cho hệ thống NIDS FPGA Bộ tiền xử lý có nhiệm vụ chuẩn hóa tất dịng liệu vào hệ thống NIDS, đảm bảo kẻ công sử dụng kỹ thuật vượt tường lửa thông dụng để vượt qua Đồng thời nhóm thực giải mã trước liệu tầng ứng dụng để hỗ trợ NIDS không thực luật mã hóa ứng dụng Chủ nhiệm dự án Trần Huy Vũ Author: Tran Huy Vu V Mục lục Danh sách cán tham gia thực đề tài II LỜI MỞ ĐẦU III Danh mục hình ảnh VII Danh mục bảng biểu VIII Chương Giới thiệu đề tài - - 1.1 Tính cấp thiết đề tài - - 1.2 Đối tượng vấn đề nghiên cứu - - 1.3 Tình hình nghiên cứu ngồi nước - - 1.4 Thiết kế ý niệm - - Chương Kiến thức liên quan - - 2.1 Hệ thống phát xâm nhập IDS - - 2.2 Chuẩn hóa dòng TCP - - 2.3 FPGA board NetFPGA - 12 - 2.3.1 Board NetFPGA - 13 - 2.3.2 IP Core TEMAC - 14 - 2.3.3 Phát triển ứng dụng với thiết kế mẫu - 15 - Chương Thiết kế tiền xử lý - 16 - 3.1 Cấu trúc liệu - 16 - 3.2 Chuẩn hóa dòng liệu - 19 - 3.3 Hiện thực - 20 - Chương Đánh giá hệ thống - 24 - Author: Tran Huy Vu VI 4.1 Mô hình triển khai - 24 - 4.2 Kết thực nghiệm - 25 - 4.2.1 Băng thông - 25 - 4.2.2 Khả hỗ trợ nhiều kết nối đồng thời (kết hợp NIDS) - 26 - 4.2.3 Bộ nhớ động - 27 - Chương Kết luận hướng phát triển - 28 - TÀI LIỆU THAM KHẢO - 29 - Author: Tran Huy Vu VII Danh mục hình ảnh Hình 1-1 Tấn cơng vượt tường lửa - Hình 1-2 Tấn cơng dạng mã hóa URL - Hình 1-3 Thiết kế ý niệm mơ hình vị trí áp dụng tiền xử lý - Hình 2-1 Mơ hình triển khai hệ thống NIDS - Hình 2-2 Mơ hình triển khai hệ thống HIDS - Hình 2-3 Các trường hợp truyền lại không khớp biên - 10 Hình 2-4 Mơ hình triển khai hệ thống HIDS - 13 Hình 3-1 Cấu trúc liệu lưu thơng tin kết nối - 18 Hình 3-2 Cấu trúc liệu hash list lưu phần tử hash - 19 Hình 3-3 Các trường hợp áp dụng XORMAC hash - 19 Hình 3-4 Sơ đồ khối tiền xử lý - 21 Hình 3-5 Phần lõi tiền xử lý - 22 Hình 4-1 Mơ hình kiểm nghiệm tiền xử lý tích hợp với NIDS - 24 Hình 4-2 Băng thơng hệ thống (hệ thống đáp ứng mức này) - 25 Hình 4-3 Khả quản lý nhiều luồng đồng thời sau tích hợp - 26 Hình 4-4 Bộ nhớ động sử dụng hệ thống - 27 - Author: Tran Huy Vu VIII Danh mục bảng biểu No table of figures entries found Author: Tran Huy Vu -1- Chương Giới thiệu đề tài 1.1 Tính cấp thiết đề tài Ngày mạng máy tính trở thành phần thiếu sống, từ kinh tế, giáo dục, đến quân ứng dụng mạng máy tính vào hoạt động Thương mại điện tử điển hình cho ứng dụng mạnh mẽ mạng máy tính vào kinh doanh, phủ điện tử nhiều nước triển khai Chính quan trọng mạng máy tính mà trở thành thành phần thu hút nhiều công nhất, việc áp dụng giải pháp bảo mật cho mạng máy tính trở thành vấn đề cấp thiết hết Các báo cáo thống kê tội phạm thông tin, mà chủ yếu tội phạm công mạng, tăng đột biến năm gần Báo cáo tổ chức cảnh sát quốc tế cho thấy tổng thiệt toàn cầu hại tội phạm thông tin gây năm 2011 vượt 388 tỷ đơ-la, tính thiệt hại đánh cắp sở hữu trí tuệ số lên tới nhiều ngàn tỉ đơ-la Loại tội phạm (còn gọi Cybercrime [1]) thường sử dụng máy tính mạng để thực vụ xâm nhập bất hợp pháp làm tê liệt hệ thống máy chủ công DoS Các xâm nhập mạng thực nhiều giao thức khác nhau; nhiên giao thức TCP/IP sử dụng phổ biến nhất, báo cáo [2][3] cho thấy 85% liệu mạng sử dụng giao thức TCP/IP Để bảo vệ hệ thống thông tin trước nguy công mạng, người ta thực phát (hay phòng chống) xâm nhập mạng NIDS – Network Intrusion/Prevention System Những NIDS thường làm việc theo kiểu so trùng mẫu, phát chuỗi liệu so trùng với mẫu công, NIDS đưa tín hiệu cho biết phát có xâm nhập Hơn nữa, gần có nhiều nghiên cứu thực hệ thống NIDS phần cứng ASIC hay FPGA Các NIDS có khả hoạt động Author: Tran Huy Vu -2- tốc độ cao, nhiên, khó có khả chống chọi với kỹ thuật vượt tường lửa thực luật phát kỹ thuật khó, mà phải phát biện pháp thống kê quản lý trạng thái dòng liệu Một kỹ thuật thường sử dụng để thực việc vượt tường lửa sử dụng chế truyền lại giao thức TCP Kẻ cơng gửi gói giả có nội dung an tồn khơng có ý nghĩa thiết lập thơng số để gói qua hệ thống NIDS khơng thể đến hệ thống đích Sau kẻ cơng gửi gói khác ID thông số nội dung chứa mã độc, thiets lập thơng số tìm đường để gói đến máy đích Khi hệ thống NIDS nhận gói truyền lại tưởng nhầm gói trước nên khơng phát cơng Hình 1-1 mơ tả tình Cannot reach victim First-trans (safe) Hacker machine X NID S Retransmittion (malicious content) Victim machine Reach victim Hình 1-1 Tấn cơng vượt tường lửa Ngồi ra, số hệ thống NIDS khơng thực luật cho liệu mã hóa tầng ứng dụng HTTP, FTP, SSH Như NIDS quét liệu sau mã hóa, mẫu cơng mã hóa nên khơng thể phát hình 1-2 Original: GET /etc/passwd HTTP/1.0 URL encoded: GET%20%2Fetc%2Fpasswd%20HTTP%2F1.0 Hình 1-2 Tấn cơng dạng mã hóa URL Author: Tran Huy Vu - 18 - Các gói tin khơng thứ tự đệm lại Tuy nhiên gói tin gây nhiều lỗ trống đồng thời luồng gói tin bị hủy Src IP Src Port Flags Dst Port Buffer address Timestamp Segment hash list Dst IP Sequence ACK number Next record Hình 3-1 Cấu trúc liệu lưu thông tin kết nối Cuối cùng, để quản lý giá trị hash gói tin, dùng cấu trúc liệu danh sách liên kết hình 3-2 Ở chúng tơi đề xuất phiên bản, phiên chạy độc lập, xử lý trường hợp truyền lại gói khơng thứ tự, nghĩa chấp nhận lỗ trống dòng TCP Phiên quản láy hai danh sách liên kết cho dòng, gồm có: Segment hash list danh sách lưu giá trị hash gói đến lần đầu, pending hash list danh sách lưu giá trị hash gói truyền lại khơng khớp biên, giá trị hash phần không khớp biên Đối với phiên ghép nối với TCP reassemble (phiên sử dụng), gói tin đảm bảo thứ tự qua chế xếp TCP reassemble, để tiết kiệm nhớ, Pending hash list ghép chung với Segment hash list hình thành cấu trúc hình bên Mỗi phần tử danh sách chứa số sequence đoạn liệu tương ứng, tầm sequence (range) cho biết độ dài tương ứng gói truyền lần đầu, Giá trị hash, tầm sequence độ dời gói truyền lại tương ứng Cuối địa phần tử hash Author: Tran Huy Vu - 19 - Connection Record Sequence Number Range Resv Hash value Segment Partial hash value Pending hash list Offset hash list Next element Range Hình 3-2 Cấu trúc liệu hash list lưu phần tử hash 3.2 Chuẩn hóa dịng liệu Như trình bày trên, việc kiểm tra tính quán gói tin truyền lại thực phương pháp so sánh giá trị hash Hàm XORMAC hash sử dụng để tính giá trị hash có độ tin cậy cao, dễ thực phần cứng đặc biệt cho phép tính hash cách tăng trưởng đầy đủ Một phân tích nhỏ hàm XORMAC sử dụng hàm hạt nhân PRF (Pseudo-Random Function) hàm hash khác Chúng tơi chọn hàm Shift-Add-Xor làm PRF tính hiệu chứng minh nhiều thực tế, dễ thực phần cứng Chúng chọn hàm XORMAC phiên counter độ tin cậy cao dễ thực phân tích trước [H0 n] [H0 n] [H0 n] C (1) (2) [Xk+1 n] X X [H0 k] [Xk+1 n] [H0 n] (3) C [H0 n] [Hp n] [H0 q] [H0 n] [H0 n] [H0 k] (4) C C [H0 k] [H0 n] [H0 n] C [Hk+1 p] Linked list (5) [Hn+1 m] (6) [Hn+1 k] Hình 3-3 Các trường hợp áp dụng XORMAC hash Author: Tran Huy Vu - 20 - Cơ chế áp dụng hàm XORMAC hash vào hệ thống chúng tơi mơ tả hình 3-3 Đối với trường hợp truyền lại khớp biên (1), hệ thống đơn giản so sánh giá trị hash gói tin với phần tử tương ứng segment hash list Nếu giống gói đến gói truyền lại qn, khơng hủy gói tin nội dung không quán với lần truyền Trường hợp (2), (3) trường hợp gói truyền lại nhỏ gói ban đầu lấp đầy khoảng trống so với gói truyền lần đầu Dựa vào số sequence, hệ thống xác định số thứ tự block Nhờ vào đặc tính XORMAC, tính giá trị hash từ giá trị hash phần liệu trước liệu gói đến Giá trị hash sau so sánh để kiểm tra tính quán Trường hợp (4), gói truyền lại chưa lấp đầy khoảng trống, giá trị hash đưa vào Pending hash list Tuy nhiên trường hợp xử lý phiên Normalizer độc lập, phiên ghép nối với TCP reassembly, gói truyền lại phần mà gây lỗ trống gói truyền lại bị drop Trường hợp (5) gói truyền lại lớn gói ban đầu, giá trị hash phần liệu tương ứng gói ban đầu so sánh để kiểm tra Phần liệu dư tạo thành phần tử hash Segment hash list Trường hợp (6) xảy gói truyền lần đầu chứa lỗ trống Trong trường hợp phần liệu tương ứng gói đầy đủ kiểm tra, phần liệu tạo phần tử Segment hash list phần lại (chưa đầy) thêm vào Pending hash list Tuy nhiên, trường hợp (6) khơng xảy kết hợp với module TCP reassembly thứ tự gói bảo đảm thứ tự 3.3 Hiện thực Hình 3-4 sơ đồ khối hệ thống Network manager module nhận giải mã gói tin đến, trích xuất trường header gói tin để gủi đến Flow state manager, địa IP, cổng nguồn , đích, số sequence, ACK, … Các gói tin sau giải mã chuyển đến output buffer để lưu tạm, chờ kết Author: Tran Huy Vu - 21 - để hủy gói hay chuyển tiếp Nó thực FIFO đặc biệt, cho phép đọc byte chuyển FIFO thường, đồng thời cho phép hủy nguyên gói tin, nhờ mà kết từ module khác trả yêu cầu hủy gói hay chuyển tiếp thực cách nhanh chóng khơng bị delay nhiều Module Memory controller module quản lý nhớ, module làm hai nhiệm vụ thực thi yêu cầu đọc, ghi nhớ với theo burst với độ dài burst tối đa lên đến 1KB lần đọc/ghi Chức thứ hai cấp phát giải phóng nhớ Bộ nhớ DRAM chia thành vùng: vùng hash để lưu connection record; vùng cấp phát động với block 32-byte dùng cho tag quản lý liệu không thứ tự dùng lưu danh sách hash cho phần TCP normalization; vùng cấp phát động với block 1KB dùng để lưu gói tin khơng thứ tự TCP Normalizer Network manager Packet FIFO TCP Processing Flow state manager SEQ processor ACK processer Main Memory Hình 3-4 Sơ đồ khối tiền xử lý Module Flow state manager module lớn phức tạp hệ thống, thành phần quan trọng Nó quản lý trạng thái flow xác định xem gói gói thứ tự, gói truyền lại, hay gói khơng thứ tự Nó quản lý việc xác nhận bước bắt tay, việc đóng kết nối Việc quản lý connection record thực bảng hash Khi gói SYN đến, Author: Tran Huy Vu - 22 - connection record tạo dựa thơng tin header gói tin Thơng tin định danh kết nối thơng tin định danh connection record gồm: địa IP nguồn , địa IP đích, port nguồn, port đích Do việc xử lý IP fragmentation có nhiều nét tương đồng với TCP reassembly, đồng thời port xem la port reserved nên dùng để IP4 fragmentation record Trong trường hợp này, port đích số Identification gói IP4 Các thơng tin định danh gồm trường dùng để tính giá trị hash, giá trị dùng làm địa DRAM để lưu connection record Khi gói đến, Flow state manager so sánh trường Sequence ACK gói tin với trường tương ứng connection record để xác định trạng thái gói tin Đối với gói thứ tự khơng thứ tự, hay gói IP4 bị phân mảnh, gửi yêu cầu qua Reassembler để xử lý Đối với gói truyền lại, gửi yêu cầu qua Normalization để xử lý Khi gói có trường ACK lớn ACK connection record, yêu cầu Normalization thực thi ACK promotion để giải phóng bớt hash list Normalizer Consistence Acknoledge Hình 3-5 Phần lõi tiền xử lý Module Normalizer module thực TCP normalization gồm hai chức chính: Kiểm tra tính qn xử lý ACK Khi gói đến xác định gói thứ tự, Flow state manager yêu cầu module thêm phần tử hash gói tin vào Segment hash list Nếu gói gói thiếu segment khơng thứ tự lưu nhớ Reassembler yêu cầu module cập nhật lại phần tử Author: Tran Huy Vu - 23 - hash tương ứng với gói lưu.Nếu gói gói truyền lại, giá trị hash so sánh với giá trị hash phần tử tương ứng mô tả phần thiết kế với XORMAC Module thực chức ACK promotion Khi gói đến có tín hiệu ACK số ACK number lớn số ACK tích lũy hệ thống cập nhật lại số ACK giải phóng tất phần tử hash có số sequence nhỏ số ACK Author: Tran Huy Vu - 24 - Chương Đánh giá hệ thống 4.1 Mơ hình triển khai Hệ thống triển khai board NetFPGA với cổng giao tiếp Ethernet 1Gbps, cổng Eth0 nối với mạng 1, cổng Eth3 nối với mạng Mạng mạng hai mạng nhỏ thiết lập hai switch Hệ thống kiểm tra cách cho máy mạng gửi liên tục liệu công sang máy mạng Các liệu đo dựa gói có độ dài khác nhau, phần trăm công khác nhau, phần trăm không thứ tự khác Vì board NetFPGA sử dụng giao tiếp PCI nên phải gắn máy chủ Kết xem trực tiếp qua lệnh giao tiếp với board từ máy chủ Hệ thống thử nghiệm tích hợp với NIDS NetFPGA nhóm nghiên cứu Đại học Bách Khoa TPHCM thực Kết cho thấy tiền xử lý thực giúp cho hệ thống NIDS tránh công vượt tường lửa Hình 4-1 Mơ hình kiểm nghiệm tiền xử lý tích hợp với NIDS Author: Tran Huy Vu - 25 - 4.2 Kết thực nghiệm 4.2.1 Băng thông Để kiểm tra khối Normalization, tiến hành kiểm tra tốc độ tiêu tốn nhớ Đầu tiên tốc độ khối Normalization, hình 4-2 thể tốc độ tối đa mà máy generate tạo ra, hệ thống chúng tơi xử lý xác tất gói truyền lại Chúng tơi tiến hành kiểm tra với nhiều loại gói tin có chiều dài payload khác Có điểm lạ chiều dài gói tin 500 1000, tốc độ report máy tạo gói tin thấp bình thường Điều chương trình sinh gói tin máy tạo gói sử dụng cấu trúc liệu mà khơng hiệu số chiều dài gói tin định; chúng tơi thử kiểm tra cách gắn vào máy khác gửi mẫu liệu tốc độ thay đổi Khi chúng tơi thay đổi gói có chiều dài khác (dù độ khác nhỏ) tốc độ thay đổi Hình cho thấy Normalization chúng tơi đạt tốc độ xấp xỉ 1Gbps 1200 1000 Throughput 800 600 Max sent speed 400 200 20 50 100 300 500 800 1000 1200 1400 1450 Chiều dài nội dung gói tin (Bytes) Hình 4-2 Băng thơng hệ thống (hệ thống đáp ứng mức này) Author: Tran Huy Vu - 26 - 4.2.2 Khả hỗ trợ nhiều kết nối đồng thời (kết hợp NIDS) Hình 4-3 thể mối quan hệ số lượng dòng kết nối nhớ với điều kiện khác Tỷ lệ gói khơng thứ tự thử nghiệm tương ứng từ 0% đến 10% Chúng tơi chọn thử nghiệm đến 10% gói khơng thứ theo thống kê [67] qua thống kê liệu mạng chúng tơi, tỷ lệ gói khơng thứ tự vào khoảng 0.5% Còn thống kê liệu mạng chúng tơi tỷ lệ xấp xỉ 0% Khi tỷ lệ khơng thứ tự giảm tăng số connection lên nhớ dùng cho việc quản lý gói khơng thứ tự giảm Tuy nhiên số connection tăng lên triệu hash collision xảy nhiều, lại tiêu tốn nhớ để lưu connection record bị đụng độ này, lúc này, dù tỷ lệ khơng thứ tự giảm nhiều số dịng liệu khơng tăng nhiều Số dòng liệu đạt mức tối đa khoảng 1.4 triệu tỷ lệ không thứ tự 0% 140 Bộ nhớ sử dụng (MB) 120 0% 100 1% 80 2% 3% 60 4% 40 5% 6% 20 10 70 130 190 250 310 370 430 490 550 610 670 730 790 850 910 970 1030 1090 1150 1210 1270 1330 1390 Số lượng luồng TCP (x1000) Hình 4-3 Khả quản lý nhiều luồng đồng thời sau tích hợp Author: Tran Huy Vu - 27 - 4.2.3 Bộ nhớ động Về mức độ sử dụng nhớ Normalization Như trình bày phần thiết kế, sử dụng hàm hash tăng trưởng nhờ khơng cần lưu lại nội dung gói tin, nhu cầu nhớ giảm đáng kể Hơn nữa, nhờ chế ACK promotion, mà hệ thống giải phóng nhiều nhớ Trong hình dưới, chúng tơi kiểm tra với số lượng truyền lại lên đến 50% nghĩa gói liệu (khơng kể gói bắt tay ban đầu) gửi lần Vì hệ thống máy đích gửi ACK nhanh nên việc giải phóng phần tử hash khỏi nhớ nhanh, mà lượng nhớ tiêu tốn cho việc Normalization lên đến tối đa xấp xỉ 2MB 2000 Bộ nhớ sử dụng (KB) 1800 1600 1400 1200 1000 Peak Dynamic Memory 800 600 400 200 0% 5% 10% Tỷ lệ truyền lại 30% 50% Hình 4-4 Bộ nhớ động sử dụng hệ thống Author: Tran Huy Vu - 28 - Chương Kết luận hướng phát triển Trong đề tài này, thực tiền xử lý cho hệ thống phát xâm nhập mạng NIDS tốc độ cao Trong đề nghị phương pháp cải tiến cho việc phát gói tin truyền lại khơng qn hay cịn gọi chuẩn hóa gói tin Hệ thống sau hồn thành có băng thơng hoạt động cao, đủ để hoạt động mạng Gbps Kết thực nghiệm cho thấy hệ thống chúng tơi hồn tồn có khả kết hợp với hệ thống NIDS tốc độ cao hỗ trợ lên đến hàng triệu kết nối đồng thời hệ thống thương mại Chính nhờ cải tiến phương pháp hash mà hệ thống chúng tơi có mức độ tiêu tốn nhớ thấp với lượng nhớ động khoảng vài MB cho hàng trăm ngàn kết nối Trong tương lai, dự định nâng băng thông hỗ trự lên khoảng 40 Gbps cách tận dụng khả xử lý song song FPGA tảng board NetFPGA 10G đại học Standford Và với lượng nhớ lớn hơn, hỗ trợ hàng chục triệu kết nối đồng thời để cạnh tranh với hệ thống thương mại Tp.HCM, ngày tháng năm Tp.HCM, ngày tháng năm Chủ nhiệm đề tài TL HIỆU TRƯỞNG (Ký ghi rõ họ tên) TRƯỞNG PHÒNG KHCN&DA Trần Huy Vũ PGS TS Nguyễn Hoàng Dũng Author: Tran Huy Vu - 29 - TÀI LIỆU THAM KHẢO [1] http://www.interpol.int/Crime-areas/Cybercrime/Cybercrime [2] Hao Chen, Yu Chen, Douglas H.Summerville – A survey on the Application of FPGAs for Network Infrastructure Security, the IEEE Communications Surveys and Tutorials, 2010, pp.1-21 [3] S Jaiswal, G Iannaccone, C Diot, J Kurose, and D Towsley Measurement and classification of out-of-sequence packets in a tier-1 IP backbone Technical Report CS Dept Tech Report 02-17, UMass, May 2002, pp.54-66 [4] Mithili Vutukuru, Hari Balakrishnan, Vern Paxson “Efficient and Robust TCP Stream Normalization” IEEE Symposium on Security and Privacy, May 2008, pp.97-110 [5] Smita Verma, Garima Krishna “TCP/IP Data Normalization International Conference on Advances in Computer Application (ICACA), 2012, pp.59-62 [6] Sugawara Y., Inaba M., Hiraki, K – High-speed and Memory Efficient TCP Stream Scanning Using FPGA, Field Programmable Logic and Applications International Conference, 2005, pp.45-50 [7] G V arghese, J A Fingerhut, and F Bonomi, Detecting Evasion Attacks at High Speeds Without Reassembly , ACM SIGCOMM, Sept 2006, pp.327-338 [8] M Handley, V Paxson, and C Kreibich, “Network Intrusion Detection: Evasion, Traffic Normalization, and End-to-End Protocol Semantics, ” in Proc USENIX Security Symposium, Aug 2001 [9] G R Malan, D Watson, F Jahanian, and P Howell, “Transport and Application Protocol Scrubbing”, IEEE INFOCOM, Apr 2000, pp.1381-1390 [10] V Paxson, Bro: a System for Detecting Network Intruders in Real-Time, Computer Networks, vol 31, no 23-24, 1999, pp 2435-2463 [11] http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide /conns_tcpnorm.pdf [12] http://www.cisco.com/en/US/docs/interfaces_modules/services_modules/ ace/vA2_3_0/configuration/security/guide/tcpipnrm.pdf [13] Raphael C.W Phan, David Wagner, Security Consideration for Incremental Hash Functions Based on Pair Block Chaining, Computer & Security, Volume 25, Issue 2, Mar 2006, pp.131-136 [14] Dwaine Clarke, Srinivas Devadas, Marten van Dijk, Blaise Gassend, G Edward Suh, Incremental Multiset Hash Functions and Their Application to Memory Integrity Checking, Lecture Notes in Computer Science Volume 2894, 2003, pp.188-207 Author: Tran Huy Vu - 30 - [15] Mihir Bellare, Roch Guérin, Phillip Rogaway, XOR MACs: New Methods for Message Authentication Using Finite Pseudorandom Functions, Lecture Notes in Computer Science Volume 963, 1995, pp 15-28 [16] Tran Ngoc Thinh, Tran Huy Vu, and Shigenori Tomiyama, “High Performance TCP Reassembly for Network Intrusion Detection System” International Review on Computers and Software (IRECOS), Vol No 6, part C, 11/2012, pp 3320-3325 [17] Tran Huy Vu, Tran Ngoc Thinh, Surin Kittitornkun, Le Thai, High Performance Packet Classification for Network Intrusion Detection System 5th AUN/SEED-Net Regional Conference on Information and Communications Technology, Manila, Philippines, 2012, pp.28-32 [18] Toshihiro Katashita, Yoshinori Yamaguchi, Atusi Maeda, Kenji Toda FPGA-Based Intrusion Detection System for 10Gbps Ethernet, IEICE Trans Inf & Syst., Vol.E90-D, No.12 – December, 2007 [19] Abhishek Mitra, Walid Najjar, Laxmi Bhuyan Compiling PCRE to FPGA for Accelerating Snort IDS ANCS 2007, Orlando, Florida, USA Author: Tran Huy Vu - 31 - VI: Kết luận kiến nghị: Cần đồng ý cho thực đề tài nghiên cứu khoa học để phát triển thêm ứng dụng FPGA, từ sở để phát triển lên nghiên cứu sâu lĩnh vực thiết kế vi mạch, lĩnh vực công nghệ cao mà nhà nước TP Hồ Chí Minh chọn mũi nhọn phát triển…………………………………………………………… Tp.HCM, ngày tháng năm Tp.HCM, ngày tháng năm Chủ nhiệm đề tài TL HIỆU TRƯỞNG (Ký ghi rõ họ tên) TRƯỞNG PHÒNG KHCN&DA Trần Huy Vũ PGS TS Nguyễn Hoàng Dũng Author: Tran Huy Vu - 32 - Author: Tran Huy Vu ... IDS Hệ thống ph? ?t xâm nhập hệ thống phần cứng phần mềm làm nhiệm vụ giám s? ?t t? ?t ho? ?t động mạng máy t? ?nh cố gắng ph? ?t ho? ?t động xâm nhập b? ?t hợp pháp M? ?t IDs hệ thống ph? ?t xâm nhập cho mạng (Network-based... ho? ?t động mạng Gbps K? ?t thực nghiệm cho thấy hệ thống chúng t? ?i hồn t? ??n có khả k? ?t hợp với hệ thống NIDS t? ??c độ cao hỗ trợ lên đến hàng triệu k? ?t nối đồng thời hệ thống thương mại Chính nhờ cải tiến... 10% T? ?? lệ truyền lại 30% 50% Hình 4-4 Bộ nhớ động sử dụng hệ thống Author: Tran Huy Vu - 28 - Chương K? ?t luận hướng ph? ?t triển Trong đề t? ?i này, thực tiền xử lý cho hệ thống ph? ?t xâm nhập mạng NIDS