BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ - VŨ DUY NHẤT NGHIÊN CỨU ĐỀ XUẤT MỘT SỐ THUẬT TỐN PHÂN LOẠI GĨI TIN VÀ PHÁT HIỆN XUNG ĐỘT NHẰM PHÁT TRIỂN TƯỜNG LỬA HIỆU NĂNG CAO Chuyên ngành: Cơ sở toán học cho tin học Mã số: 9460110 TĨM TẮT LUẬN ÁN TIẾN SĨ TỐN HỌC HÀ NỘI – 2019 Cơng trình hồn thành tại: VIỆN KH&CN QUÂN SỰ - BỘ QUỐC PHÒNG Người hướng dẫn khoa học: TS Nguyễn Mạnh Hùng TS Thái Trung Kiên Phản biện 1: PGS.TS Nguyễn Long Giang Viện Công nghệ thông tin Viện Hàn lâm KH&CN Việt Nam Phản biện 2: PGS.TS Ngô Thành Long Học viện Kỹ thuật quân Phản biện 3: PGS.TS Nguyễn Ngọc Hóa Trường Đại học Cơng nghệ Đại học Quốc gia Hà Nội Luận án bảo vệ trước Hội đồng đánh giá luận án cấp Viện, họp Viện KH&CNQS Vào hồi ngày tháng năm 2019 Có thể tìm hiểu luận án thư viện: - Thư viện Viện Khoa học Công nghệ quân - Thư viện Quốc gia Việt Nam MỞ ĐẦU Tính cấp thiết đề tài Ngày nay, mạng máy tính có phát triển mạnh mẽ mặt quy mơ kết nối, loại hình dịch vụ, số lượng người sử dụng Cùng với phát triển đời công nghệ truyền dẫn tiên tiến, kết dẫn đến lưu lượng liệu trao đổi mạng lớn Tường lửa thiết bị kiểm soát truy nhập đặt điểm kết nối mạng cần bảo vệ với mạng bên nhằm bảo đảm an ninh an tồn cho mạng Việc đảm bảo an ninh thực cách kiểm tra tất gói tin qua tường lửa theo hai chiều vào theo sách an ninh người quản trị thiết lập Với chức vị trí triển khai, tường lửa trở thành rào cản mạng cần bảo vệ với mạng khác Thiết bị tác động đến hệ thống mạng theo hai khía cạnh: Bảo đảm an ninh an tồn hệ thống với chức kiểm sốt tính hợp pháp gói tin qua; Làm giảm tốc độ trao đổi thông tin mạng bảo vệ với mạng bên Hiệu tường lửa cao tăng cường khả bảo vệ mạng bên hạn chế việc làm suy giảm tốc độ trao đổi thơng tin qua Cho tới nay, nhà nghiên cứu ngồi nước có nhiều cơng trình nghiên cứu nhằm nâng cao hiệu tường lửa để đáp ứng yêu cầu sử dụng Mỗi giải pháp có ưu nhược điểm riêng thường giải vấn đề nhỏ việc cải tiến hiệu thiết bị, chưa có giải pháp thực tối ưu mang tính tổng quát Hiệu tường lửa cần thiết phải nâng cao nhằm cho phép đáp ứng nhu cầu thực tế Đó lý NCS lựa chọn vấn đề nghiên cứu luận án Mục tiêu nghiên cứu Luận án thực nhằm vào mục tiêu sau: Đề xuất kỹ thuật phân loại gói tin phát xung đột tập luật tường lửa nhằm nâng cao tốc độ phân loại gói tin từ phát triển tường lửa hiệu cao Phạm vi, đối tượng phương pháp nghiên cứu Phạm vi nghiên cứu luận án tập trung vào việc nghiên cứu cải tiến phần mềm mà chi tiết thuật tốn phân loại gói tin nhằm nâng cao thông lượng tường lửa Đối tượng trực tiếp nghiên cứu luận án là: Cấu trúc liệu lưu trữ luật phân loại thuật tốn phân loại dựa cấu trúc đó; Các kỹ thuật nhằm tối thiểu hóa thời gian phân loại trung bình cho gói tin tường lửa Luận án sử dụng phương pháp kết hợp nghiên cứu lý thuyết mô thử nghiệm Ý nghĩa đề tài nghiên cứu Nâng cao hiệu yêu cầu tất yếu để tường lửa đáp ứng nhu cầu thực tế Phân tích, đánh giá đề xuất phương án nâng cao hiệu tường lửa lĩnh vực nhà nghiên cứu nước quan tâm Các nội dung nghiên cứu đề tài sở để làm chủ từ tự phát triển tường lửa nhằm đáp ứng nhu cầu an ninh an toàn cho hệ thống mạng nói chung đặc biệt hệ thống mạng thuộc lĩnh vực an ninh quốc phòng Nội dung cấu trúc luận án Luận án gồm 04 chương với phần mở đầu, kết luận, danh mục cơng trình, báo khoa học công bố tác giả phần phụ lục CHƯƠNG TỔNG QUAN VỀ PHÂN LOẠI GÓI TIN TRÊN TƯỜNG LỬA 1.1 Một số khái niệm tường lửa Phần trình bày số nội dung: Định nghĩa lịch sử phát triển tường lửa; Các tính phân loại tường lửa 1.2 Hiệu mối quan hệ với q trình phân loại gói tin tường lửa Hiệu tường lửa đánh giá theo tiêu chí thuộc “RFC3511: Methodology for Firewall Performance”, tiêu chí Thơng lượng IP xác định Tiêu chí liên quan trực tiếp đến tốc độ phân loại gói tin thiết bị tường lửa Nâng cao tốc độ phân loại gói tin tường lửa nâng cao hiệu thiết bị 1.3 Các hướng nâng cao tốc độ phân loại gói tin tường lửa 1.3.1 Các nghiên cứu lĩnh vực phần cứng Các giải pháp công nghệ phần cứng chia thành dạng : Sử dụng công nghệ FPGA ; Cơng nghệ ASIC ; Tận dụng lực tính toán GPU ; Phát triển vi sử lý mạng chuyên dụng ; Sử dụng công nghệ xử lý song song (Hình 1.4) Sử dụng FPGA Sử dụng ASIC NÂNG CAO HIỆU NĂNG PHẦN CỨNG Tận dụng lực tính tốn GPU Phát triển vi xử lý mạng chuyên dụng Sử dụng công nghệ xử lý song song Hình 1.4 Các hướng nghiên cứu lĩnh vực phần cứng Mỗi hướng đề xuất sử dụng công nghệ phần cứng cho việc nâng cao hiệu tường lửa có ưu điểm nhược điểm riêng Tuy nhiên, phương án xây dựng tường lửa hiệu cao dựa hoàn toàn việc ứng dụng cải tiến phần cứng kể khó khăn thực tế 1.3.2 Các nghiên cứu lĩnh vực phần mềm Thành phần tham gia vào trình phân loại gói tin thiết bị mạng nói chung tường lửa nói riêng gồm Thuật tốn phân loại Tập luật dùng cho phân loại Các nghiên cứu lĩnh vực phần mềm nhằm nâng cao tốc độ phân loại gói tin nhằm vào đối tượng Hai hướng nghiên cứu lĩnh vực thể Hình 1.5 NÂNG CAO HIỆU NĂNG PHẦN MỀM Phát triển thuật toán, kỹ thuật phân loại gói tin Tối ưu hóa thời gian phân loại, nhớ lưu trữ trường hợp xấu Loại sớm gói tin Tối ưu hóa tập luật Tối ưu hóa cách thức kiểm tra q trình phân loại Phát xử lý xung đột Hình 1.5 Các hướng nghiên cứu phần mềm 1.3.3 Một số nghiên cứu nước Việc phát triển tường lửa hiệu cao chưa quan tâm nghiên cứu nước, nghiên cứu tường lửa bao gồm: Làm chủ phát triển tường lửa với tính tích hợp mật mã thiết bị; Triển khai sử dụng tường lửa mô hình mạng nhằm đảm bảo an ninh cho hệ thống 1.3.4 Xác định hướng nghiên cứu luận án Việc cải tiến, nâng cấp luận án thực tất bước, khâu trình phân loại gói tin (Hình 1.10) Tối ưu hóa tập luật: Phát xử lý xung đột Gói tin phân loại Cải tiến thuật tốn phân loại MODULE PHÂN LOẠI GÓI TIN Đề xuất kỹ thuật loại sớm gói tin Gói tin vào Tập luật Hình 1.10 Các hướng cải tiến trình phân loại gói tin luận án 1.4 Kết luận chương Nâng cao hiệu tường lửa yêu cầu quan trọng nhằm bảo đảm an ninh cho hệ thống mạng điều kiện nhu cầu trao đổi thông tin ngày cao Với mục tiêu “Đề xuất kỹ thuật phân loại gói tin phát xung đột tập luật tường lửa nhằm nâng cao tốc độ phân loại gói tin từ phát triển tường lửa hiệu cao“, luận án tập trung nghiên cứu Cấu trúc liệu lưu trữ luật phân loại thuật toán phân loại dựa cấu trúc đó; Các kỹ thuật nhằm tối thiểu hóa thời gian phân loại trung bình cho gói tin tường lửa Giải pháp đưa nhằm nâng cao hiệu tường lửa mang tính hệ thống với đề xuất gắn với bước xử lý q trình phân loại gói tin: Phát xử lý xung đột tập luật tường lửa (tối ưu hóa tham số đầu vào cho tốn phân loại); Loại sớm gói tin nhằm chống lại công DoS vào luật mặc định (Làm giảm thời gian phân loại trung bình trường hợp bị cơng); Nâng cao hiệu q trình phân loại cấu trúc liệu thuật toán Các đề xuất NCS trình bày chương luận án CHƯƠNG THUẬT TỐN PHÂN LOẠI GĨI TIN TRÊN TƯỜNG LỬA 2.2 Một số khái niệm Tập luật: Mỗi tập luật bao gồm nhiều luật, luật bao gồm tham số (Bộ lọc F; Hành động luật A; Số thứ tự luật) Bộ lọc: Mỗi lọc F gồm giá trị trường cần thỏa mãn Mỗi trường biểu diễn dạng khoảng hay dạng Cặp địa chỉ/mặt nạ 2.3 Đề xuất thuật toán phân loại gói tin dựa cấu trúc Ưu tiên đa nhánh – MWP 2.3.3 Ý tưởng đề xuất định nghĩa 2.3.3.1 Ý tưởng đề xuất Dựa cấu trúc Priority Trie – PT[43] JA-trie[10], xây dựng ưu tiên đa nhánh – MWP với đặc tính sau:  Cây MWP xây dựng để phân loại gói tin theo chiều (IP nguồn IP đích), liệu lưu trữ cho dạng tiền tố  Kết phân loại gói tin MWP trả tiền tố dài khớp với gói tin BMP (Best Match Prefix)  Chiều dài tiền tố lưu nút cha lớn chiều dài tiền tố nút Việc tìm kiếm kết thúc khớp với tiền tố nút  MWP đa nhánh Mỗi nút MWP bao gồm nhiều nút con, nút thứ i chứa tiền tố có i bit trùng i bit chứa nút cha 2.3.3.2 Các định nghĩa định lí  Định nghĩa 2.1: Bậc tiền tố Cho hai tiền tố P Q; chiều dài P l; chiều dài Q t Q gọi tiền tố bậc n P khi: −𝑡 ≤ 𝑙 { − 𝑛 bit Q trùng với 𝑛 P − Bít thứ (𝑛 + 1) Q khác với bit thứ (𝑛 + 1) P Khi ta ký hiệu Q = Ln(P)  Định nghĩa 2.2: Bậc tập tiền tố Cho G tập tiền tố, G gọi tập tiền tố có bậc n tiền tố P tiền tố Q G bậc n P Khi ta ký hiệu G = Sn(P)  Định nghĩa 2.3: Tiền tố lớn Cho G tập tiền tố, P tiền tố lớn G ∀Q ∈ G (Q ≠ P) chiều dài Q nhỏ chiều dài P Ký hiệu P = Max(G)  Định lí 2.1: Cho G tập tiền tố (G không chứa hai tiền tố trùng nhau) P tiền tố lớn G: Nếu địa IP khớp với P P tiền tố khớp dài BMP IP  Định lí 2.2: Cho hai tập tiền tố G1, G2 tiền tố P, G1 = Si(P), G2 = Sj(P) i ≠ j Nếu địa IP khớp với tiền tố P1 (P1 ∈ G1) khơng tồn tiền tố P2 ∈ G2 mà P2 khớp với IP 2.3.4 Cấu trúc MWP 2.3.4.1 Cấu trúc nút Mỗi nút MWP thể Hình 2.1 có đặc điểm sau:  Mỗi nút N lưu trữ tiền tố P  Nút N có trường Backtrack sử dụng có tiền tố Q tiền tố tiền tố P Trong trường hợp này, không cần tạo nút để lưu trữ Q cần đặt giá trị trường Backtrack chiều dài Q  Mỗi nút có tối đa k nút (k = 32 với IPv4, k = 128 với IPv6)  Chiều dài tiền tố lưu nút nhỏ chiều dài tiền tố lưu nút cha  Nút thứ m N chứa tiền tố có độ dài lớn tập tiền tố bậc m tiền tố lưu N Nút N Max(S0(P)) Backtrack-0 Max(S1(P)) Backtrack-1 Tiền tố P Backtrack Max(Sw(P)) Backtrack-w Hình 2.3 Cấu trúc nút N MWP 2.3.4.2 Thuật toán xây dựng nút Thủ tục xây dựng nút thực với đầu vào tập tiền tố mà tiền tố có bậc tiền tố lưu nút cha Bắt đầu Tập tiền tố: G; Độ dài tính bít trường IP nguồn: W + G rỗng Prefixlongest = Max(G); i = W; node.key = [Giá trị Prefixlongest] Dịch trái (W–chiều dài Prefixlonggest) bít; node.len = chiều dài Prefixlonggest; Gi = Si(Prefixlongest); BuildNode(node.children[i], Gi); i + i = i -1; UpdateBacktrack(node); Kết thúc Hình 2.4 Sơ đồ thuật toán xây dựng nút MWP 2.2.4.3 Thuật tốn phân loại gói tin Thuật tốn 2.2 thực phân loại gói tin có địa đầu vào IP Ý tưởng phân loại thực sau:  Bắt đầu trình tìm kiếm từ nút gốc  Trong nút, địa IP so sánh với tiền tố lưu trữ: o Nếu khớp trình tìm kiếm kết thúc tiền tố khớp dài tiền tố lưu nút xét o Ngược lại:  Nếu nút xét khơng có nút tiền tố khớp lớn có độ dài giá trị Backtrack 11 CHƯƠNG KỸ THUẬT LOẠI SỚM GÓI TIN TRÊN TƯỜNG LỬA 3.2 Đề xuất kỹ thuật loại sớm gói tin dựa việc kết hợp trường 3.2.1 Ý tưởng việc loại sớm gói tin việc kết hợp trường Các điểm cứ:  Các luật tập luật tường lửa chia thành nhóm luật cấm “DENY” luật cho phép “ACCEPT” Một gói tin thỏa mãn luật thuộc nhóm “DENY” khơng thỏa mãn luật thuộc nhóm “ACCEPT” ngược lại Gọi CAccept điều kiện để gói tin “ACCEPT” (được xây dựng từ tập luật “ACCEPT”) gói tin không thỏa mãn CAccept bị “DENY” Như để loại gói tin ta xây dựng điều kiện NOT(CAccept) kiểm tra gói tin theo điều kiện Vấn đề đặt xây dựng sử dụng điều kiện NOT(CAccept) để đem lại hiệu q trình phân loại gói tin tường lửa  Trong thuật toán phân loại gói tin việc kiểm tra phải thực tất trường sử dụng cho trình phân loại Quá trình kiểm tra trường tiến hành cách song song hay Tuy nhiên, theo hình thức việc phân loại trường yêu cầu chi phí tài nguyên thời gian Số chiều phân loại tỉ lệ thuận với thời gian phân loại Nếu giảm số chiều cần phải kiểm tra làm giảm chi phí cho cho q trình phân loại gói tin Căn vào quan sát trên, đưa ý tưởng cho việc đề xuất kỹ thuật loại sớm gói tin sau:  Giảm số chiều kiểm tra cho gói tin đến module lọc sớm Thay phải kiểm tra nhiều trường thực kết hợp trường nguyên thủy thành trường dựa nguyên tắc kết hợp  Xây dựng luật loại sớm gói tin trường kết hợp dựa giá trị tập phủ (xây dựng điều kiện NOT(CAccept) )  Sử dụng cấu trúc cân (cây B, AVL, đỏ đen) để lưu trữ luật loại sớm gói tin lọc gói tin đến 3.2.2 Loại sớm gói tin sử dung phép kết hợp COM hai chiều 3.2.2.1 Phép kết hợp COM 12 Phép kết hợp COM việc kết hợp hai trường địa nguồn địa đích luật thành trường thông qua nguyên tắc kết hợp đề xuất mà gọi phép COM Tiền tố nguồn s bít Tiền tố đích d bít COM s bít Giả sử s < d Hình 3.1 Cách tạo tiền tố COM Phép COM: Luật Ri có tiền tố nguồn có chiều dài s bít, tiền tố đích có chiều dài d bít với d > s (Hình 3.1) Tiền tố preCOM gồm s giá trị tạo cách kết hợp s bít tiền tố nguồn với s bít tiền tố đích: bít thứ j tiền tố nguồn kết hợp với bít thứ j tiền tố đích để tạo thành giá trị thứ j trường preCOM (j=0 s-1) theo qui tắc Bảng 3.1 Bảng 3.1.Qui tắc kết hợp COM Tiền tố nguồn Tiền tố đích Trường COM Trường hợp 0 Trường hợp 1 Trường hợp Trường hợp 1 3.2.2.2 Sử dụng trường COM phân loại gói tin  Định nghĩa 3.1: Khoảng giá trị tiền tố COM Khoảng giá trị tiền tố COM – preCOM có chiều dài l, định nghĩa khoảng giá trị chuỗi preCOM hệ số xác định sau: [(preCOM.S1)4,(preCOM.S2)4] Trong S1 chuỗi gồm (32 – l) số ‘0’, S2 chuỗi gồm (32 – l) số ‘3’ Gọi V giá trị hệ số chuỗi preCOM, preCOM có khoảng giá trị hệ số 10 là: [V × 432−𝑙 , V × 432−𝑙 + 432−𝑙 − 1]  Định nghĩa 3.2: Trường COM gói tin Cho gói tin Pkt có địa IP nguồn sIP địa IP đích dIP trường COM Pkt kí hiệu fCOM tính sau: fCOM = [sIP] COM [dIP] (3.1) 13  Định lí 3.1: Nếu gói tin Pkt có địa IP nguồn sIP phù hợp tiền tố IP nguồn preSIP địa IP đích dIP phù hợp với tiền tố IP đích preDIP luật Ri giá trị trường fCOM Pkt nằm khoảng giá trị tương ứng với tiền tố COM PreCOM luật Ri  Định lý 3.2: Nếu gói tin Pkt có trường fCOM không thuộc khoảng giá trị preCOM luật Ri Pkt có sIP khơng thỏa mãn tiền tố preSIP Ri dIP không thỏa mãn tiền tố preDIP Ri  Định nghĩa 3.3: Mối quan hệ khoảng giá trị Giả sử có hai khoảng rời lồng [a,b] [x,y] Khi đó:  [a, b] < [x, y] b < x  [a, b] = [x, y] a = x y = b  [a, b] > [x, y] a > y  [a, b] ∈ [x, y] x ≤ a b ≤ y  [a, b] [x,y] v [a,b] | [x,y] Thao tác Xóa nút Ni khỏi Thêm đoạn [x,a-1], [b+1,y] vào Xóa nút Ni khỏi Thêm đoạn [x,y] vào bên phải Ni Thêm đoạn [x,y] vào bên trái Ni Thay đoạn [a,b] nút Ni đoạn [a, x-1] Thêm đoạn [b+1,y] vào bên phải Ni Thay đoạn [a,b] nút Ni đoạn [y+1, b] Thêm đoạn [x,a-1] vào bên trái Ni Bước 4: Quay lại bước hết tập luật 3.2.2.5 Loại sớm gói tin với trường fCOM Khi gói tin Pkt đến, trường fCOM gói tin tính từ địa IP nguồn IP đích, chuyển đổi fCOM thành giá trị số P, thực tìm kiếm P cân Trong trường hợp giá trị P tìm thấy nằm khoảng giá trị nút gói tin Pkt bị loại ngay, ngược lại gói Pkt phải phân loại module phân loại nguyên thủy 3.2.3 Loại sớm gói tin sử dụng phép XOR kết hợp nhiều trường Kỹ thuật khác biệt với kỹ thuật loại sớm COM điểm:  Có thể thực nhiều chiều  Sử dụng phép XOR để kết hơp nên cải tiến tốc độ phân loại 3.2.3.1 Phép kết hợp XOR Trường fXOR xây dựng công thức: 15 𝑓𝑋𝑂𝑅 = preSIP(𝑛) 𝐗𝐎𝐑 preDIP(𝑛) 𝐗𝐎𝐑 preDPort(𝑛) (3.4) Trong đó: 𝑛 = MIN {length(𝑝𝑟𝑒𝑆𝐼𝑃), length(𝑝𝑟𝑒𝐷𝐼𝑃), length(𝑝𝑟𝑒𝐷𝑃𝑜𝑟𝑡)} (3.5) Tiền tố IP nguồn XOR Tiền tố IP đích (a) XOR = Cổng nguồn Xor prefix Tiền tố IP nguồn XOR Tiền tố IP đích XOR (b) = Cổng nguồn Xor prefix Hình.3.9 Phép kết hợp trường phép XOR 3.2.3.2 Sử dụng trường fXOR loại sớm gói tin  Định nghĩa 3.4: Trường XOR gói tin Cho gói tin Pkt có địa IP nguồn sIP, địa IP đích dIP cổng nguồn dPort trường XOR Pkt kí hiệu fXOR tính sau: 𝑓𝑋𝑂𝑅 = [𝑠𝐼𝑃] 𝐗𝐎𝐑 [𝑑𝐼𝑃] 𝐗𝐎𝐑 [𝑑𝑃𝑜𝑟𝑡 thêm 𝑚 bít ‘0’ bên phải] (3.6) Trong m = len(sIP) – len(dPort)  Định nghĩa 3.5: Khoảng giá trị tiền tố XOR Khoảng giá trị tiền tố XOR – preXOR có chiều dài l, định nghĩa khoảng giá trị chuỗi nhị phân preXOR hệ số xác định sau: [(preXOR.S1)2,(preXOR.S2)2]1 Trong S1 chuỗi gồm (32 – l) số ‘0’, S2 chuỗi gồm (32 – l) số ‘1’ Gọi V giá trị chuỗi nhị phân preXOR, preXOR có khoảng giá trị hệ số 10 là: [V × 232−𝑙 , V × 232−𝑙 + 232−𝑙 − 1] Chúng ta ký hiệu (xyz)2 giá trị số xyz hệ số 16  Định lí 3.3: Nếu gói tin Pkt với trường fXOR (được tính theo công thức 3.6) không thuộc khoảng giá trị trường fXOR luật R Pkt khơng khớp với luật R  Định nghĩa 3.6: Tập luật loại sớm Gọi Q tập tất giá trị thuộc khoảng không gian giá trị trường fXOR, A tập giá trị hợp tất khoảng giá trị xác định tiền tố XOR luật có hành động ACCEPT Tập luật loại sớm gói tin giá trị thuộc tâp D xác định theo công thức: 𝑫 = 𝑸/𝑨 (3.7)  Định lí 3.4: Khi gói tin Pkt với trường fXOR thuộc tập D khơng thỏa mãn luật ACCEPT 3.2.3.3 Xây dựng tập luật loại sớm loại sớm gói tin dựa trường fXOR Việc xây dựng tập luật loại sớm D sử dụng tập D việc loại sớm gói tin cững tương tự q trình xây dựng sử dụng tập Ф phép COM Ngoài việc sử dụng trường fXOR việc loại sớm gói tin trường cịn sử dụng trực tiếp q trình phần loại gói tin Điều luận án nghiên cứu thử nghiệm đánh giá 3.2.4 Đánh giá hiệu việc sử dụng trường kết hợp loại sớm gói tin 3.2.4.2 Điều kiện để việc sử dụng trường kết hợp có hiệu Gọi T1 thời gian trung bình để phân loại gói tin module loại sớm sử dụng trường kết hợp, T2 thời gian trung bình đề phân loại gói tin module phân loại nguyên thủy tường lửa, M tổng số gói tin qua tường lửa P tỷ lệ phần trăm gói tin bị loại sớm Khi đó, ta có: Thời gian để phân loại M gói tin với module nguyên thủy tường lửa T2M Thời gian phân loại M gói tin qua tường lửa với hai module loại sớm module nguyên thủy T1M + T2(1-P)M Điều kiện để việc triển khai module loại sớm có hiệu mặt thời gian là: 𝑇1 𝑀 + 𝑇2 (1 − 𝑃)𝑀 < 𝑇2 𝑀 17 ↔ 𝑇1 𝑀 < 𝑇2 𝑀𝑃 ↔ 𝑃 > 𝑇1 𝑇2 (3.8) Theo công thức 3.8 hiệu việc loại sớm gói tin với trường kết hợp phụ thuộc vào tỉ lệ gói tin bị loại sớm P có ý nghĩa thực tế T1< V2  Định lí 4.1: Cho hai giá trị trường V1 V2 trường fn thì:  Điều kiện cần để 𝑉1 ∈ 𝑉2 |V1| > |V2|  Điều kiện cần để 𝑉1 ≈ 𝑉2 |V1| = |V2|  Định lý 4.2: Cho tập giá trị trường V=(V1, V2, …, Vm ) trường fn, Vk giá trị trường có độ chi tiết lớn tập V ∀𝑉𝑖 ∈ 𝑽 (𝑖 ≠ 𝑘, ≤ 𝑖 ≤ 𝑚) ta ln có 𝑉𝑖 ∉ 𝑉𝑘 Đề lưu trữ luật cấu trúc CDT, luận án xây dựng lại cấu trúc luật gồm danh sách liệu trường Action Mỗi trường lưu trữ ghi unit gồm thông tin kiểu trường, mức độ chi tiết, số luật giá trị trường  Định nghĩa 4.3: Mối quan hệ hai unit u1 u2 (Chỉ sử dụng u1 u2 có kiểu trường): Trùng nhau: u1 trùng u2, ký hiệu 𝑢1 ≈ 𝑢2 , Thuộc: u1 thuộc u2, ký hiệu 𝑢1 ∈ 𝑢2 , Giao nhau: u1 giao với u2, ký hiệu u1 § u2 4.3.2 Ý tưởng thuật toán Thuật toán luận án đề xuất bao gồm xây dựng CDT từ luật nhằm xác định mối quan hệ không gian luật chúng Việc xây dựng CDT tuân theo nguyên tắc gồm: i Mối quan hệ hai không gian luật kiểm tra theo chiều khơng gian ii Tại chiều khơng gian luật, luật có mức độ chi tiết cao xem xét mối quan hệ với luật cịn lại Luật hay nhóm luật xét có mối quan hệ với luật khác thuộc dạng: Trùng khớp (Match); Là tập ( Subset); Giao (Overlap); Tách biệt (DisJoin) iii Với luật xét, chiều thứ i+1: Tập luật khớp (Match) với kiểm tra tập Match chiều thứ i; Tập luật Chứa (Super) kiểm tra tập Match, Super chiều thứ i; Tập luật Giao (Overlap) kiểm tra tập Match, Super Overlap chiều thứ i Phép chuyển luật từ tập sau: 21 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑚𝑎𝑡𝑐ℎ (𝑀𝑎𝑡𝑐ℎ)𝑖 → 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑠𝑢𝑝𝑒𝑟 (𝑀𝑎𝑡𝑐ℎ)𝑖 → 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑠𝑢𝑝𝑒𝑟 (𝑆𝑢𝑝𝑒𝑟)𝑖 → (𝑀𝑎𝑡𝑐ℎ)𝑖+1 (4.2) (𝑆𝑢𝑝𝑒𝑟)𝑖+1 (4.3) (𝑆𝑢𝑝𝑒𝑟)𝑖+1 (4.4) 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝 (𝑀𝑎𝑡𝑐ℎ)𝑖 → 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝 (𝑆𝑢𝑝𝑒𝑟)𝑖 → (𝑂𝑣𝑒𝑟𝑙𝑎𝑝)𝑖+1 (4.5) (𝑂𝑣𝑒𝑟𝑙𝑎𝑝)𝑖+1 (4.6) 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝 (𝑂𝑣𝑒𝑟𝑙𝑎𝑝)𝑖 → (𝑂𝑣𝑒𝑟𝑙𝑎𝑝)𝑖+1 (4.7) Trong đó, “condition_x” điều kiện để luật chuyển từ tập bước thứ i sang tập bước thứ i +1 Gọi R luật xét, R(fm) giá trị trường thứ m R, điều kiện “condition_x” để luật P chuyển công thức sau: condition_match: R(fi+1) ≈ P(fi+1) condition_super: R(fi+1) ∈ P(fi+1) condition_overlap: R(fi+1) § P(fi+1) 4.3.3 Cấu trúc CDT Cây CDT đa nhánh xây dựng từ tập liệu đầu vào unit tập luật Nút gốc ROOT CDT chứa danh sách tất luật tập luât Trong cây, đường dẫn từ nút gốc ROOT đến nút biểu diễn hồn chỉnh hay nhóm luật thỏa mãn điều kiện cụ thể đường dẫn Nút N mang thông tin kiểu trường fn mức độ chi tiết trường đó, nút N xây dựng theo giá trị trường fn độ chi tiết N lớn độ chi tiết trường lưu nút 4.2.3.1 Cấu trúc nút 22 Nút CDT có cấu trúc Hình 4.2 TOF DETAIL M S O Childs Lables Other Child Danh sách nhãn tương ứng với node Node chứa luật không thỏa mãn điều kiện DETAIL Danh sách luật có khơng gian luật có vùng giao với không gian luật luật thuộc tập M Danh sách node Danh sách luật khớp Danh sách luật có khơng gian luật chứa khơng gian luật luật thuộc tập M Mức độ chi tiết trường Kiểu trường Hình 4.2 Cấu trúc Nút CDT 4.2.3.2 Xây dựng nút Thuật toán 4.1: BuildNode Input: List of unit Unit-matchs; List of unit Unit-supers; List of unit Unit-overlaps; Output: CDTNode N; Begin UMAX = GetMaxUnit(Unit-matchs); lstUnit = GetUnits(UMAX, Unit-matchs); N.TOF = UMAX.type; N.DETAIL = UMAX.detail; For each u of lstUnit Begin ulable=CreateLable(u); If ulable not in N.Labels Begin 10 N.Lables.add(ulable); 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑚𝑎𝑡𝑐ℎ 11 (Unit-matchs)→ 12 (Unit-matchs)→ 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑠𝑢𝑝𝑒𝑟 (uMatchs); (uSupers); 23 13 14 15 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑠𝑢𝑝𝑒𝑟 (Unit-supers)→ (uSupers); 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝 (Unit-matchs)→ 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝 (Unit-supers)→ (uOverlaps); (uOverlaps); 𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝 16 (Unit-overlaps)→ (uOverlaps); 17 CDTNode M; 18 BuildNode(M,uMatchs, uSupers, uOverlaps); 19 N.Childs.add(M); 20 RemoveUnit(Unit-matchs, uMatchs); 21 End 22 End 23 BuildNode(N.OtherChild, Unit-matchs, Unit-supers, Unit-overlaps); End 4.3.4 Phát xung đột CDT Thông tin mối quan hệ không gian luật luật chứa nút Cụ thể, nút N: Các luật thuộc tập N.M có khơng gian luật trùng nhau; Các luật thuộc tập N.S có khơng gian luật chứa khơng gian luật luật thuộc N.M; Các luật thuộc tập N.O có khơng gian luật giao với khơng gian luật luật thuộc tập N.M 4.3.Kết luận chương Chương luận án tiến hành nghiên cứu vấn đề tối ưu hóa tập luật tường lửa nhằm làm tăng hiệu thiết bị Trong đó, trọng tâm việc phát xử lý xung đột tập luật Trên sở phân tích đánh giá điểm mạnh điểm hạn chế kỹ thuật có, NCS đề xuất kỹ thuật phát xử lý xung đột tập luật nhiều chiều tường lửa với cấu trúc CDT Trong nghiên cứu NCS tập trung giải vần đề mấu chốt cách thức xác định hiệu mối quan hệ không gian luật hai luật từ làm sở để xác định xung đột tập luật Cấu trúc CDT áp dụng việc xây dựng công cụ hỗ trợ trực tiếp cho người quản trị hệ thống nhằm xây dựng sách an ninh kiểm tra sách an ninh triển khai tường lửa 24 KẾT LUẬN Kết nghiên cứu: Luận án thực nghiên cứu tổng quan vấn đề nâng cao hiệu tường lửa thông qua việc nâng cao tốc độ phân loại gói tin thiết bị Trong đó, luận án tập trung nghiên cứu thuật toán, kỹ thuật nhằm nâng cao tốc độ phân loại gói tin lĩnh vực phần mềm Các nghiên cứu đề xuất luận án mang tính hệ thống nhằm đưa giải pháp tổng thể nhằm phát triển tường lửa hiệu cao Những đóng luận án: Đề xuất thuật tốn phân loại gói tin trường với cấu trúc đa nhánh ưu tiên MWP Đề xuất kỹ thuật loại sớm gói tin chống lại kiểu công DoS vào luật mặc định tường lửa với phép kết hợp (COM XOR) dựa cấu trúc cân Đề xuất cấu trúc CDT phát xung đột tập luật tường lửa Hướng nghiên cứu tiếp theo: Việc phát triển tường lửa hiệu cao (với đầy đủ tiêu chí đánh giá) nhiệm vụ khó khăn Nhiệm vụ đặc biệt quan trọng mục đích an ninh an tồn cho hệ thống mạng lĩnh vực anh ninh quốc phòng Các nghiên cứu luận án tập trung vào phát triển thuật toán kỹ thuật lĩnh vực phần mềm Vì vậy, nghiên cứu thiết kế phần cứng để triển khai thuật tốn đề xuất cách hiệu cần tiếp tục nghiên cứu 25 CÁC CƠNG TRÌNH KHOA HỌC ĐƯỢC CÔNG BỐ [1] Vũ Duy Nhất, Nguyễn Mạnh Hùng (2014), “B-tree based twodimensional early packet rejection technique against DOS traffic targeting firewall default secutity rule”, The 2014 Seventh IEEE Symposium on computational Intelligence for Security and Defense Applications [2] Vũ Duy Nhất, Nguyễn Mạnh Hùng (2015), “Early packet rejection based on combining multiple fields using XOR operator with balanced tree”, Tạp chí IJCSNS International Journal of Computer Science and Network Security (Journal ISSN : 17387906), p22-29, VOL.15 No.10, October 2015 [3] Vũ Duy Nhất, Nguyễn Mạnh Hùng(2016), “Đề xuất thuật toán phát xung đột lọc hai chiều thiết bị mạng”, Hội thảo Quốc gia lần thứ 19 “Một số vấn đề chọn lọc CNTT truyền thông” [4] Vũ Duy Nhất, Nguyễn Mạnh Hùng(2017), “A packet classification algorithm on Multi-way Priority Trie”, Tạp chí Tin học Điều khiển số 4/2016 [5] Vũ Duy Nhất, Nguyễn Mạnh Hùng(2018), “Đề xuất cấu trúc phát xung đột tập luật tường lửa”, Tạp chí Cơng nghệ thơng tin & Truyền thơng (Chun san “Các cơng trình nghiên cứu, phát triển ứng dụng công nghệ Thông tin Truyền thông”) tháng 12/2018 ... thuật phân loại gói tin phát xung đột tập luật tường lửa nhằm nâng cao tốc độ phân loại gói tin từ phát triển tường lửa hiệu cao 2 Phạm vi, đối tượng phương pháp nghiên cứu Phạm vi nghiên cứu. .. thuật phân loại gói tin phát xung đột tập luật tường lửa nhằm nâng cao tốc độ phân loại gói tin từ phát triển tường lửa hiệu cao? ??, luận án tập trung nghiên cứu Cấu trúc liệu lưu trữ luật phân loại. .. luật: Phát xử lý xung đột Gói tin phân loại Cải tiến thuật tốn phân loại MODULE PHÂN LOẠI GĨI TIN Đề xuất kỹ thuật loại sớm gói tin Gói tin vào Tập luật Hình 1.10 Các hướng cải tiến trình phân loại