Nghiên cứu đề xuất một số thuật toán phân loại gói tin và phát hiện xung đột nhằm phát triển tường lửa hiệu năng cao tt

Mục tiêu nghiên cứu Luận án được thực hiện nhằm vào mục tiêu sau: Đề xuất các kỹ thuật mới trong phân loại gói tin và phát hiện xung đột trong tập luật tường lửa nhằm nâng cao tốc độ ph

BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ

-

VŨ DUY NHẤT

NGHIÊN CỨU ĐỀ XUẤT MỘT SỐ THUẬT TOÁN PHÂN LOẠI GÓI TIN VÀ PHÁT HIỆN XUNG ĐỘT NHẰM

PHÁT TRIỂN TƯỜNG LỬA HIỆU NĂNG CAO

Chuyên ngành: Cơ sở toán học cho tin học

Mã số: 9460110

TÓM TẮT LUẬN ÁN TIẾN SĨ TOÁN HỌC

HÀ NỘI – 2019

Công trình được hoàn thành tại:

VIỆN KH&CN QUÂN SỰ - BỘ QUỐC PHÒNG

Người hướng dẫn khoa học:

1 TS Nguyễn Mạnh Hùng

2 TS Thái Trung Kiên

Phản biện 1: PGS.TS Nguyễn Long Giang

Viện Công nghệ thông tin Viện Hàn lâm KH&CN Việt Nam

Phản biện 2: PGS.TS Ngô Thành Long

Học viện Kỹ thuật quân sự

Phản biện 3: PGS.TS Nguyễn Ngọc Hóa

Trường Đại học Công nghệ Đại học Quốc gia Hà Nội

Luận án sẽ được bảo vệ trước Hội đồng đánh giá luận án

cấp Viện, họp tại Viện KH&CNQS Vào hồi giờ ngày tháng năm 2019

Có thể tìm hiểu luận án tại thư viện:

- Thư viện Viện Khoa học và Công nghệ quân sự

- Thư viện Quốc gia Việt Nam

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Ngày nay, mạng máy tính có sự phát triển mạnh mẽ về các mặt quy mô kết nối, các loại hình dịch vụ, số lượng người sử dụng Cùng với sự phát triển đó là

sự ra đời của các công nghệ truyền dẫn tiên tiến, kết quả dẫn đến lưu lượng dữ liệu được trao đổi trên mạng là rất lớn Tường lửa là một thiết bị kiểm soát truy nhập được đặt ở điểm kết nối giữa một mạng cần được bảo vệ với mạng bên ngoài nhằm bảo đảm an ninh an toàn cho mạng đó Việc đảm bảo an ninh được thực hiện bằng cách kiểm tra tất cả các gói tin đi qua tường lửa theo cả hai chiều vào và ra theo một chính sách an ninh do người quản trị thiết lập

Với chức năng và vị trí được triển khai, tường lửa sẽ trở thành một rào cản giữa mạng cần bảo vệ với các mạng khác Thiết bị này sẽ tác động đến hệ thống mạng theo hai khía cạnh: Bảo đảm an ninh an toàn của hệ thống với chức năng kiểm soát tính hợp pháp của các gói tin đi qua; Làm giảm tốc độ trao đổi thông tin giữa mạng được bảo vệ với mạng bên ngoài Hiệu năng của tường lửa cao sẽ tăng cường khả năng bảo vệ mạng bên trong và hạn chế việc làm suy giảm tốc

độ trao đổi thông tin qua nó

Cho tới nay, các nhà nghiên cứu cả trong và ngoài nước đã có nhiều công trình nghiên cứu nhằm nâng cao hiệu năng của tường lửa để đáp ứng yêu cầu sử dụng Mỗi giải pháp đều có ưu nhược điểm riêng và thường chỉ giải quyết một vấn đề nhỏ trong việc cải tiến hiệu năng của thiết bị, chưa có giải pháp nào thực

sự tối ưu và mang tính tổng quát Hiệu năng của tường lửa đã đang và sẽ vẫn cần thiết phải được nâng cao nhằm cho phép nó đáp ứng được nhu cầu thực tế

Đó chính là lý do NCS lựa chọn vấn đề nghiên cứu này trong luận án

2 Mục tiêu nghiên cứu

Luận án được thực hiện nhằm vào mục tiêu sau: Đề xuất các kỹ thuật mới trong phân loại gói tin và phát hiện xung đột trong tập luật tường lửa nhằm nâng cao tốc độ phân loại gói tin từ đó phát triển tường lửa hiệu năng cao .

3 Phạm vi, đối tượng và phương pháp nghiên cứu

Phạm vi nghiên cứu của luận án tập trung vào việc nghiên cứu các cải tiến

về phần mềm mà chi tiết hơn là các thuật toán phân loại gói tin nhằm nâng cao thông lượng của tường lửa

Đối tượng được trực tiếp nghiên cứu trong luận án là: Cấu trúc dữ liệu lưu trữ các luật phân loại và thuật toán phân loại dựa trên cấu trúc đó; Các kỹ thuật nhằm tối thiểu hóa thời gian phân loại trung bình cho mỗi gói tin trên tường lửa Luận án sử dụng phương pháp kết hợp giữa nghiên cứu lý thuyết và mô phỏng thử nghiệm

4 Ý nghĩa của đề tài nghiên cứu

Nâng cao hiệu năng là yêu cầu tất yếu để tường lửa có thể đáp ứng được nhu cầu thực tế Phân tích, đánh giá và đề xuất các phương án nâng cao hiệu năng của tường lửa là lĩnh vực đã và đang được các nhà nghiên cứu trong và ngoài nước quan tâm Các nội dung nghiên cứu của đề tài sẽ là cơ sở để chúng

ta làm chủ từ đó có thể tự phát triển các tường lửa nhằm đáp ứng nhu cầu về an ninh an toàn cho các hệ thống mạng nói chung và đặc biệt các hệ thống mạng thuộc lĩnh vực an ninh quốc phòng

5 Nội dung và cấu trúc của luận án

Luận án gồm 04 chương cùng với các phần mở đầu, kết luận, danh mục các công trình, bài báo khoa học đã được công bố của tác giả và phần phụ lục

CHƯƠNG 1 TỔNG QUAN VỀ PHÂN LOẠI GÓI TIN TRÊN TƯỜNG LỬA 1.1 Một số khái niệm về tường lửa

Phần này trình bày về một số nội dung: Định nghĩa và lịch sử phát triển của tường lửa; Các tính năng và phân loại tường lửa hiện nay

1.2 Hiệu năng và mối quan hệ với quá trình phân loại gói tin của tường lửa

Hiệu năng của một tường lửa được đánh giá theo các tiêu chí thuộc “

RFC-3511: Methodology for Firewall Performance”, trong đó tiêu chí về Thông lượng IP được xác định đầu tiên Tiêu chí này liên quan trực tiếp đến tốc độ

phân loại gói tin trong thiết bị tường lửa Nâng cao tốc độ phân loại gói tin trên

tường lửa cũng chính là nâng cao hiệu năng của thiết bị này

1.3 Các hướng nâng cao tốc độ phân loại gói tin trên tường lửa

1.3.1 Các nghiên cứu trong lĩnh vực phần cứng

Các giải pháp công nghệ phần cứng mới nhất trong đó được chia thành các dạng cơ bản là : Sử dụng công nghệ FPGA ; Công nghệ ASIC ; Tận dụng năng lực tính toán của GPU ; Phát triển bộ vi sử lý mạng chuyên dụng ; Sử dụng công nghệ xử lý song song (Hình 1.4)

Hình 1.4 Các hướng nghiên cứu trong lĩnh vực phần cứng

Mỗi hướng đề xuất sử dụng công nghệ phần cứng cho việc nâng cao hiệu năng của tường lửa đều có các ưu điểm và nhược điểm riêng Tuy nhiên, phương

án xây dựng một tường lửa hiệu năng cao dựa hoàn toàn trên việc ứng dụng các cải tiến phần cứng kể trên là rất khó khăn trong thực tế

NÂNG CAO HIỆU NĂNG

Sử dụng công nghệ xử lý song

song

1.3.2 Các nghiên cứu trong lĩnh vực phần mềm

Thành phần tham gia vào quá trình phân loại gói tin trong thiết bị mạng nói chung và tường lửa nói riêng gồm Thuật toán phân loại và Tập luật dùng cho phân loại Các nghiên cứu trong lĩnh vực phần mềm nhằm nâng cao tốc độ phân loại gói tin cũng nhằm vào 2 đối tượng trên Hai hướng nghiên cứu trong lĩnh vực này được thể hiện trong Hình 1.5

Hình 1.5 Các hướng nghiên cứu về phần mềm

1.3.3 Một số nghiên cứu trong nước

Việc phát triển các tường lửa hiệu năng cao chưa được quan tâm nghiên cứu ở trong nước, các nghiên cứu về tường lửa chỉ bao gồm: Làm chủ và phát triển các tường lửa với tính năng cơ bản và tích hợp mật mã trên thiết bị; Triển khai sử dụng tường lửa trong các mô hình mạng nhằm đảm bảo an ninh cho hệ thống

1.3.4 Xác định hướng nghiên cứu trong luận án

Việc cải tiến, nâng cấp trong luận án được thực hiện trong tất cả các bước, các khâu của quá trình phân loại gói tin (Hình 1.10).

NÂNG CAO HIỆU NĂNG PHẦN MỀM

Phát triển các thuật toán, kỹ

thuật phân loại gói tin Tối ưu hóa tập luật

Tối ưu hóa về

Tối ưu hóa cách thức kiểm tra trong quá trình phân loại

Phát hiện và

xử lý xung đột

Hình 1.10 Các hướng cải tiến trong quá trình phân loại gói tin của luận án

1.4 Kết luận chương 1

Nâng cao hiệu năng của tường lửa là yêu cầu quan trọng nhằm bảo đảm an ninh cho các hệ thống mạng trong điều kiện nhu cầu trao đổi

thông tin ngày càng cao hiện nay Với mục tiêu “Đề xuất các kỹ thuật mới

trong phân loại gói tin và phát hiện xung đột trong tập luật tường lửa nhằm nâng cao tốc độ phân loại gói tin từ đó phát triển tường lửa hiệu năng cao“, luận án sẽ tập trung nghiên cứu Cấu trúc dữ liệu lưu trữ các

luật phân loại và thuật toán phân loại dựa trên cấu trúc đó; Các kỹ thuật nhằm tối thiểu hóa thời gian phân loại trung bình cho mỗi gói tin trên tường lửa Giải pháp đưa ra nhằm nâng cao hiệu năng của tường lửa mang tính hệ thống với các đề xuất mới gắn với từng bước xử lý trong quá trình phân loại gói tin: Phát hiện và xử lý xung đột trong tập luật tường lửa (tối

ưu hóa tham số đầu vào cho bài toán phân loại); Loại sớm gói tin nhằm chống lại tấn công DoS vào luật mặc định (Làm giảm thời gian phân loại trung bình trong trường hợp bị tấn công); Nâng cao hiệu quả quá trình phân loại bằng cấu trúc dữ liệu và thuật toán mới Các đề xuất mới sẽ được NCS trình bày trong các chương tiếp theo của luận án.

MODULE PHÂN LOẠI GÓI TIN Gói tin vào

CHƯƠNG 2 THUẬT TOÁN PHÂN LOẠI GÓI TIN TRÊN TƯỜNG LỬA 2.2 Một số khái niệm

Tập luật: Mỗi tập luật bao gồm nhiều luật, mỗi luật bao gồm 3 tham số

chính (Bộ lọc F; Hành động của luật A; Số thứ tự của luật)

Bộ lọc: Mỗi bộ lọc F gồm giá trị các trường cần thỏa mãn Mỗi trường có

thể được biểu diễn dưới dạng khoảng hay dạng Cặp địa chỉ/mặt nạ

2.3 Đề xuất thuật toán phân loại gói tin dựa trên cấu trúc cây Ưu tiên đa nhánh – MWP

2.3.3 Ý tưởng chính của đề xuất và các định nghĩa

2.3.3.1 Ý tưởng của đề xuất

Dựa trên cấu trúc Priority Trie – PT[43] và JA-trie[10], chúng tôi xây dựng cây ưu tiên đa nhánh – MWP với các đặc tính sau:

 Cây MWP được xây dựng để phân loại gói tin theo một chiều (IP nguồn hoặc IP đích), dữ liệu được lưu trữ trên cây được cho dưới dạng tiền tố

 Kết quả phân loại gói tin trên cây MWP trả về tiền tố dài nhất khớp với gói tin BMP (Best Match Prefix)

 Chiều dài của tiền tố được lưu tại một nút cha luôn lớn hơn hoặc bằng chiều dài tiền tố của các nút con của nó Việc tìm kiếm kết thúc ngay khi khớp với tiền tố tại một nút

 MWP là cây đa nhánh Mỗi nút trên cây MWP bao gồm nhiều nút

con, trong đó nút con thứ i chứa tiền tố có i bit đầu tiên trùng i bit

đầu tiên chứa tại nút cha

2.3.3.2 Các định nghĩa và định lí

 Định nghĩa 2.1: Bậc của một tiền tố

Cho hai tiền tố P và Q; chiều dài của P là l; chiều dài của Q là t Q được gọi

là tiền tố bậc n của P khi và chỉ khi:

{

− 𝑡 ≤ 𝑙

− 𝑛 bit đầu tiên của Q trùng với 𝑛 đầu tiên của P

− Bít thứ (𝑛 + 1) của Q khác với bit thứ (𝑛 + 1) của P

Khi đó ta ký hiệu Q = Ln(P)

 Định nghĩa 2.2: Bậc của một tập tiền tố

Cho G là một tập các tiền tố, G được gọi là tập tiền tố có bậc n của tiền tố P khi và chỉ khi mọi tiền tố Q của G đều là bậc n của P

Khi đó ta ký hiệu G = S n(P)

 Định nghĩa 2.3: Tiền tố lớn nhất

Cho G là một tập tiền tố, P là tiền tố lớn nhất của G khi và chỉ khi ∀Q ∈ G

(Q ≠ P) thì chiều dài của Q luôn nhỏ hơn hoặc bằng chiều dài của P

Ký hiệu P = Max(G)

 Định lí 2.1: Cho G là một tập tiền tố (G không chứa hai tiền tố trùng nhau) và P là tiền tố lớn nhất của G: Nếu một địa chỉ IP khớp với P thì P sẽ là

tiền tố khớp dài nhất BMP của IP

 Định lí 2.2: Cho hai tập tiền tố G 1 , G 2 và tiền tố P, trong đó G 1 = Si(P),

G 2 = Sj (P) và i ≠ j Nếu một địa chỉ IP khớp với tiền tố P1 (P1 ∈ G1) thì sẽ không tồn tại bất cứ một tiền tố P2 ∈ G2 mà P2 khớp với IP

2.3.4 Cấu trúc cây MWP

2.3.4.1 Cấu trúc nút trên cây

Mỗi nút trên cây MWP được thể hiện như Hình 2.1 và có đặc điểm như sau:

 Mỗi nút N lưu trữ một tiền tố P

 Nút N có một trường Backtrack được sử dụng khi có một tiền tố Q

là tiền tố của tiền tố P Trong trường hợp này, chúng ta không cần

tạo một nút để lưu trữ Q và khi đó chỉ cần đặt giá trị trường Backtrack

là chiều dài của Q

 Mỗi nút có tối đa k nút con (k = 32 với IPv4, k = 128 với IPv6)

 Chiều dài của tiền tố lưu trong nút con luôn nhỏ hơn hoặc bằng chiều dài tiền tố lưu trong nút cha của nó

 Nút con thứ m của N chứa tiền tố có độ dài lớn nhất trong tập tiền tố bậc m của tiền tố lưu trong N

Hình 2.3 Cấu trúc một nút N của cây MWP

2.3.4.2 Thuật toán xây dựng nút

Thủ tục xây dựng nút trên cây được thực hiện với đầu vào là một tập tiền tố

mà trong đó các tiền tố có cùng một bậc của tiền tố được lưu tại nút cha của nó

Bắt đầu

G rỗng

Kết thúc

node.key = [Giá trị của Prefixlongest] Dịch trái

(W–chiều dài của Prefixlonggest) bít;

node.len = chiều dài của Prefixlonggest;

Hình 2.4 Sơ đồ thuật toán xây dựng nút trên cây MWP

2.2.4.3 Thuật toán phân loại gói tin

Thuật toán 2.2 thực hiện phân loại gói tin có địa chỉ đầu vào IP Ý tưởng phân loại được thực hiện như sau:

 Bắt đầu quá trình tìm kiếm từ nút gốc của cây

 Trong mỗi nút, địa chỉ IP được so sánh với tiền tố được lưu trữ:

o Nếu khớp quá trình tìm kiếm kết thúc và tiền tố khớp dài nhất chính là tiền tố lưu trong nút đang xét

o Ngược lại:

 Nếu nút đang xét không có nút con thì tiền tố khớp lớn

nhất sẽ có độ dài bằng giá trị Backtrack

Hình 2.6 Thuật toán phân loại gói tin trên cây MWP

2.3.4.4 Đánh giá độ phức tạp

So sánh độ phức tạp giữa 3 cấu trúc được thể hiện trong Bảng 2.5

Bảng 2.5 So sánh độ phức tạp giữa cấu trúc MWP với PT và JA-trie

2.4 Kết luận của chương 2

Cấu trúc MWP khắc phục được các điểm hạn chế về chiều cao trung bình và

dư thừa lưu trữ trên cây Ưu tiên PT, hạn chế về giới hạn chiều dài tiền tố có thể

áp dụng trên cấu trúc cây Ja-trie và cuối cùng là cấu trúc MWP đã khắc phục

được thao tác quay lui trong một số trường hợp của các thuật toán phân loại hiện nay

Thuật toán phân loại gói tin dựa trên cấu trúc MWP có thể được sử dụng bởi các tường lửa và thiết bị định tuyến Kết quả thử nghiệm cho thấy, tốc độ phân loại với cấu trúc MWP có thể đạt đến trên 40 triệu gói một giây Tốc độ này có thể được cải thiện trên các nền tảng phần cứng cao hơn hay các phần cứng chuyên dụng Trong xu hướng phát triển hiện nay của kỹ thuật xử lý song song thì tính đơn giản của cấu trúc dữ liệu cũng như hiệu quả trong quá trình tìm kiếm phân loại của MWP là các ưu điểm để có thể triển khai MWP trong thực tế Thiết bị tường lửa thực hiện chức năng bảo vệ cho mạng nội bộ trước các tấn công từ bên ngoài Đề xuất thuật toán phân loại gói tin trên cấu trúc cây MWP

ở chương này nhằm nâng cao hiệu năng của thiết bị Tuy nhiên bản thân tường lửa cũng hịu các tấn công trực tiếp nên yêu cầu phải có khả năng tự bảo vệ trước các tấn công đó Chương tiếp theo của luận án sẽ trình bày về đề xuất kỹ thuật loại sớm gói tin trên tường lửa nhằm hạn chế một dạng tấn công dạng DoS vào thiết bị này từ đó nâng cao hiệu năng của thiết bị trong trường hợp bị tấn công

CHƯƠNG 3

KỸ THUẬT LOẠI SỚM GÓI TIN TRÊN TƯỜNG LỬA

3.2 Đề xuất kỹ thuật loại sớm gói tin dựa trên việc kết hợp các trường 3.2.1 Ý tưởng của việc loại sớm gói tin bằng việc kết hợp các trường

Các điểm căn cứ:

 Các luật trong tập luật tường lửa có thể được chia thành 2 nhóm là các luật cấm “DENY” và các luật cho phép “ACCEPT” Một gói tin thỏa mãn một luật thuộc nhóm “DENY” thì sẽ không thỏa mãn bất cứ luật nào thuộc nhóm

“ACCEPT” và ngược lại Gọi C Accept là điều kiện để gói tin được “ACCEPT”

(được xây dựng từ tập các luật “ACCEPT”) thì gói tin không thỏa mãn C Accept

sẽ bị “DENY” Như vậy để loại gói tin thì ta có thể xây dựng điều kiện

NOT(C Accept) và kiểm tra gói tin theo điều kiện đó Vấn đề đặt ra là làm sao

chúng ta xây dựng và sử dụng được điều kiện NOT(C Accept) để đem lại hiệu quả trong quá trình phân loại gói tin trên tường lửa

Trong các thuật toán phân loại gói tin thì việc kiểm tra phải thực hiện trên tất cả các trường được sử dụng cho quá trình phân loại Quá trình kiểm tra trên các trường đó có thể được tiến hành một cách song song hay tuần tự Tuy nhiên, theo bất cứ hình thức nào thì việc phân loại trên mỗi trường sẽ đều yêu cầu chi phí về tài nguyên và thời gian Số chiều phân loại tỉ lệ thuận với thời gian phân loại Nếu chúng ta giảm số chiều cần phải kiểm tra thì có thể làm giảm chi phí cho cho quá trình phân loại gói tin

Căn cứ vào quan sát trên, chúng tôi đưa ra ý tưởng cho việc đề xuất kỹ thuật loại sớm gói tin mới như sau:

 Giảm số chiều kiểm tra cho mỗi gói tin đến tại module lọc sớm Thay vì

phải kiểm tra trên nhiều trường thì thực hiện kết hợp các trường nguyên thủy

thành một trường dựa trên các nguyên tắc kết hợp

 Xây dựng bộ luật loại sớm gói tin trên trường kết hợp dựa trên giá trị tập

phủ (xây dựng điều kiện NOT(C Accept) )

 Sử dụng cấu trúc cây cân bằng (cây B, AVL, cây đỏ đen) để lưu trữ bộ luật loại sớm gói tin và lọc các gói tin đến

3.2.2 Loại sớm gói tin sử dung phép kết hợp COM trên hai chiều

3.2.2.1 Phép kết hợp COM