ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
_______________________

Lê Đăng Nguyên

PHÁT TRIỂN MỘT SỐ KỸ THUẬT SO KHỚP
ỨNG DỤNG TRONG QUÁ TRÌNH PHÁT HIỆN
XÂM NHẬP VÀ GIẢ MẠO TRÊN MẠNG
Chuyªn ngµnh : Cơ sở toán học cho Tin học
M· sè:

62 46 01 10

LUẬN ÁN TIẾN SĨ TOÁN HỌC

Hà Nội - 2015


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
_______________________

Lê Đăng Nguyên

PHÁT TRIỂN MỘT SỐ KỸ THUẬT SO KHỚP
ỨNG DỤNG TRONG QUÁ TRÌNH PHÁT HIỆN
XÂM NHẬP VÀ GIẢ MẠO TRÊN MẠNG

Chuyªn ngµnh : Cơ sở toán học cho Tin học
M· sè:

62 46 01 10

LUẬN ÁN TIẾN SĨ TOÁN HỌC

NGƯỜI HƯỚNG DẪN KHOA HỌC
1. PGS.TS. Lê Trọng Vĩnh
2. PGS.TS. Đỗ Trung Tuấn

Hà Nội - 2015


LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. Các số liệu, kết
quả nêu trong luận án này là trung thực và chưa từng được ai công bố trong bất kỳ
công trình nghiên cứu nào khác.
Tác giả luận án

Lê Đăng Nguyên

i


LỜI CẢM ƠN
Tác giả xin được bày tỏ lòng biết ơn chân thành và sâu sắc tới PGS.TS. Lê
Trọng Vĩnh, PGS.TS Đỗ Trung Tuấn đã tận tâm hướng dẫn và giúp đỡ tác giả trong
suốt quá trình thực hiện luận án này.
Tác giả cũng xin gửi lời cảm ơn đến các thầy giáo, cô giáo trong bộ môn Tin
học, khoa Toán - Cơ - Tin học, trường Đại học Khoa học Tự nhiên, Đại học Quốc

gia Hà Nội đã góp ý quý báu giúp đỡ tác giả trong quá trình nghiên cứu thực hiện
luận án.
Tác giả cũng xin chân thành cảm ơn tất cả các thầy, các cô trong Ban Chủ
nhiệm Khoa Toán - Cơ - Tin học, trường Đại học Khoa học Tự nhiên, Đại học Quốc
gia Hà Nội, Ban Giám hiệu trường Đại học Hải Phòng, Phòng Đào tạo, Khoa Công
nghệ Thông tin, trường Đại học Hải Phòng cùng toàn thể các anh chị em đồng
nghiệp, bạn bè đã luôn động viên, tạo mọi điều kiện thuận lợi để giúp đỡ tác giả
hoàn thành luận án.
Cuối cùng, tác giả xin bày tỏ lòng biết ơn vô hạn đến bố mẹ anh chị và gia
đình đã hết lòng ủng hộ, động viên, chia sẻ những khó khăn thuận lợi cùng tác giả
trong suốt quá trình thực hiện luận án.
Tác giả

Lê Đăng Nguyên

ii


MỤC LỤC
LỜI CAM ĐOAN ........................................................................................................i
LỜI CẢM ƠN ............................................................................................................ ii
MỤC LỤC ................................................................................................................. iii
DANH MỤC CÁC HÌNH VẼ....................................................................................vi
DANH MỤC CÁC BẢNG...................................................................................... viii
DANH MỤC CÁC TỪ VIẾT TẮT ...........................................................................ix
LỜI NÓI ĐẦU ............................................................................................................1
CHƯƠNG 1. TỔNG QUAN VỀ SO KHỚP ..............................................................6
1.1. So khớp chuỗi ..............................................................................................6
1.1.1. Bài toán so khớp chuỗi ...................................................................6
1.1.2 Các thuật toán so khớp chính xác cổ điển .......................................9

1.1.3 Các thuật toán so khớp chính xác dựa trên mô hình Automat ......13
1.1.4 Các thuật toán so khớp chính xác dựa trên bảng băm ...................14
1.1.5 Các thuật toán so khớp gần đúng ...................................................16
1.1.6 Một số nghiên cứu liên quan về ứng dụng thuật toán so khớp trong
phát hiện xâm nhập mạng .................................................................................17
1.2. So khớp đồ thị ............................................................................................26
1.2.1. Một số định nghĩa và ký hiệu .......................................................26
1.2.2. Bài toán so khớp đồ thị .................................................................28
1.2.3 Một số nghiên cứu liên quan về so khớp đồ thị .............................29
1.3. Kết chương .................................................................................................33
CHƯƠNG 2. ỨNG DỤNG SO KHỚP MẪU TRONG QUÁ TRÌNH PHÁT HIỆN
XÂM NHẬP MẠNG ................................................................................................34
2.1. Xâm nhập mạng .........................................................................................34

iii


2.1.1. Một số kỹ thuật xâm nhập trái phép .............................................35
2.1.2. Một số giải pháp kỹ thuật ngăn chặn xâm nhập ...........................38
2.1.3. Hệ thống phát hiện xâm nhập trái phép ........................................39
2.1.4. Một số nghiên cứu liên quan đến hệ thống phát hiện xâm nhập ..44
2.2 Thuật toán Aho-Corasick ............................................................................48
2.3. Một số nghiên cứu liên quan......................................................................54
2.4. Cải tiến thuật toán AC bằng kỹ thuật nén dòng và bảng chỉ số .................56
2.4.1. Biểu diễn không gian lưu trữ và tối ưu hóa bằng kỹ thuật nén dòng56
2.4.2. Cải tiến giai đoạn tiền xử lý của AC ............................................58
2.4.3. Thực nghiệm và đánh giá .............................................................62
2.5. Thuật toán đề xuất mới xây dựng biểu đồ hướng cấu trúc các mẫu kết hợp
với danh sách liên kết ................................................................................................64
2.5.1. Giai đoạn tiền xử lý ......................................................................64

2.5.2. Giai đoạn tìm kiếm .......................................................................66
2.5.3. Thuật toán đề xuất ........................................................................69
2.6. Kết chương .................................................................................................72
CHƯƠNG 3. ỨNG DỤNG SO KHỚP ĐỒ THỊ TRONG QUÁ TRÌNH PHÁT
HIỆN CÁC TRANG WEB GIẢ MẠO .....................................................................73
3.1. Giả mạo trên mạng .....................................................................................73
3.1.1. Giới thiệu ......................................................................................73
3.1.2. Một số kỹ thuật giả mạo ...............................................................73
3.1.3. Một số nghiên cứu liên quan đến giả mạo Web ...........................75
3.2. Một số nghiên cứu liên quan về so khớp đồ thị .........................................77
3.2.1 Tìm đẳng cấu đồ thị và đẳng cấu đồ thị con. .................................77
3.2.2. Thuật toán SI - COBRA cho bài toán so khớp đồ thị gán nhãn. ..80
3.2.3 Thuật toán Simple Tree Matching .................................................83

iv


3.2.4 Thuật toán Partial Tree Alignment ................................................87
3.2.5 Thuật toán NET .............................................................................89
3.2.6 Thuật toán di truyền .......................................................................92
3.3. Giải thuật di truyền cho bài toán so khớp đồ thị ........................................94
3.3.1. Giải thuật di truyền .......................................................................94
3.3.2. Kết quả mô phỏng với giải thuật di truyền ...................................99
3.4 Thuật toán đề xuất về ứng dụng so khớp đồ thị vào so khớp DOM-tree .107
3.4.1 Khái niệm cây DOM ....................................................................107
3.4.2 Xây dựng cây DOM từ trang Web ..............................................108
3.4.3. Phát hiện giả mạo dựa trên cây DOM ........................................111
3.5. Kết chương ...............................................................................................114
KẾT LUẬN .............................................................................................................115
Các kết quả của luận án ........................................................................115

Hướng phát triển luận án ......................................................................116
DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ LIÊN QUAN ĐẾN LUẬN ÁN ....117
TÀI LIỆU THAM KHẢO .......................................................................................118

v


DANH MỤC CÁC HÌNH VẼ
Hình 1.1. So khớp dựa trên tiền tố ......................................................................................... 8
Hình 1.2. So khớp dựa trên hậu tố ......................................................................................... 9
Hình 1.3. So khớp dựa trên thừa số ....................................................................................... 9
Hình 2.1. Kiến trúc hệ thống phát hiện xâm nhập mạng ..................................................... 40
Hình 2.2. Hệ thống phát hiện đột nhập cho mạng NIDS ..................................................... 41
Hình 2.3. Hệ thống phát hiện đột nhập cho trạm chủ - HIDS ............................................. 42
Hình 2.4. Kiến trúc hệ thống Snort ...................................................................................... 44
Hình 2.5 Quá trình so sánh của thuật toán KMP ................................................................. 49
Hình 2.6 Xây dựng mảng Next ứng với mẫu P = “aabaaa“ ................................................. 49
Hình 2.7 Xây dựng mô hình otomat cho tập mẫu P = {her, their, eye, iris, he, is} ............. 53
Hình 2.8. Không gian trạng thái của AC với tập mẫu P ...................................................... 57
Hình 2.9. Không gian trạng thái của thuật toán AC gốc ...................................................... 60
Hình 2.10. Không gian trạng thái của thuật toán AC sau khi tối ưu.................................... 61
Hình 2.11. So sánh không gian bộ nhớ của thuật toán AC với các cách tiếp cận lưu trữ
trạng thái khác nhau. ............................................................................................................ 63
Hình 2.12. Kết quả của giai đoạn tiền xử lý của thuật toán AC .......................................... 64
Hình 2.13. Kết quả giai đoạn tiền xử lý của thuật toán CW ................................................ 65
Hình 2.14. Kết quả giai đoạn tiền xử lý của thuật toán WM ............................................... 66
Hình 2.15. Kết quả giai đoạn tiền xử lý trong thuật toán của chúng tôi .............................. 66
Hình 2.16. Giai đoạn tìm kiếm của thuật toán CW và WM ................................................ 68
Hình 2.17. Giai đoạn tìm kiếm và so khớp trong thuật toán chúng tôi đề xuất ................... 69
Hình 2.18. So sánh về thời gian thực hiện khi cố định số lượng mẫu ................................. 71

Hình 2.19. So sánh về bộ nhớ sử dụng khi cố định số lượng mẫu ...................................... 71
Hình 3.1. Minh họa về các vector hàng - cột biểu diễn ma trận kề của một đồ thị G. ........ 77
Hình 3.2. Đồ thị GM và GD. ................................................................................................. 78
Hình 3.3. Cây quyết định biểu diễn tất cả các ma trận kề của đồ thị GD. ............................ 78
Hình 3.4. Cây quyết định biểu diễn hai đồ thị GM và GD .................................................... 80
Hình 3.5. Mô phỏng thuật toán tìm đồ thị đẳng cấu dựa vào danh sách các mã. ................ 81
Hình 3.6 Ví dụ về chiến lược tìm kiếm theo chiều rộng, chiều sâu sử dụng mã LVEV. ....... 83
Hình 3.7. Ví dụ về phép ánh xạ giữa 2 cây .......................................................................... 84

vi


Hình 3.8. Ví dụ về thuật toán Simple Tree Matching .......................................................... 86
Hình 3.9. Quá trình mở rộng cây ......................................................................................... 88
Hình 3.10. Quá trình so khớp các nút của thuật toán NET .................................................. 91
Hình 3.11 Thực nghiệm với đồ thị vô hướng có số đỉnh nhỏ hơn 10 ................................ 100
Hình 3.12 Đồ thị con tương ứng của cá thể. ...................................................................... 100
Hình 3.13 Thực nghiệm với đồ thị vô hướng có số đỉnh lớn hơn 10 và nhỏ hơn 20 ......... 101
Hình 3.14 Thực nghiệm với đồ thị vô hướng có số đỉnh lớn hơn 20................................. 101
Hình 3.15 Thực nghiệm với đồ thị vô hướng có trọng số nhỏ hơn 10 đỉnh ...................... 102
Hình 3.16 Thực nghiệm với đồ thị vô hướng có trọng số từ 10 đến 20 đỉnh .................... 103
Hình 3.17 Thực nghiệm với đồ thị vô hướng có trọng số lớn hơn 20 đỉnh ....................... 104
Hình 3.18 Thực nghiệm với đồ thị vô hướng có gán nhãn với số đỉnh nhỏ hơn 10 .......... 105
Hình 3.19 Thực nghiệm với đồ thị vô hướng có gán nhãn với số đỉnh từ 10 đến 20 ........ 106
Hình 3.20 Thực nghiệm với đồ thị vô hướng có gán nhãn với số đỉnh lớn hơn 20 ........... 106
Hình 3.20. Ví dụ cây DOM của một trang HTML ............................................................ 108
Hình 3.21 Ví dụ minh họa về sử dụng visual cue .............................................................. 110
Hình 3.22 Ví dụ minh họa về biểu diễn các đối tượng trang Web dưới dạng DOM-Tree 110
Hình 3.23 Biểu diễn 2 trang web thật và giả mạo dưới dạng cây DOM............................ 112


vii


DANH MỤC CÁC BẢNG
Bảng 2.1. Nén ma trận chuyển hàm Goto với CSR ............................................................. 57
Bảng 2.2. Nén hàm failure của AC dùng bảng chỉ số .......................................................... 57
Bảng 2.3. Thống kê không gian trạng thái thực nghiệm trên Snort với các tập luật chuẩn . 63
Bảng 3.1. Kết quả độ thích nghi ở một số thế hệ với số đỉnh nhỏ hơn 10 ......................... 100
Bảng 3.2. Kết quả độ thích nghi ở một số thế hệ với số đỉnh lớn hơn 10 nhỏ hơn 20 ...... 101
Bảng 3.3. Kết quả độ thích nghi ở một số thế hệ với số đỉnh lớn hơn 20.......................... 102
Bảng 3.4. Kết quả độ thích nghi ở một số thế hệ với số đỉnh nhỏ hơn 10 ......................... 103
Bảng 3.5. Kết quả độ thích nghi ở một số thế hệ với số đỉnh lớn hơn 10 nhỏ hơn 20 ...... 103
Bảng 3.6. Kết quả độ thích nghi ở một số thế hệ với số đỉnh lớn hơn 20.......................... 104
Bảng 3.7. Kết quả độ thích nghi ở một số thế hệ với số đỉnh nhỏ hơn 10 ......................... 105
Bảng 3.8. Kết quả độ thích nghi ở một số thế hệ với số đỉnh lớn hơn 10 nhỏ hơn 20 ...... 106
Bảng 3.9. Kết quả độ thích nghi ở một số thế hệ với số đỉnh lớn hơn 20.......................... 107
Bảng 3.10. Kết quả so sánh giữa GA và STM (%) ............................................................ 113
Bảng 3.11. Tỷ lệ % phát hiện đúng, sai với các ngưỡng khác nhau .................................. 114

viii


DANH MỤC CÁC TỪ VIẾT TẮT
Viết tắt

Ý nghĩa

AC

Thuật toán Aho-Corasick


AC-BM

Aho-Corasick Boyer-Moore

ACMS

Aho-Corasick with Magic states String matching

AC-OPT

Thuật toán Aho-Corasick – OPT

AC-RDF

Thuật toán Aho-Corasick – RDF

APWG

Anti Phishing Working Group

ARP

Address Resolution Protocol

ASCII

American Standard Code for Information Interchange

BDM


Thuật toán Backward Dawg Matching

BM

Thuật toán Boyer-Moore

BMH

Thuật toán Boyer-Moore Horspool

BO

Back - Office

BOM

Thuật toán Backward Oracle Matching

CIAC

Character Index Aho-Corasick

CW

Thuật toán Commentz-Walter

DDOS

Distributed Denial Of Service


DFA

Deterministic Finite Automata

DHCP

Dynamic Host Configuration Protocol

DNS

Domain Name Service

DOM

Document Object Model

DoS

Denial Of Service

DRDoS

Distributed Reflection DoS

GA

Genetic Algorithms

HIDS


Host – based IDS

HP

Honey Pots

HTML

HyperText Markup Language

ix


IDS

Intrusion Detection System

IP

Internet Protocol

IRC

Internet Relay Chat

KMP

Thuật toán Knuth-Morris-Pratt


KR

Thuật toán Karp-Rabin

MAC

Medium Address Control

MDH

Thuật toán Multi-Phase Dynamic Hash

NFA

Non-Deterministic Finite Automata

NIDS

Network - based Intrusion Detection System

NIPS

Network - based Intrusion Prevention System

PCA

Principle Component Analysis

PMT


Possible matching patterns

RSI

Thuật toán Recursive Shift Indexing

SBMH

Setwise Boyer Moore Horspool

SBOM

Set Backward Oracle Matching

SMB

Server Message Block

SMTP

Simple Mail Transfer Protocol

SNMP

Simple Network Management Protocol

STM

Simple Tree Matching


SVD

Singular Value Decomposition

TCP/IP

Transmission Control Protocol / Internet protocol

TCP/UDP

Transmission Control Protocol / User Datagram Protocol

TF-IDF

Term Frequency – Inverse Document Frequency

URL

Uniform Resource Locator

WM

Thuật toán Wu và Manner

XML

eXtensible Markup Language

Worm


Sâu, một loại virus máy tính

x


LỜI NÓI ĐẦU
Triển khai các ứng dụng và dịch vụ trên Internet là nhu cầu của rất nhiều
ngành kinh tế. Nhiều dịch vụ trực tuyến được phát triển mạnh mẽ trong thương mại
điện tử, thanh toán trực tuyến, kinh doanh, tài chính, công nghiệp, an ninh, y
tế,…cho phép người sử dụng truy cập, khai thác và chia sẻ thông tin mọi lúc mọi nơi.
Song song với những tiến bộ và lợi ích mang lại, Internet cũng là không gian rộng
mở cho kẻ xấu lợi dụng thực hiện những vụ tấn công, truy cập trái phép vào các hệ
thống máy tính và mạng của người dùng.
Theo báo cáo của các cơ quan an ninh mạng quốc tế, trong các năm gần đây,
chỉ trong năm 2012, thiệt hại về kinh tế do tội phạm mạng gây ra lên tới 388 tỷ USD
so với năm 2011 là 114 tỷ USD. Đặc biệt, số vụ tấn công mạng vào các hệ thống cơ sở
hạ tầng trọng yếu của nhiều quốc gia ngày càng gia tăng và không chỉ các thiết bị kết
nối Internet truyền thống, các thiết bị dân dụng như tivi thông minh, máy in,… cũng
trở thành mục tiêu tấn công mạng. Bên cạnh các yếu tố đe dọa an ninh truyền thống,
nguy cơ chiến tranh mạng đang trở nên hiện hữu. Đặc biệt đã có nhiều cuộc tấn công
trực tiếp vào các cơ quan trọng yếu của chính phủ, lấy đi nhiều tài liệu mật. Các thông
tin này hoặc bị công bố bừa bãi trên mạng gây bất lợi về mặt chính trị, tâm lý xã hội
hoặc bị sử dụng vào các mục đích chống lại chính phủ.
Mặt khác, nhiều cuộc tấn công vào ngân hàng trộm cắp từ các tài khoản lên tới
hàng trăm tỷ USD hay tấn công vào các công ty doanh nghiệp để đánh cắp các bí mật
kinh doanh, các bí quyết công nghệ mới gây ra các tổn hại lớn gấp bội. Năm 2013 là
năm nghi nhận các đợt tấn công DDoS với quy mô lớn nhất trong lịch sử (tháng
3/2013 với lưu lượng có lúc lên đến 300Gbps – trong khi lượng Internet ở Việt Nam
vào khoảng 361 Gbps) và cũng là năm chứng kiến vấn đề an ninh mạng trở nên căng
thẳng giữa các cường quốc với sự kiện PRISM, Ed Snowden. Đối với Việt Nam, là

quốc gia đứng vị trí 18/20 quốc gia có số người sử dụng Internet đông nhất trên thế
giới và đứng thứ 11 trên toàn cầu về các nguy cơ tấn công mạng. Số vụ tấn công chủ
đích gia tăng từ 77 cuộc mỗi ngày lên 82 cuộc mỗi ngày.

1


Hệ thống phát hiện xâm nhập mạng (Intrusion Detection System) có nhiệm vụ
phân tích các thông tin, theo dõi, phát hiện và ngăn chặn sự xâm nhập trái phép tài
nguyên làm tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống. Có
nhiều cách tiếp cận khác nhau trong việc phát triển hệ thống IDS. Trong số đó, so
khớp mẫu là một kỹ thuật được sử dụng phổ biến trong các hệ thống phát hiện và ngăn
chặn xâm nhập mạng. Việc phát hiện các nguy cơ tiềm ẩn trong hệ thống phát hiện
xâm nhập mạng được thực hiện bằng cách so khớp nội dung gói tin với các mẫu đã
biết. Với sự đa dạng về số lượng các đợt tấn công, hình thức tấn công thì việc thu thập
đầy đủ các mẫu làm cho kích thước tập mẫu ngày càng tăng nhanh. Có rất nhiều thuật
toán so khớp mẫu [7][19] đã được sử dụng trong hệ thống phát hiện xâm nhập Snort
[4][5]. Tuy nhiên, các thuật toán này vẫn tồn tài một số vấn đề như hiệu năng giảm và
tiêu tốn nhiều thời gian thực hiện khi số lượng các mẫu tăng lên. Do vậy, việc nghiên
cứu cải tiến hay đề xuất các thuật toán so khớp mới đáp ứng việc so khớp đồng thời
nhiều mẫu trong các hệ thống phát hiện xâm nhập là một nhu cầu cấp thiết và đây là
mục tiêu thứ nhất của luận án này.
Một vấn đề khác cũng liên quan đến an toàn đó là vấn đề giả mạo (phishing
hay fake) nói chung và giả mạo web nói riêng. Giả mạo và phát tán trên mạng là một
loại tội phạm kỹ thuật xã hội đáng chú ý trên mạng. Giả mạo được báo cáo là vấn
nạn web lần đầu tiên vào năm 2001 của hiệp hội bảo vệ khách hàng, hiệp hội thương
mại liên bang của Mỹ và ngày nay nhóm làm việc chống giả mạo APWG (Anti
Phishing Working Group) đã đưa ra thông số những trang web giả đang tăng khoảng
50% mỗi năm.
Cũng giống như xâm nhập mạng, nhiệm vụ đầu tiên là phải nhận �c lại người ta có thể cập nhật các trang Web dễ

dàng bằng việc sửa đổi DOM-Tree của nó. Do vậy, việc xem xét hai trang Web có
giống nhau hay không, chúng ta hoàn toàn có thể so sánh xem hai DOM-Tree tương
ứng của chúng.
Lí do về sử dụng so khớp đồ thị trong luận án có thể là:
-

Một tư liệu Web được biểu diễn qua cây DOM, và người dùng có thể
thay đổi nội dung, nên kẻ xấu có thể lợi dụng, làm mất an toàn dữ
liệu, hay tấn công giả mạo mạng máy tính. Tuy nhiên các tấn công để
lại vết trên cây DOM. Người ta có thể nhận dạng như nguy cơ này qua
cây DOM.

-

Một khi có mẫu về truy cập trái phép, thể hiện trên cây DOM, người ta
có thể so sánh mẫu này với các đối tượng khác, để phát hiện những truy
cập không hợp lệ, hay có nguy cơ gây mấy an toàn dữ liệu. Vậy, bài toán
so khớp cây DOM là một trong những biện pháp an toàn mạng máy tính,
đáng được nghiên cứu và ứng dụng. Mô hình đối tượng tư liệu, DOM, là
giao diện chương trình cho các tư liệu HTML, XML và SVG. Nó đảm
bảo việc biểu diễn có cấu trúc của tư liệu, hay cây tư liệu, và xác định
cách để các chương trình truy cập cấu trúc này. Các chương trình có thể
thay đổi cấu trúc, phong cách và nội dung tư liệu. Mô hình DOM biểu
diễn tư liệu như nhóm các nút có cấu trúc và các đối tượng. Đối với ngôn
ngữ XML, DOM đối với XML xác định cách truy cập và xử lí các tư liệu
XML; DOM thể hiện tư liệu XML như cấu trúc cây.

-

Mặt khác, các kết quả về toán học trong việc so khớp đồ thị và các ứng

dụng của về so khớp đồ thị, cây, có thể áp dụng cho cây DOM. Mặt
khác, cây chỉ là một dạng đặc biệt của đồ thị. Vì vậy, để tổng quát, luận
án sẽ nghiên cứu bài toán so khớp đồ thị.

Hai trang Web có DOM- Tree giống nhau sẽ phải có cách bố trí tương tự nhau.
Tuy nhiên nó vẫn có thể xảy ra trường hợp hai trang Web có DOM- Tree không hoàn

111


toàn giống nhau nhưng lại có cùng cách bố trí giống nhau. Điều này là các người quản
trị đã thay đổi một số cấu trúc của trang Web đã được sao chép để trông giống với
trang Web gốc, nghĩa là, trang Web này có thể là một trang lừa đảo.
Đưa ra hai DOM- Tree, chúng ta có thể so sánh sự tương đồng của chúng theo
hai cách khác nhau:
-

Thứ nhất, có thể so sánh các thẻ (tag) của hai trang;

-

Thứ hai, có thể so sánh các đồ thị con được trích từ hai DOM-Tree đó.
Trong việc làm này, chúng tôi tập trung vào cách tiếp cận thứ hai.

Hình 3.23 Biểu diễn 2 trang web thật và giả mạo dưới dạng cây DOM

Chúng tôi giả định đưa ra một đồ thị G(V,E) và một bộ các mẫu Ω, tìm các đồ
thị con của G sao cho ∀Gi ∈ Ω các tương đồng lớn hơn ngưỡng δ.
Sau đây là mã giả của thuật toán 3.2.
Thuật toán Phishing Detect, thuật toán 3.2.

Input: - GP = (VP, EP)
- Tập đồ thị mẫu Ω = {G1,..,GN}
- Threshold δ



Output: - R  Gi | SGi  



Begin
R   ;

112


for (i = 1; i< = N; i++)
if (Computing similarity(Gi)>δ)
R  R  Gi  ;

Return R;
End.
Thuật toán của chúng tôi được viết bằng ngôn ngữ C. Chúng tôi kiểm tra cách
tiếp cận của chúng tôi trên một tập 5 trang Web ví dụ (ký hiệu là p1,p2, p3, p4 và p5)
với ba kích thước khác nhau (DOM-Tree ít hơn 10 nút, DOM-Tree từ 10 đến 20 nút,
và DOM-Tree lớn hơn 20 nút) và 10 trang Web mẫu (ký hiệu là T1,T2,...,T10) với ba
kích thước khác nhau (DOM-Tree ít hơn 20 nút, từ 20 đến 50 nút, và lớn hơn 50 nút)
để tính toán sự tương tự giữa các trang ví dụ và trang mẫu.
Chúng tôi so sánh thuật toán của chúng tôi với thuật toán so khớp cây STM
(Simple Tree Matching) đưa ra trong [24].

Bảng 3.10. Kết quả so sánh giữa GA và STM (%)
P1
P2
P3
P4
P5
GA

STM GA

STM

GA

STM GA

STM

GA

STM

T1

72

64

61


61

87

83

93

93

100

100

T2

32

12

23

20

41

34

68


68

54

61

T3

52

43

28

13

76

62

27

18

39

34

T4


65

58

55

40

90

80

54

49

27

18

T5

99

90

29

22


63

57

67

59

83

68

T6

79

68

83

70

76

68

79

70


40

32

T7

71

61

87

80

100

85

76

62

51

43

T8

49


41

91

86

61

51

41

31

92

81

T9

80

71

61

51

78


69

74

62

97

86

T10

88

83

37

29

71

59

91

82

46


33

Chúng tôi cũng thực hiện thuật toán với tập các trang Web giả mạo được liệt kê
trên trang phishtank.com [25] – được biết như là trang cập nhật các trang Web giả mạo
thực trên internet. Kết quả chỉ ra trong bảng 16, ngưỡng cao là nguy hiểm vì kẻ tấn
công có thể bắt chước các trang Web hợp pháp băng việc thay đổi sự biếu DOM-Tree

113


của các trang Web giả mạo. Trong thực nghiệm, chúng đôi đặt ngưỡng δ từ 0.1 tới 0.9.
Chúng tôi đã phát hiện được 100 Web trong tập dữ liệu phishtank bao gồm: Lừa đảo
(valid phishing), không lừa đảo (novalid phishing) và chưa xác định (unknow).
Chúng ta có thể nhìn từ bảng 16 các kết quả là liên quan chặt chẽ đến việc phát
hiện trang Web giả mạo với ngưỡng δ = 0.6. Trong thực tế, nếu các trang Web hợp
pháp chữa nhiều thành phần đặc biệt trong DOM-Tree, nó dễ dàng được phân biệt từ
các trang Web khác.

Bảng 3.11. Tỷ lệ % phát hiện đúng, sai với các ngưỡng khác nhau

δ

0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8

0.9

Nhận dạng đúng (%)

75


63

57

35

22

17

0

0

1

Nhận dạng sai (%)

0

0

0

0

0

0


21

48

92

3.5. Kết chương
Trong chương 3, luận án đã trình bày chi tiết bài toán so khớp đồ thị không
chính xác. Một số cách tiếp cận liên quan và những tồn tại của chúng. Tiếp theo, luận
án trình bày một cách tiếp cận mới cho việc so khớp đồ thị dựa trên thuật toán di
truyền trong chi tiết. Thuật toán đề xuất có thể áp dụng trên một số lớp đồ thị như vô
hướng, có hướng, có trọng số hay gán nhãn. Tuy nhiên, nhược điểm của các thuật toán
ở trên là chỉ áp dụng được trên một số lớp đồ thị cụ thể. Kết quả trên đã được công bố
trong tài liệu [4].
Từ đó, luận án đề xuất việc áp dụng của thuật toán so khớp đồ thị vào quá trình
phát hiện trang Web giả mạo dựa vào cấu trúc DOM của chúng. Các kết quả thực
nghiệm cho thấy hướng tiếp cận dựa trên giải thuật di truyền cho hiệu quả tốt hơn so
với thuật toán STM. Đây là hướng tiếp cận đầy hứa hẹn để tích hợp trong các hệ thống
phát hiện giả mạo. Kết quả này đã được công bố trong tài liệu [6].

114


KẾT LUẬN
Các kết quả của luận án
Hệ thống phát hiện xâm nhập mạng và giả mạo có nhiệm vụ phân tích các
thông tin, theo dõi, phát hiện và ngăn chặn sự xâm nhập trái phép tài nguyên làm tổn
hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống. Có nhiều cách tiếp
cận khác trong đó so khớp mẫu là một kỹ thuật được sử dụng phổ biến trong các hệ
thống phát hiện và ngăn chặn xâm nhập mạng. Việc phát hiện các nguy cơ tiềm ẩn

trong hệ thống phát hiện xâm nhập mạng được thực hiện bằng cách so khớp nội dung
gói tin với các mẫu đã biết.
Trong luận án này, với mục tiêu áp dụng các thuật toán so khớp trong việc
phát triển các hệ thống phát hiện xâm nhập trái phép, luận án đã đạt được các kết
quả như sau:
1. Phân tích đánh giá về hiệu năng cũng như thời gian thực hiện các thuật toán
so khớp mẫu hiện có trên hệ thống phát hiện thâm nhập Snort. Kết quả này
đã được công bố trong tài liệu [1];
2. Đưa ra các cải tiến cho thuật toán so khớp đa mẫu Aho - Corasick bằng
cách sử dụng kỹ thuật nén dòng và bảng chỉ số nhằm nâng cao hiệu quả
của thuật toán, các phân tích và so sánh thực tế nhằm kiểm nghiệm lý
thuyết cũng đã được thực hiện trên hệ thống Snort. Kết quả này đã được
công bố trong tài liệu [3];
3. Luận án cũng đề xuất một thuật toán so khớp đa mẫu mới bằng cách xây
dựng biểu đồ của các mẫu kết hợp với danh sách liên kết làm giảm thời gian
thực hiện việc so khớp đồng thời đa mẫu. Việc cài đặt thực nghiệm của thuật
toán với trong sự so sánh với một số thuật toán đã tồn tại cũng đã triển khai
trên hệ thống Snort. Kết quả này đã được công bố trong tài liệu [5].
Với mục tiêu phát hiện các trang Web giả mạo, luận án đã đạt được các kết quả
như sau:
4. Đưa ra thuật toán mới dựa trên thuật toán di truyền để so khớp các đồ thị
không chính xác. Thuật toán mới có thể áp dụng đối với lớp đồ thị vô
hướng, có hướng, có trọng số hay gán nhãn. Kết quả này đã được công bố
trong tài liệu [4];

115


5. Áp dụng việc so khớp đồ thị vào việc so khớp các DOM-Tree để phát hiện
các trang Web giả mạo. Kết quả này đã được công bố trong tài liệu [6];


Hướng phát triển luận án
Với kết quả này, luận án mới chỉ dừng lại ở việc so khớp cấu trúc của trang
Web và phần nội dung là văn bản trong trang Web. Các yếu tố về hình ảnh, âm
thanh,… thường được sử dụng trong các trang Web như là những phần không thể
thiếu. Việc so khớp các thành phần này cần phải được thực hiện để so khớp hai trang
Web được chính xác hơn. Đây là phần thiếu sót của luận án và cũng là một trong
những định hướng nghiên cứu tiếp của luận án.

116


DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ
LIÊN QUAN ĐẾN LUẬN ÁN
[1]. Lê Đắc Nhường, Lê Đăng Nguyên, Trịnh Thị Thùy Giang, Lê Trọng Vĩnh.
Phân tích, đánh giá hiệu quả của các thuật toán so khớp chuỗi dùng trong an
ninh mạng, Hội thảo các vấn đề chọn lọc về CNTT & TT lần thứ 14, Tr.451463, Cần Thơ 7-8/10/2011. NXB Khoa học kỹ thuật Hà Nội 2012.
[2]. Lê Đắc Nhường, Nguyễn Gia Như, Lê Đăng Nguyên, Lê Trọng Vĩnh. Song
song hóa thuật toán so khớp mẫu QuickSearch trong NIDS sử dụng mô hình
chia sẻ bộ nhớ trên OpenMP và Pthreads. Tạp chí Đại học Quốc gia Hà Nội,
tháng 12/2012. Vol 28(4), Tr 255 – 263.
[3]. Lê Đắc Nhường, Nguyễn Gia Như, Lê Đăng Nguyên, Lê Trọng Vĩnh, Tối ưu
không gian trạng thái của thuật toán AHO-CORASICK sử dụng kỹ thuật nén
dòng và bảng chỉ số, Chuyên san Bưu chính viễn thông các công trình nghiên
cứu và ứng dụng công nghệ thông tin số 9(29), Tr 23 – 29, 2013.
[4]. Le Dang Nguyen, Dac-Nhuong Le, Tran Thi Huong, Le Trong Vinh, A New
Genetic Algorithm Applied to Inexact Graph Matching. International Journal
of Computer Science and Telecommunications, Volume 5, Issue 5, pp.1-7,
May 2014.
[5]. Le Dang Nguyen, Dac-Nhuong Le, Le Trong Vinh, A New Multiple-Pattern

Matching Algorithm for the Network Intrusion Detection System – 4th
International Conference on Security Science and Technology (ICSST 2015)
January 15-16, 2015 Portsmouth, UK. Vol 8, No 2, 2015 pp. 94-100.
[6]. Le Dang Nguyen, Dac-Nhuong Le, Le Trong Vinh, Detecting Phishing Web
Pages based on DOM-Tree Structure and Graph Matching Algorithm- The
Fifth International Symposium on Information and Communication
Technologies, SoICT 2014, December 4-5, 2014, Hanoi, Vietnam pp.280285.

117


TÀI LIỆU THAM KHẢO
TIẾNG VIỆT
[1]. Nguyễn Thúc Hải, Mạng máy tính và các hệ thống mở, NXB Giáo dục -1999.
[2]. Nguyễn Phương Lan, Hoàng Đức Hải, Lập trình LINUX,Tập 1, NXB Giáo Dục 2001.
[3]. Lê Đắc Nhường, Lê Đăng Nguyên, Trịnh Thị Thùy Giang, Lê Trọng Vĩnh. Phân
tích, đánh giá hiệu quả của các thuật toán so khớp chuỗi dùng trong an ninh
mạng, Hội thảo các vấn đề chọn lọc về CNTT & TT lần thứ 14, Tr.451-463, Cần
Thơ 7-8/10/2011. NXB Khoa học kỹ thuật Hà Nội 2012.
TIẾNG ANH
[4]. Rafeeq Rehman, Intrusion Detection with Snort, Prentice Hall, 2003.
[5]. Martin Roesch, Chris Green, Snort User Manual, The Snort Project, 2003.
[6]. Stefan Axelson, Intrusion Detection Systems: A Survey and Taxonomy. Chalmers
University of Technology, Sweden, 2000.
[7]. Christian Charras, Therry Lecroq, Handbook of Exact String Matching
Algorithms, King's College Publications, 2004.
[8]. J. S. Wang, H. K. Kwak, Y. J. Jung, H. U. Kwon, C. G. Kim and K. S. Chung,
“A Fast and Scalable string matching algorithm using contents correction
signature hashing for network IDS”, IEICE Electronic Press, vol 5, no 22, pages
949-953, 2008.

[9]. Alfred V. Aho and Margaret J. Corasick “Efficient string matching: an aid to
bibliographic search”. Commun. ACM Vol. 18, No. 6, pp. 333-340, 1975.
[10]. Nen-Fu Huang; Yen-Ming Chu; Chen-Ying Hsieh; Chi-Hung Tsai; Yih-Jou
Tzang, “A Deterministic Cost-effective String Matching Algorithm for Network
Intrusion Detection System”, In the Pro.c of The IEEE International Conference
on Communication, pp.1292-1297, June 2007.
[11]. Jianming, Y., Yibo, X., and Jun, L., “Memory Efficient String Matching
Algorithm for Network Intrusion Management System”, In Proceedings of
Global Telecommunications Conference, San Francisco, California, USA, pages
1-5, 2006.
[12]. R. Boyer and J. Moore. “A Fast String Searching Algorithm”, Commun. ACM,
pp. 762-772, 1977.
[13]. B. Commentz-Walter, “A String Matching Algorithm Fast on Average”, In the
Proc. of the 6th International Conference on Automata, Languages, and
Programming, 1979.

118


[14]. Yuebin Bai; Kobayashi, H, “New string matching technology for network
security, Advanced Information Networking and Applications”. AINA, pp. 198 201, 2003.
[15]. S. Wu and U. Manner, “A Fast Algorithm for Multi-pattern Searching”,
Technical Report, Department of Computer Science, University of Arizona,
pp.94-117, 1994.
[16]. B. Xu, X. Zhou, and J. Li, “Recursive Shift Indexing: a Aast Multi-pattern String
Matching Algorithm”, In the Proc. of the 4th International Conference on
Applied Cryptography and Network Security (ACNS), 2006.
[17]. C. Allauzen and M. Raffinot, “Factor Oracle of a Set of Words”, Technical
report 99-11, Institut Gaspard-Monge, Universite de Marne-la-Vallee,1999.
[18]. Z. W. Zhou,Y. B. Xue, J. D. Liu, W. Zhang, and J. Li, MDH, “A High Speed

Multi-Phase Dynamic Hash String Matching Algorithm for Large-Scale Pattern
Set”, In the Proc. of the 9th International Conference on Information and
Communication Security (ICICS), 2007.
[19]. Stephen Gossen, Neil Jones, Neil McCurdy, Rayan Persaud. Pattern Matching in
Snort, 2002.
[20]. Mars A.Nortoon et.al, Methods and Systems for Multipattern Searching, Patent
US7996424, 2009
[21]. Branimir Z. Lambov, Efficient Storage for Finite State Machines, Patent
7949679, 2011.
[22]. W3C. Document Object Model. http://www.w3. org/TR/2004/REC-DOM-Level3-Core-20040407/core.html, 2007.
[23]. Le Dang Nguyen, Dac-Nhuong Le, Tran Thi Huong, Le Trong Vinh, “A New
Genetic Algorithm Applied to Inexact Graph Matching”, International Journal of
Computer Science and Telecommunications, Vol.5 No.5, pp.1-6, 2014.
[24]. Hua Wang, Yang Zhang, “Web Data Extraction Based on Simple Tree
Matching,” IEEE, 2010, pp. 15-18
[25]. Report a Phishing Website, (truy cập lần cuối cùng
15/11/2015)
[26]. M. Analoui, A. Mirzaei, and P. Kabiri, “Intrusion detection using multivariate
analysis of variance al-gorithm,” In the Proc of the Third International
Conference on Sys-tems, Signals & Devices SSD05, vol. 3, 2005.
[27]. D. Barbara, J. Couto, S. Jajodia, and N. Wu, “Special section on data mining for
intrusion detection and threat analysis: Adam: a testbed for exploring the use of
data mining in intrusion detection,” ACM SIGMOD Record, vol. 30, pp. 15–24,
Dec. 2001.

119


[28]. D. Barbara, N. Wu, and S. Jajodia, “Detecting novelnetwork intrusions using
bayes estimators,” in the Proc. of the First SIAM International Conferenceon

Data Mining (SDM 2001), Chicago, USA, Apr. 2001
[29]. M. Botha and R. von Solms, “Utilising fuzzy logicand trend analysis for
effective intrusion detection,” Computers & Security, vol. 22, no. 5, pp. 423–
434,2003.
[30]. Susan M. Bridges and M. Vaughn Rayford, “Fuzzydata mining and genetic
algorithms applied to intrusion detection,” in Proc of the Twenty-thirdNational
Information Systems ecurity Conference. National Institute of Standards and
Technology, Oct.2000.
[31]. D. Bulatovic and D. Velasevic, “A distributed in-trusion detection system based
on bayesian alarm networks,” Lecture Notes in Computer Science (Se-cure
Networking CQRE (Secure) 1999), vol. 1740, pp. 219–228, 1999.
[32]. S. B. Cho, “Incorporating soft computing techniques into a probabilistic
intrusion detection system,” IEEE Transactions on system, Man, and cybernetic
sppart, vol. 32, pp. 154–160, May 2002.
[33]. John E. Dickerson and Julie A. Dickerson, “Fuzzy network profiling for
intrusion detection,” in Proc of NAFIPS 19th International Conference of the
North American Fuzzy Information Processing Society, pp. 301–306, Atlanta,
USA, July 2000.
[34]. P. Z. Hu and Malcolm I. Heywood, “Predicting intru-sions with local linear
model,” in the Proc. of the International Joint Conference on Neural Networks,
vol. 3, pp. 1780–1785. IEEE, IEEE, July 2003.
[35]. H. Gunes Kayacik, A. Nur Zincir-Heywood, and Mal-colm I. Heywood, “On the
capability of an som basedintrusion detection system,” in the Proc. of
theInternational Joint Conference on Neural Networks, vol. 3, pp. 1808–1813.
IEEE, July 2003.
[36]. W. Lee, Salvatore J. Stolfo, and Kui W. Mok, “Mining audit data to build
intrusion detection models,” in the Proc. of the Fourth International Conference
on Knowledge Discovery and Data Mining (KDD ’98), New York, NY, USA,
Aug. 1998.
[37]. W. Lee, Salvatore J. Stolfo, and Kui W Mok, “Adap-tive intrusion detection: A

data mining pproach,” Artificial Inteligence Review, vol. 14, no. 6, pp. 533–567,
2000.
[38]. J. Z. Lei and Ali Ghorbani, “Network intrusion detec-tion using an improved
competitive learning neuralnetwork,” in the Proc. of the Second Annual
120


Conference on Communication Networks and Services Research (CNSR04), pp.
190–197. IEEE-Computer Society, IEEE, May 2004.
[39]. Ken. Yoshida, “Entropy based intrusion detection,” in the Proc. of IEEE Pacific
Rim Conference on Communications, Computers and signal Processing
(PACRIM2003), vol. 2, pp. 840–843, 2003.
[40]. Ste. Zanero and Sergio M. Savaresi, “Unsupervised learning techniques for an
intrusion detection sys-tem,” in Proc of the 2004 ACM symposium on Applied
computing, pp. 412–419, 2004.
[41]. J. Gomez and D. Dasgupta, “Evolving fuzzy clas-sifiers for intrusion detection,”
in the Proc. of the 2002 IEEE Workshop on the Information Assurance.
[42]. Bing Liu, Web Data Mining Exploring Hyperlinks, Contents, and Usage Data,
2006.
[43]. Endika Bengoetxea, “Inexact Graph Matching Using Estimation of Distribution
Algorithms”, PhD These, University of the Basque Country Computer
Engineering Faculty, 2002.
[44]. Bruno T.Mesmer, “Efficient subgraph isomorphism detection: a decomposition
approach”, PhD These, Bern, 1995.
[45]. Ivan Olmos, Jesus A.Gonzalez and Mauricio Osorio. “Inexact Graph Matching:
A Case of Study”, American Association for Artificial Intelligence, pp.586-588,
2006.
[46]. Yue Zhang, Jason Hong, and Lorrie Cranor “CANTINA: A Content-Based
Approach to Detecting Phishing Web Sites”, In the Proc. of the 16th
International Conference on World Wide Web, pp.639-648, 2007.

[47]. Likarish, Eunjin Jung, Dunbar. D., and Hansen. T.E., “B-APT: Bayesian AntiPhishing Toolbar, ” In the Proc. of the 16th International Conference on
Communication 2008 (ICC’08), pp. 1745 – 1749. 2008
[48]. Vinnarasi Tharania. I, R. Sangareswari, and M. Saleembabu, “Web Phishing
Detection In Machine Learning Using Heuristic Image Based Method,”
International Journal of Engineering Research and Applications, Vol. 2, Issue 5,
pp.1589-1593, 2012.
[49]. Kranti W., Supriya A. and N. V. Puri, “An Efficient Approach to Detecting
Phishing A Web Using K-Means and Naïve-Bayes Algorithms,” International
Journal of Research in Advent Technology, Vol.2, No.3, pp.106-111, 2014.

121


[50]. Jangjong Fan, Kehyih Su, “An Efficient Algorithm for Matching Multiple
Patterns”, IEEE Transactions on Knowledge and Data Engineering, vol. 5, no.
2, pp.339-351, 1993.
[51]. Andrew D.J. Cross, Richard C. Winson and Edwin R.Hancock, “Inexact graph
matching using genetic search”, Pattern Recognition,Vol.30, No.6, pp. 953-970,
1997.
[52]. Andrew D.J. Cross, Richard C. Winson and Edwin R.Hancock, “Convergence of
a hill-climbing gennetic algorithm for graph matching” Pattern
Recognition,Vol.33, pp. 1863-1880, 2000.
[53]. Yong Wang. Naohiro Ishii, “A genetic algorithm and its parallelization for graph
matching with similatarity measure” Artif Life Robotics,Vol.33, pp. 68-73, 1998.
[54]. Pekalska E, Duin R (2005) The dissimilarity representation for pattern
recognition: foundations and applications. Series in machine perception and
artificial intelligence. World Scientific.
[55]. Luxburg UV, Bousquet O (2003) Distance-based classification with Lipschitz
functions. J Mach Learn Res 5:669–695.
[56]. Gao X, Xiao B, Tao D, Li X (2010) A survey of graph edit distance. Pattern

Anal Appl 13(1):113–129
[57]. Gartner T (2008) Kernels for structured data. No v 72 in kernels for structured
data. World Scientific.
[58]. Lorenzo Livi, Antonello Rizzi (2013), The graph matching problem- Survey,
Pattern Anal Applic (2013) 16:253–283.
[59]. M. Aldwairi, and D. Alansari, “Exscind: Fast pattern matching for intrusion
detection using exclusion and inclusion filters”, Next Generation Web Services
Practices (NWeSP), 2011 7th International Conference on, pp. 24-30, 2011.
[60]. M. Kharbutli, M. Aldwairi, and Abdullah Mughrabi, “Function and Data
Parallelization of Wu-Manber Pattern Matching for Intrusion Detection Systems”,
Network Protocols & Algorithms, volume 4(3), 2012.
[61]. G. Ahmed and N. Khare, “Hardware based String Matching Algorithms: A
Survey”,International Journal of Computer Applications, volume 88(11):16-19,
February 2014
[62]. Koloud Al-Khamaiseh, Shadi ALShagarin, A Survey of String Matching
Algorithms, Int. Journal of Engineering Research and Applications, Vol. 4, Issue 7(
Version 2), July 2014, pp.144-156.

122