BỘ GIÁO DỤC VÀ ĐÀO TẠO

BỘ QUỐC PHÒNG

VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ

-------------------------------

VŨ DUY NHẤT

NGHIÊN CỨU ĐỀ XUẤT MỘT SỐ THUẬT TỐN
PHÂN LOẠI GĨI TIN VÀ PHÁT HIỆN XUNG ĐỘT NHẰM
PHÁT TRIỂN TƯỜNG LỬA HIỆU NĂNG CAO

Chuyên ngành:

Cơ sở tốn học cho tin học

Mã số:

9460110

TĨM TẮT LUẬN ÁN TIẾN SĨ TOÁN HỌC

HÀ NỘI – 2019


Cơng trình được hồn thành tại:
VIỆN KH&CN QN SỰ - BỘ QUỐC PHÒNG

Người hướng dẫn khoa học:

1. TS. Nguyễn Mạnh Hùng
2. TS. Thái Trung Kiên
Phản biện 1: PGS.TS Nguyễn Long Giang
Viện Công nghệ thông tin
Viện Hàn lâm KH&CN Việt Nam
Phản biện 2: PGS.TS Ngô Thành Long
Học viện Kỹ thuật quân sự
Phản biện 3: PGS.TS Nguyễn Ngọc Hóa
Trường Đại học Cơng nghệ
Đại học Quốc gia Hà Nội
Luận án sẽ được bảo vệ trước Hội đồng đánh giá luận án
cấp Viện, họp tại Viện KH&CNQS
Vào hồi
giờ
ngày tháng năm 2019

Có thể tìm hiểu luận án tại thư viện:
- Thư viện Viện Khoa học và Công nghệ quân sự
- Thư viện Quốc gia Việt Nam


1
MỞ ĐẦU
1. Tính cấp thiết của đề tài
Ngày nay, mạng máy tính có sự phát triển mạnh mẽ về các mặt quy mơ kết
nối, các loại hình dịch vụ, số lượng người sử dụng. Cùng với sự phát triển đó là
sự ra đời của các công nghệ truyền dẫn tiên tiến, kết quả dẫn đến lưu lượng dữ
liệu được trao đổi trên mạng là rất lớn. Tường lửa là một thiết bị kiểm soát truy
nhập được đặt ở điểm kết nối giữa một mạng cần được bảo vệ với mạng bên
ngoài nhằm bảo đảm an ninh an toàn cho mạng đó. Việc đảm bảo an ninh được

thực hiện bằng cách kiểm tra tất cả các gói tin đi qua tường lửa theo cả hai chiều
vào và ra theo một chính sách an ninh do người quản trị thiết lập.
Với chức năng và vị trí được triển khai, tường lửa sẽ trở thành một rào cản
giữa mạng cần bảo vệ với các mạng khác. Thiết bị này sẽ tác động đến hệ thống
mạng theo hai khía cạnh: Bảo đảm an ninh an tồn của hệ thống với chức năng
kiểm sốt tính hợp pháp của các gói tin đi qua; Làm giảm tốc độ trao đổi thông
tin giữa mạng được bảo vệ với mạng bên ngoài. Hiệu năng của tường lửa cao sẽ
tăng cường khả năng bảo vệ mạng bên trong và hạn chế việc làm suy giảm tốc
độ trao đổi thông tin qua nó.
Cho tới nay, các nhà nghiên cứu cả trong và ngồi nước đã có nhiều cơng
trình nghiên cứu nhằm nâng cao hiệu năng của tường lửa để đáp ứng yêu cầu sử
dụng. Mỗi giải pháp đều có ưu nhược điểm riêng và thường chỉ giải quyết một
vấn đề nhỏ trong việc cải tiến hiệu năng của thiết bị, chưa có giải pháp nào thực
sự tối ưu và mang tính tổng quát. Hiệu năng của tường lửa đã đang và sẽ vẫn
cần thiết phải được nâng cao nhằm cho phép nó đáp ứng được nhu cầu thực tế.
Đó chính là lý do NCS lựa chọn vấn đề nghiên cứu này trong luận án.
2. Mục tiêu nghiên cứu
Luận án được thực hiện nhằm vào mục tiêu sau: Đề xuất các kỹ thuật mới
trong phân loại gói tin và phát hiện xung đột trong tập luật tường lửa nhằm
nâng cao tốc độ phân loại gói tin từ đó phát triển tường lửa hiệu năng cao.


2
3. Phạm vi, đối tượng và phương pháp nghiên cứu
Phạm vi nghiên cứu của luận án tập trung vào việc nghiên cứu các cải tiến
về phần mềm mà chi tiết hơn là các thuật tốn phân loại gói tin nhằm nâng cao
thông lượng của tường lửa.
Đối tượng được trực tiếp nghiên cứu trong luận án là: Cấu trúc dữ liệu lưu
trữ các luật phân loại và thuật toán phân loại dựa trên cấu trúc đó; Các kỹ thuật
nhằm tối thiểu hóa thời gian phân loại trung bình cho mỗi gói tin trên tường lửa.

Luận án sử dụng phương pháp kết hợp giữa nghiên cứu lý thuyết và mô
phỏng thử nghiệm.
4. Ý nghĩa của đề tài nghiên cứu
Nâng cao hiệu năng là yêu cầu tất yếu để tường lửa có thể đáp ứng được
nhu cầu thực tế. Phân tích, đánh giá và đề xuất các phương án nâng cao hiệu
năng của tường lửa là lĩnh vực đã và đang được các nhà nghiên cứu trong và
ngoài nước quan tâm. Các nội dung nghiên cứu của đề tài sẽ là cơ sở để chúng
ta làm chủ từ đó có thể tự phát triển các tường lửa nhằm đáp ứng nhu cầu về an
ninh an tồn cho các hệ thống mạng nói chung và đặc biệt các hệ thống mạng
thuộc lĩnh vực an ninh quốc phòng.
5. Nội dung và cấu trúc của luận án
Luận án gồm 04 chương cùng với các phần mở đầu, kết luận, danh mục các
cơng trình, bài báo khoa học đã được công bố của tác giả và phần phụ lục.


3
CHƯƠNG 1
TỔNG QUAN VỀ PHÂN LOẠI GÓI TIN TRÊN TƯỜNG LỬA
1.1. Một số khái niệm về tường lửa
Phần này trình bày về một số nội dung: Định nghĩa và lịch sử phát triển của
tường lửa; Các tính năng và phân loại tường lửa hiện nay.
1.2. Hiệu năng và mối quan hệ với q trình phân loại gói tin của tường lửa
Hiệu năng của một tường lửa được đánh giá theo các tiêu chí thuộc “RFC3511: Methodology for Firewall Performance”, trong đó tiêu chí về Thơng
lượng IP được xác định đầu tiên. Tiêu chí này liên quan trực tiếp đến tốc độ
phân loại gói tin trong thiết bị tường lửa. Nâng cao tốc độ phân loại gói tin trên
tường lửa cũng chính là nâng cao hiệu năng của thiết bị này.
1.3. Các hướng nâng cao tốc độ phân loại gói tin trên tường lửa
1.3.1. Các nghiên cứu trong lĩnh vực phần cứng
Các giải pháp công nghệ phần cứng mới nhất trong đó được chia thành các
dạng cơ bản là : Sử dụng công nghệ FPGA ; Công nghệ ASIC ; Tận dụng năng

lực tính tốn của GPU ; Phát triển bộ vi sử lý mạng chuyên dụng ; Sử dụng công
nghệ xử lý song song (Hình 1.4)
Sử dụng FPGA

Sử dụng ASIC
NÂNG CAO HIỆU NĂNG
PHẦN CỨNG

Tận dụng năng lực tính tốn GPU

Phát triển bộ vi xử lý mạng
chuyên dụng
Sử dụng công nghệ xử lý song
song

Hình 1.4 Các hướng nghiên cứu trong lĩnh vực phần cứng

Mỗi hướng đề xuất sử dụng công nghệ phần cứng cho việc nâng cao hiệu
năng của tường lửa đều có các ưu điểm và nhược điểm riêng. Tuy nhiên, phương
án xây dựng một tường lửa hiệu năng cao dựa hoàn toàn trên việc ứng dụng các
cải tiến phần cứng kể trên là rất khó khăn trong thực tế.


4
1.3.2. Các nghiên cứu trong lĩnh vực phần mềm
Thành phần tham gia vào q trình phân loại gói tin trong thiết bị mạng nói
chung và tường lửa nói riêng gồm Thuật toán phân loại và Tập luật dùng cho
phân loại. Các nghiên cứu trong lĩnh vực phần mềm nhằm nâng cao tốc độ phân
loại gói tin cũng nhằm vào 2 đối tượng trên. Hai hướng nghiên cứu trong lĩnh
vực này được thể hiện trong Hình 1.5.

NÂNG CAO HIỆU NĂNG
PHẦN MỀM

Phát triển các thuật tốn, kỹ
thuật phân loại gói tin

Tối ưu hóa về
thời gian
phân loại, bộ
nhớ lưu trữ
trong trường
hợp xấu nhất

Loại sớm gói
tin

Tối ưu hóa tập luật

Tối ưu hóa
cách thức
kiểm tra trong
quá trình
phân loại

Phát hiện và
xử lý xung
đột

Hình 1.5 Các hướng nghiên cứu về phần mềm


1.3.3. Một số nghiên cứu trong nước
Việc phát triển các tường lửa hiệu năng cao chưa được quan tâm nghiên
cứu ở trong nước, các nghiên cứu về tường lửa chỉ bao gồm: Làm chủ và phát
triển các tường lửa với tính năng cơ bản và tích hợp mật mã trên thiết bị; Triển
khai sử dụng tường lửa trong các mơ hình mạng nhằm đảm bảo an ninh cho hệ
thống.
1.3.4. Xác định hướng nghiên cứu trong luận án

Việc cải tiến, nâng cấp trong luận án được thực hiện trong tất cả các
bước, các khâu của quá trình phân loại gói tin (Hình 1.10).


5

Tối ưu hóa tập luật:
Phát hiện và xử lý xung đột

Gói tin đã được
phân loại

Cải tiến thuật tốn
phân loại

MODULE PHÂN LOẠI GĨI TIN

Đề xuất kỹ thuật
loại sớm gói tin

Gói tin vào


Tập luật

Hình 1.10 Các hướng cải tiến trong quá trình phân loại gói tin của luận án

1.4. Kết luận chương 1

Nâng cao hiệu năng của tường lửa là yêu cầu quan trọng nhằm bảo
đảm an ninh cho các hệ thống mạng trong điều kiện nhu cầu trao đổi
thông tin ngày càng cao hiện nay. Với mục tiêu “Đề xuất các kỹ thuật mới
trong phân loại gói tin và phát hiện xung đột trong tập luật tường lửa
nhằm nâng cao tốc độ phân loại gói tin từ đó phát triển tường lửa hiệu
năng cao“, luận án sẽ tập trung nghiên cứu Cấu trúc dữ liệu lưu trữ các
luật phân loại và thuật tốn phân loại dựa trên cấu trúc đó; Các kỹ thuật
nhằm tối thiểu hóa thời gian phân loại trung bình cho mỗi gói tin trên
tường lửa. Giải pháp đưa ra nhằm nâng cao hiệu năng của tường lửa mang
tính hệ thống với các đề xuất mới gắn với từng bước xử lý trong q trình
phân loại gói tin: Phát hiện và xử lý xung đột trong tập luật tường lửa (tối
ưu hóa tham số đầu vào cho bài tốn phân loại); Loại sớm gói tin nhằm
chống lại tấn cơng DoS vào luật mặc định (Làm giảm thời gian phân loại
trung bình trong trường hợp bị tấn cơng); Nâng cao hiệu quả quá trình
phân loại bằng cấu trúc dữ liệu và thuật toán mới. Các đề xuất mới sẽ
được NCS trình bày trong các chương tiếp theo của luận án.


6
CHƯƠNG 2
THUẬT TỐN PHÂN LOẠI GĨI TIN TRÊN TƯỜNG LỬA
2.2. Một số khái niệm
Tập luật: Mỗi tập luật bao gồm nhiều luật, mỗi luật bao gồm 3 tham số
chính (Bộ lọc F; Hành động của luật A; Số thứ tự của luật).

Bộ lọc: Mỗi bộ lọc F gồm giá trị các trường cần thỏa mãn. Mỗi trường có
thể được biểu diễn dưới dạng khoảng hay dạng Cặp địa chỉ/mặt nạ.
2.3. Đề xuất thuật tốn phân loại gói tin dựa trên cấu trúc cây Ưu tiên đa
nhánh – MWP
2.3.3 Ý tưởng chính của đề xuất và các định nghĩa
2.3.3.1 Ý tưởng của đề xuất
Dựa trên cấu trúc Priority Trie – PT[43] và JA-trie[10], chúng tôi xây dựng
cây ưu tiên đa nhánh – MWP với các đặc tính sau:
 Cây MWP được xây dựng để phân loại gói tin theo một chiều (IP
nguồn hoặc IP đích), dữ liệu được lưu trữ trên cây được cho dưới
dạng tiền tố.
 Kết quả phân loại gói tin trên cây MWP trả về tiền tố dài nhất khớp
với gói tin BMP (Best Match Prefix).
 Chiều dài của tiền tố được lưu tại một nút cha luôn lớn hơn hoặc
bằng chiều dài tiền tố của các nút con của nó. Việc tìm kiếm kết thúc
ngay khi khớp với tiền tố tại một nút.
 MWP là cây đa nhánh. Mỗi nút trên cây MWP bao gồm nhiều nút
con, trong đó nút con thứ i chứa tiền tố có i bit đầu tiên trùng i bit
đầu tiên chứa tại nút cha.
2.3.3.2 Các định nghĩa và định lí



Định nghĩa 2.1: Bậc của một tiền tố.
Cho hai tiền tố P và Q; chiều dài của P là l; chiều dài của Q là t. Q được gọi
là tiền tố bậc n của P khi và chỉ khi:
−𝑡 ≤ 𝑙
{ − 𝑛 bit đầu tiên của Q trùng với 𝑛 đầu tiên của P
− Bít thứ (𝑛 + 1) của Q khác với bit thứ (𝑛 + 1) của P


Khi đó ta ký hiệu Q = Ln(P).
 Định nghĩa 2.2: Bậc của một tập tiền tố.
Cho G là một tập các tiền tố, G được gọi là tập tiền tố có bậc n của tiền tố P
khi và chỉ khi mọi tiền tố Q của G đều là bậc n của P.


7
Khi đó ta ký hiệu G = Sn(P).
 Định nghĩa 2.3: Tiền tố lớn nhất.
Cho G là một tập tiền tố, P là tiền tố lớn nhất của G khi và chỉ khi ∀Q ∈ G
(Q ≠ P) thì chiều dài của Q luôn nhỏ hơn hoặc bằng chiều dài của P.
Ký hiệu P = Max(G).
 Định lí 2.1: Cho G là một tập tiền tố (G không chứa hai tiền tố trùng
nhau) và P là tiền tố lớn nhất của G: Nếu một địa chỉ IP khớp với P thì P sẽ là
tiền tố khớp dài nhất BMP của IP.
 Định lí 2.2: Cho hai tập tiền tố G1, G2 và tiền tố P, trong đó G1 = Si(P),
G2 = Sj(P) và i ≠ j. Nếu một địa chỉ IP khớp với tiền tố P1 (P1 ∈ G1) thì sẽ không
tồn tại bất cứ một tiền tố P2 ∈ G2 mà P2 khớp với IP.
2.3.4 Cấu trúc cây MWP
2.3.4.1 Cấu trúc nút trên cây
Mỗi nút trên cây MWP được thể hiện như Hình 2.1 và có đặc điểm như sau:
 Mỗi nút N lưu trữ một tiền tố P.
 Nút N có một trường Backtrack được sử dụng khi có một tiền tố Q
là tiền tố của tiền tố P. Trong trường hợp này, chúng ta không cần
tạo một nút để lưu trữ Q và khi đó chỉ cần đặt giá trị trường Backtrack
là chiều dài của Q.
 Mỗi nút có tối đa k nút con (k = 32 với IPv4, k = 128 với IPv6).
 Chiều dài của tiền tố lưu trong nút con luôn nhỏ hơn hoặc bằng chiều
dài tiền tố lưu trong nút cha của nó.
 Nút con thứ m của N chứa tiền tố có độ dài lớn nhất trong tập tiền tố

bậc m của tiền tố lưu trong N.

Nút N

Max(S0(P))
Backtrack-0

Max(S1(P))
Backtrack-1

Tiền tố P
Backtrack

Max(Sw(P))
Backtrack-w

Hình 2.3 Cấu trúc một nút N của cây MWP


8
2.3.4.2 Thuật toán xây dựng nút
Thủ tục xây dựng nút trên cây được thực hiện với đầu vào là một tập tiền tố
mà trong đó các tiền tố có cùng một bậc của tiền tố được lưu tại nút cha của nó.
Bắt đầu

Tập tiền tố: G;
Độ dài tính bằng bít của trường IP nguồn: W

+
G rỗng


Prefixlongest = Max(G);
i = W;

node.key = [Giá trị của Prefixlongest] Dịch trái
(W–chiều dài của Prefixlonggest) bít;
node.len = chiều dài của Prefixlonggest;

Gi = Si(Prefixlongest);
BuildNode(node.children[i], Gi);

i

1

+

i = i -1;

UpdateBacktrack(node);

Kết thúc

Hình 2.4. Sơ đồ thuật tốn xây dựng nút trên cây MWP

2.2.4.3 Thuật tốn phân loại gói tin
Thuật tốn 2.2 thực hiện phân loại gói tin có địa chỉ đầu vào IP. Ý tưởng
phân loại được thực hiện như sau:
 Bắt đầu quá trình tìm kiếm từ nút gốc của cây.
 Trong mỗi nút, địa chỉ IP được so sánh với tiền tố được lưu trữ:

o Nếu khớp quá trình tìm kiếm kết thúc và tiền tố khớp dài nhất
chính là tiền tố lưu trong nút đang xét.
o Ngược lại:
 Nếu nút đang xét khơng có nút con thì tiền tố khớp lớn
nhất sẽ có độ dài bằng giá trị Backtrack.


9


Ngược lại, so sánh các bít đầu tiên của địa chỉ IP với
các bít đầu tiên của tiền tố lưu trong nút để rẽ nhánh
cho quá trình tìm kiếm tiếp.
Bắt đầu

Nhập địa chỉ IP

Node = ROOT;
BMP =0;

+

Node=NULL

node = node.mChildren[pos];

pos = GetMatchPrefix(addr, node.key);

pos


node.len

+
BMP = node.len;

-

BMP
-

+
BMP=Node.Backtrack;

Trả về giá trị BMP

Kết thúc

Hình 2.6. Thuật tốn phân loại gói tin trên cây MWP

2.3.4.4 Đánh giá độ phức tạp
So sánh độ phức tạp giữa 3 cấu trúc được thể hiện trong Bảng 2.5.
Bảng 2.5. So sánh độ phức tạp giữa cấu trúc MWP với PT và JA-trie
Cấu trúc
Độ phức tạp tìm kiếm
Độ phức tạp lưu trữ
JA-Trie
O(W/k)
O(2kNW/k)
MWP

O(W)
O(NW)
PT
O(W)
O(NW)

2.4. Kết luận của chương 2
Cấu trúc MWP khắc phục được các điểm hạn chế về chiều cao trung bình và
dư thừa lưu trữ trên cây Ưu tiên PT, hạn chế về giới hạn chiều dài tiền tố có thể
áp dụng trên cấu trúc cây Ja-trie và cuối cùng là cấu trúc MWP đã khắc phục


10
được thao tác quay lui trong một số trường hợp của các thuật toán phân loại hiện
nay.
Thuật toán phân loại gói tin dựa trên cấu trúc MWP có thể được sử dụng bởi
các tường lửa và thiết bị định tuyến. Kết quả thử nghiệm cho thấy, tốc độ phân
loại với cấu trúc MWP có thể đạt đến trên 40 triệu gói một giây. Tốc độ này có
thể được cải thiện trên các nền tảng phần cứng cao hơn hay các phần cứng
chuyên dụng. Trong xu hướng phát triển hiện nay của kỹ thuật xử lý song song
thì tính đơn giản của cấu trúc dữ liệu cũng như hiệu quả trong quá trình tìm kiếm
phân loại của MWP là các ưu điểm để có thể triển khai MWP trong thực tế.
Thiết bị tường lửa thực hiện chức năng bảo vệ cho mạng nội bộ trước các tấn
cơng từ bên ngồi. Đề xuất thuật tốn phân loại gói tin trên cấu trúc cây MWP
ở chương này nhằm nâng cao hiệu năng của thiết bị. Tuy nhiên bản thân tường
lửa cũng hịu các tấn cơng trực tiếp nên u cầu phải có khả năng tự bảo vệ trước
các tấn cơng đó. Chương tiếp theo của luận án sẽ trình bày về đề xuất kỹ thuật
loại sớm gói tin trên tường lửa nhằm hạn chế một dạng tấn công dạng DoS vào
thiết bị này từ đó nâng cao hiệu năng của thiết bị trong trường hợp bị tấn công.

11
CHƯƠNG 3
KỸ THUẬT LOẠI SỚM GÓI TIN TRÊN TƯỜNG LỬA
3.2. Đề xuất kỹ thuật loại sớm gói tin dựa trên việc kết hợp các trường
3.2.1 Ý tưởng của việc loại sớm gói tin bằng việc kết hợp các trường
Các điểm căn cứ:
 Các luật trong tập luật tường lửa có thể được chia thành 2 nhóm là các
luật cấm “DENY” và các luật cho phép “ACCEPT”. Một gói tin thỏa mãn một
luật thuộc nhóm “DENY” thì sẽ khơng thỏa mãn bất cứ luật nào thuộc nhóm
“ACCEPT” và ngược lại. Gọi CAccept là điều kiện để gói tin được “ACCEPT”
(được xây dựng từ tập các luật “ACCEPT”) thì gói tin khơng thỏa mãn CAccept
sẽ bị “DENY”. Như vậy để loại gói tin thì ta có thể xây dựng điều kiện
NOT(CAccept) và kiểm tra gói tin theo điều kiện đó. Vấn đề đặt ra là làm sao
chúng ta xây dựng và sử dụng được điều kiện NOT(CAccept) để đem lại hiệu quả
trong q trình phân loại gói tin trên tường lửa.

 Trong các thuật tốn phân loại gói tin thì việc kiểm tra phải thực hiện trên
tất cả các trường được sử dụng cho quá trình phân loại. Quá trình kiểm tra trên
các trường đó có thể được tiến hành một cách song song hay tuần tự. Tuy nhiên,
theo bất cứ hình thức nào thì việc phân loại trên mỗi trường sẽ đều yêu cầu chi
phí về tài nguyên và thời gian. Số chiều phân loại tỉ lệ thuận với thời gian phân
loại. Nếu chúng ta giảm số chiều cần phải kiểm tra thì có thể làm giảm chi phí
cho cho q trình phân loại gói tin.
Căn cứ vào quan sát trên, chúng tôi đưa ra ý tưởng cho việc đề xuất kỹ thuật
loại sớm gói tin mới như sau:
 Giảm số chiều kiểm tra cho mỗi gói tin đến tại module lọc sớm. Thay vì
phải kiểm tra trên nhiều trường thì thực hiện kết hợp các trường nguyên thủy
thành một trường dựa trên các nguyên tắc kết hợp.
 Xây dựng bộ luật loại sớm gói tin trên trường kết hợp dựa trên giá trị tập

phủ (xây dựng điều kiện NOT(CAccept) ).
 Sử dụng cấu trúc cây cân bằng (cây B, AVL, cây đỏ đen) để lưu trữ bộ
luật loại sớm gói tin và lọc các gói tin đến.
3.2.2 Loại sớm gói tin sử dung phép kết hợp COM trên hai chiều
3.2.2.1 Phép kết hợp COM


12
Phép kết hợp COM là việc kết hợp hai trường địa chỉ nguồn và địa chỉ đích
trong một luật thành một trường duy nhất thông qua một nguyên tắc kết hợp
được đề xuất mà chúng tôi gọi là phép COM.
Tiền tố nguồn

s bít

Tiền tố đích

d bít

COM

s bít

Giả sử s < d

Hình 3.1. Cách tạo tiền tố COM

Phép COM: Luật Ri có tiền tố nguồn có chiều dài là s bít, tiền tố đích có
chiều dài là d bít với d > s (Hình 3.1). Tiền tố preCOM gồm s giá trị được tạo
ra bằng cách kết hợp s bít của tiền tố nguồn với s bít của tiền tố đích: bít thứ j

của tiền tố nguồn kết hợp với bít thứ j của tiền tố đích để tạo thành giá trị thứ j
của trường preCOM (j=0..s-1) theo qui tắc trong Bảng 3.1.
Bảng 3.1.Qui tắc kết hợp COM
Tiền tố nguồn
Tiền tố đích
Trường COM

Trường hợp 1
0
0
0

Trường hợp 2
0
1
1

Trường hợp 3
1
0
2

Trường hợp 4
1
1
3

3.2.2.2 Sử dụng trường COM trong phân loại gói tin
 Định nghĩa 3.1: Khoảng giá trị của tiền tố COM
Khoảng giá trị của tiền tố COM – preCOM có chiều dài l, được định nghĩa

là khoảng giá trị của chuỗi preCOM trong hệ cơ số 4 và xác định như sau:
[(preCOM.S1)4,(preCOM.S2)4]. Trong đó S1 là chuỗi gồm (32 – l) số ‘0’, S2 là
chuỗi gồm (32 – l) số ‘3’. Gọi V là giá trị ở hệ cơ số 4 của chuỗi preCOM, khi
đó preCOM có khoảng giá trị trong hệ cơ số 10 là: [V × 432−𝑙 , V × 432−𝑙 +
432−𝑙 − 1].
 Định nghĩa 3.2: Trường COM của gói tin.
Cho gói tin Pkt có địa chỉ IP nguồn là sIP và địa chỉ IP đích là dIP khi đó
trường COM của Pkt được kí hiệu là fCOM và được tính như sau:
fCOM = [sIP] COM [dIP]
(3.1)


13
 Định lí 3.1: Nếu gói tin Pkt có địa chỉ IP nguồn sIP phù hợp tiền tố
IP nguồn preSIP và địa chỉ IP đích dIP phù hợp với tiền tố IP đích preDIP của
luật Ri thì khi đó giá trị của trường fCOM của Pkt sẽ nằm trong khoảng giá trị
tương ứng với tiền tố COM PreCOM của luật Ri.
 Định lý 3.2: Nếu gói tin Pkt có trường fCOM không thuộc khoảng
giá trị của preCOM của luật Ri thì Pkt ít nhất có sIP khơng thỏa mãn tiền tố
preSIP của Ri hoặc dIP không thỏa mãn tiền tố preDIP của Ri.
 Định nghĩa 3.3: Mối quan hệ giữa các khoảng giá trị
Giả sử có hai khoảng rời nhau hoặc lồng nhau [a,b] và [x,y]. Khi đó:
 [a, b] < [x, y] nếu b < x
 [a, b] = [x, y] nếu a = x và y = b
 [a, b] > [x, y] nếu a > y
 [a, b] ∈ [x, y] nếu x ≤ a và b ≤ y
 [a, b] <| [x, y] nếu a < x < b  [a, b] >| [x, y] nếu x < a < y < b
3.2.2.3 Xây dựng luật loại sớm gói tin từ trường COM
Trường fCOM được sử dung cho việc xây dựng bộ luật loại sớm – xây dựng

điều kiện NOT(CAccept). Gọi R là tập tất cả các luật “ACCEPT” trong tập luật
của tường lửa, gồm n luật. Hình 3.2 mơ tả cách xây dựng tập luật loại sớm gói
tin dựa trên trường fCOM của các luật thuộc tập R.

Tập Ф
432-1

0
COM1

COM2

COM3

COMn

COM

Hình 3.3. Cách xây dựng tập luật loại sớm dựa trên trường fCOM

Nếu gọi Ф là tập tất cả các giá trị thuộc tập luật loại sớm dựa trên trường
fCOM thì Ф được xác định theo cơng thức:

Ф = {x: x ∈ COM và x ∉ 𝐶𝑂𝑀𝑖 ∀i ∈ [1, n]}
Trong đó COMi là khoảng giá trị xác định bởi tiền tố preCOMi và
preCOMi = [preSIPi] COM [preDIPi]

(3.3)

14
3.2.2.4 Thuật tốn xây dựng tập luật loại sớm gói tin trên trường fCOM
Thuật toán xây dựng tập luật loại sớm 𝚽 được thực hiện trên cấu trúc cây
cân bằng (cây AVL, cây Đỏ đen hay cây B). Khóa key được lưu trữ tại mỗi nút
trên cây là một khoảng giá trị [a, b]. Thuật toán xây dựng cây gồm các bước
sau:
Bước 1: Tạo nút gốc cho cây nhị phân cân bằng với giá trị khóa là khoảng
[0, MAX] (trường hợp độ dài địa chỉ IP nguồn, đích là 32 bít thì MAX= 432-1).
Bước 2: Xây dựng tiền tố COMi của luật tương ứng và chuyển thành các
khoảng [x, y].
Bước 3: Chèn khoảng [x, y] vào cây.
Duyệt khoảng [x,y] trên cây, giả sử đang xét nút N chứa khoảng [a,b], thực
hiện chèn vào cây theo các quy tắc trong Bảng 3.3, dựa trên mối quan hệ giữa
hai khoảng giá trị được xác định theo Định nghĩa 3.3.
Bảng 3.3. Các quy tắc chèn đoạn [x,y] vào nút Ni
Trường hợp

Điều kiện

i

[a,b] ϵ [x,y]

ii
iii
iv

[a,b] =[x,y]
[a,b] < [x,y]
[a,b] > [x,y]

v

[a,b] <| [x,y]

vi

[a,b] >| [x,y]

Thao tác
Xóa nút Ni khỏi cây.
Thêm đoạn [x,a-1], [b+1,y] vào cây.
Xóa nút Ni khỏi cây
Thêm đoạn [x,y] vào cây con bên phải của Ni.
Thêm đoạn [x,y] vào cây con bên trái của Ni.
Thay đoạn [a,b] trên nút Ni bằng đoạn [a, x-1].
Thêm đoạn [b+1,y] vào cây con bên phải của Ni.
Thay đoạn [a,b] trên nút Ni bằng đoạn [y+1, b].
Thêm đoạn [x,a-1] vào cây con bên trái của Ni.

Bước 4: Quay lại bước 3 cho đến khi hết tập luật.
3.2.2.5 Loại sớm gói tin với trường fCOM
Khi một gói tin Pkt đến, trường fCOM của gói tin được tính từ địa chỉ IP
nguồn và IP đích, chuyển đổi fCOM thành một giá trị số P, và thực hiện tìm
kiếm P trên cây cân bằng. Trong trường hợp giá trị P được tìm thấy nằm trong
khoảng giá trị của một nút trên cây thì gói tin Pkt bị loại ngay, ngược lại gói
Pkt sẽ phải được phân loại bởi module phân loại nguyên thủy.
3.2.3 Loại sớm gói tin sử dụng phép XOR kết hợp nhiều trường
Kỹ thuật này khác biệt với kỹ thuật loại sớm COM ở các điểm:
 Có thể thực hiện trên nhiều chiều.

 Sử dụng phép XOR để kết hơp nên cải tiến tốc độ phân loại.
3.2.3.1 Phép kết hợp XOR
Trường fXOR được xây dựng như công thức:


15
𝑓𝑋𝑂𝑅 = preSIP(𝑛) 𝐗𝐎𝐑 preDIP(𝑛) 𝐗𝐎𝐑 preDPort(𝑛)

(3.4)

Trong đó:
𝑛 = MIN {length(𝑝𝑟𝑒𝑆𝐼𝑃), length(𝑝𝑟𝑒𝐷𝐼𝑃), length(𝑝𝑟𝑒𝐷𝑃𝑜𝑟𝑡)}

(3.5)

Tiền tố IP nguồn

XOR
Tiền tố IP đích

(a)
XOR

=

Cổng nguồn

Xor prefix

Tiền tố IP nguồn

XOR

Tiền tố IP đích
XOR

(b)

=

Cổng nguồn
Xor prefix

Hình.3.9 Phép kết hợp các trường bằng phép XOR

3.2.3.2 Sử dụng trường fXOR trong loại sớm gói tin
 Định nghĩa 3.4: Trường XOR của gói tin
Cho gói tin Pkt có địa chỉ IP nguồn là sIP, địa chỉ IP đích là dIP và cổng
nguồn là dPort khi đó trường XOR của Pkt được kí hiệu là fXOR và được tính
như sau:
𝑓𝑋𝑂𝑅 = [𝑠𝐼𝑃] 𝐗𝐎𝐑 [𝑑𝐼𝑃] 𝐗𝐎𝐑 [𝑑𝑃𝑜𝑟𝑡 thêm 𝑚 bít ‘0’ bên phải]

(3.6)

Trong đó m = len(sIP) – len(dPort).
 Định nghĩa 3.5: Khoảng giá trị của tiền tố XOR
Khoảng giá trị của tiền tố XOR – preXOR có chiều dài l, được định nghĩa
là khoảng giá trị của chuỗi nhị phân preXOR trong hệ cơ số 2 và xác định như
sau: [(preXOR.S1)2,(preXOR.S2)2]1. Trong đó S1 là chuỗi gồm (32 – l) số ‘0’, S2
là chuỗi gồm (32 – l) số ‘1’. Gọi V là giá trị của chuỗi nhị phân preXOR, khi đó
preXOR có khoảng giá trị trong hệ cơ số 10 là: [V × 232−𝑙 , V × 232−𝑙 +

232−𝑙 − 1].

1

Chúng ta ký hiệu (xyz)2 là giá trị số xyz trong hệ cơ số 2


16
 Định lí 3.3: Nếu một gói tin Pkt với trường fXOR (được tính theo
cơng thức 3.6) khơng thuộc khoảng giá trị của trường fXOR trong luật R thì Pkt
khơng khớp với luật R.
 Định nghĩa 3.6: Tập luật loại sớm
Gọi Q là tập tất cả các giá trị thuộc khoảng không gian giá trị của trường
fXOR, A là tập các giá trị là hợp của tất các cả khoảng giá trị xác định bởi tiền
tố XOR của các luật có hành động là ACCEPT. Tập luật loại sớm gói tin sẽ là
các giá trị thuộc tâp D được xác định theo cơng thức:
𝑫 = 𝑸/𝑨

(3.7)

 Định lí 3.4: Khi một gói tin Pkt với trường fXOR thuộc tập D thì nó
sẽ khơng thỏa mãn bất cứ luật ACCEPT nào.
3.2.3.3 Xây dựng tập luật loại sớm và loại sớm gói tin dựa trên trường fXOR
Việc xây dựng tập luật loại sớm D và sử dụng tập D trong việc loại sớm
gói tin cững tương tự như q trình xây dựng và sử dụng tập Ф đối với phép
COM.
Ngồi việc có thể sử dụng trường fXOR trong việc loại sớm gói tin thì
trường này cịn có thể được sử dụng trực tiếp trong q trình phần loại gói tin.
Điều này được luận án nghiên cứu và thử nghiệm đánh giá.
3.2.4 Đánh giá hiệu quả của việc sử dụng trường kết hợp trong loại sớm

gói tin
3.2.4.2 Điều kiện để việc sử dụng trường kết hợp có hiệu quả
Gọi T1 là thời gian trung bình để phân loại một gói tin trong module loại
sớm khi sử dụng trường kết hợp, T2 là thời gian trung bình đề phân loại một gói
tin trong module phân loại nguyên thủy của tường lửa, M là tổng số gói tin đi
qua tường lửa và P là tỷ lệ phần trăm các gói tin bị loại sớm. Khi đó, ta có:
Thời gian để phân loại M gói tin với module nguyên thủy của tường lửa
là T2M.
Thời gian phân loại M gói tin khi đi qua tường lửa với cả hai module
loại sớm và module nguyên thủy là T1M + T2(1-P)M.
Điều kiện để việc triển khai module loại sớm có hiệu quả về mặt thời
gian là:

𝑇1 𝑀 + 𝑇2 (1 − 𝑃)𝑀 < 𝑇2 𝑀


17
↔ 𝑇1 𝑀 < 𝑇2 𝑀𝑃
↔ 𝑃 >

𝑇1
𝑇2

(3.8)

Theo công thức 3.8 hiệu quả của việc loại sớm gói tin với trường kết
hợp phụ thuộc vào tỉ lệ gói tin bị loại sớm. P chỉ có ý nghĩa thực tế khi T1T1 sẽ tỉ lệ thuận với các giá trị trong tập luật loại sớm (tập 𝚽 với trường fCOM,
tập D với trường fXOR). Trong trường hợp số lượng các luật loại sớm lớn thì kỹ
thuật loại sớm trên trường kết hợp sẽ không hiệu quả.

Việc xác định T1 và T2 khơng cố định chỉ mang tính tương đối và phụ
thuộc vào tính chất của luồng dữ liệu đi qua. Tuy nhiên trong mỗi khoảng thời
gian nhất định các giá trị này có thể được xác định. Để giải pháp sử dụng module
phân loại sớm với trường kết hợp luôn đạt hiệu quả thì chúng ta cần xác định
một giá trị nhỏ nhất của P là Pmin, trong trường hợp P giảm tới mức Pmin thì
module loại sớm sẽ dừng hoạt động và khi đó các gói tin chỉ được phân loại bởi
module phân loại nguyên thủy.
3.3. Kết luận của chương 3
Chương này đã trình bày về giải pháp nhằm nâng cao hiệu năng cũng
như nâng cao khả năng phòng chống tấn cơng DoS vào chính các tường lửa đó
là kỹ thuật loại sớm gói tin. Trên cơ sở nghiên cứu về bản chất của loại sớm gói
tin cũng như chỉ rõ ưu nhược điểm của các kỹ thuật đã được giới thiệu, chúng
tôi đã đề xuất được kỹ thuật loại sớm gói tin mới dựa trên việc làm giảm số
chiều kiểm tra bằng các phép kết hợp COM hay XOR và sử dụng các cấu trúc
cây cân bằng trong việc lưu trữ luật và loại sớm gói tin.
Điểm đề xuất mới là sử dụng phép kết hợp để làm giảm số chiều cần
kiểm tra có thể được triển khai sử dụng trong việc loại sớm hay phân loại gói
tin thơng thường nhằm thu được hiệu quả về mặt thời gian. Tính đúng đắn của
đề xuất đã được chứng minh bằng lý thuyết cũng như qua kết quả của quá trình
thử nghiệm. Trong hai phép kết hợp được đề xuất thì phép kết hợp XOR có hiệu
quả cao hơn nhờ tốc độ thực hiện và khả năng áp dụng cho nhiều hơn hai trường.


18
Phép kết hợp nhằm làm giảm số chiều cần kiểm tra ngồi việc sử dụng cho loại
sớm gói tin cịn có thể được sử dụng trong phân loại gói tin thông thường.
Chương 2 và Chương 3 đã đề xuất các thuật tốn mới trực tiếp tham gia
trong q trình phân loại gói tin trên tường lửa từ đó nâng cao hiệu năng của
thiết bị này. Tuy nhiên, chúng ta thấy rằng việc phân loại gói tin nói chung đều
dựa vào tập luật. Do đó, tập luật chính là một tham số đầu vào của bài toán phân

loại và tối ưu tham số này sẽ làm tăng tốc độ phân loại. Đây chính là nội dung
được trình bày trong chương tiếp theo của luận án.


19
CHƯƠNG 4
PHÁT HIỆN VÀ XỬ LÝ XUNG ĐỘT TRONG TẬP LUẬT TƯỜNG
LỬA
4.2 Một số khái niệm
4.2.2 Không gian luật và các mối quan hệ khơng gian luật
Mỗi luật R có thể được biểu diễn như sau: R(f1, f2, …, fn, Action). Trong
đó, fi là giá trị mẫu của trường thứ i và giá trị mẫu có thể được cho dưới dạng
khoảng, tiền tố, hay tập các giá trị khác nhau. Mỗi luật có thể được coi là một
thực thể trong không gian n chiều và không gian của thực thể đó chính là khơng
gian luật.
Mối quan hệ giữa hai khơng gian của luật R và luật P sẽ thuộc một trong
4 trường hợp được thể hiện ở Hình 4.1.
R

P
(a)

P

R-P

R

R

(b)

(c)

P
(d)

Hình 4.1. Các mối quan hệ không gian luật của hai luật

Trong đó: (a) R và P tách biệt nhau hồn tồn; (b) R trùng khớp
hoàn toàn với P; (c) R chứa P; (d): R và P có một phần giao nhau.
4.2.3 Các loại xung đột trong tập luật tường lửa
Tương ứng với mối quan hệ về khơng gian luật có 4 loại xung đột có
thể giữa 2 luật đó là: Kiểu bóng (Shadowing), Kiểu tương quan (Correlation),
Kiểu tổng quát (Generalization), Kiểu dư thừa(Redundancy).
4.3 Đề xuất cấu trúc cây CDT phát hiện xung đột trên tập luật
4.3.1 Các định nghĩa mới

Định nghĩa 4.1: Độ chi tiết của trường
Độ chi tiết của trường fn được ký hiệu là |fn| và được xác định như sau:
 Nếu fn là kiểu tiền tố: Độ chi tiết fn được tính bằng chiều dài của tiền tố
đó.
 Nếu fn là kiểu khoảng giá trị [a,b]: Độ chi tiết fn được tính dựa trên số
lượng các giá trị trong khoảng đó theo cơng thức:
𝑀𝐴𝑋−(𝑏−𝑎)
)×
𝑀𝐴𝑋

|𝑓𝑛 | = (

𝐿

(4.1)


20
Trong đó: MAX là giá trị lớn nhất mà a, b có thể mang; L là bậc cao nhất
mà mức độ chi tiết của fn có thể đạt.
 Định nghĩa 4.2: Mối quan hệ giữa hai giá trị trường
Mối quan hệ giữa hai giá trị trường V1 và V2 của trường fn bao gồm các
loại quan hệ: Trùng nhau 𝑉1 ≈ 𝑉2 , Thuộc 𝑉1 ∈ 𝑉2, Giao nhau V1 § V2, Tách rời
V1 >< V2.



Định lí 4.1: Cho hai giá trị trường V1 và V2 của trường fn thì:
 Điều kiện cần để 𝑉1 ∈ 𝑉2 là |V1| > |V2|
 Điều kiện cần để 𝑉1 ≈ 𝑉2 là |V1| = |V2|
 Định lý 4.2: Cho một tập các giá trị trường V=(V1, V2, …, Vm ) của
trường fn, nếu Vk là giá trị trường có độ chi tiết lớn nhất trong tập V thì ∀𝑉𝑖 ∈
𝑽 (𝑖 ≠ 𝑘, 1 ≤ 𝑖 ≤ 𝑚) ta ln có 𝑉𝑖 ∉ 𝑉𝑘 .
Đề lưu trữ các luật trong cấu trúc cây CDT, luận án xây dựng lại cấu
trúc luật gồm danh sách các dữ liệu trường và Action. Mỗi trường được lưu trữ
trong một bản ghi unit gồm các thông tin về kiểu trường, mức độ chi tiết, chỉ số
luật và giá trị trường.
 Định nghĩa 4.3: Mối quan hệ giữa hai unit u1 và u2 (Chỉ sử dụng khi
u1 và u2 có cùng kiểu trường): Trùng nhau: u1 trùng u2, ký hiệu 𝑢1 ≈ 𝑢2 , Thuộc:
u1 thuộc u2, ký hiệu 𝑢1 ∈ 𝑢2 , Giao nhau: u1 giao với u2, ký hiệu u1 § u2.
4.3.2 Ý tưởng của thuật toán
Thuật toán luận án đề xuất bao gồm xây dựng cây CDT từ các luật nhằm

xác định mối quan hệ không gian luật của chúng. Việc xây dựng cây CDT tuân
theo các nguyên tắc chính gồm:
i. Mối quan hệ giữa hai không gian luật được kiểm tra theo từng chiều
trong khơng gian đó.
ii. Tại mỗi chiều khơng gian luật, luật nào có mức độ chi tiết cao nhất
sẽ được xem xét mối quan hệ với các luật còn lại. Luật hay nhóm luật đang được
xét sẽ chỉ có mối quan hệ với các luật khác thuộc các dạng: Trùng khớp (Match);
Là tập con ( Subset); Giao nhau (Overlap); Tách biệt (DisJoin).
iii. Với một luật đang xét, tại chiều thứ i+1: Tập các luật khớp (Match)
với nó sẽ được kiểm tra trong tập Match của chiều thứ i; Tập các luật Chứa
(Super) được kiểm tra trong tập Match, Super của chiều thứ i; Tập các luật Giao
nhau (Overlap) được kiểm tra trong tập Match, Super và Overlap của chiều thứ
i. Phép chuyển luật từ các tập như sau:


21
𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑚𝑎𝑡𝑐ℎ

(𝑀𝑎𝑡𝑐ℎ)𝑖 →

𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑠𝑢𝑝𝑒𝑟

(𝑀𝑎𝑡𝑐ℎ)𝑖 →

𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑠𝑢𝑝𝑒𝑟

(𝑆𝑢𝑝𝑒𝑟)𝑖 →

(𝑀𝑎𝑡𝑐ℎ)𝑖+1

(4.2)

(𝑆𝑢𝑝𝑒𝑟)𝑖+1

(4.3)

(𝑆𝑢𝑝𝑒𝑟)𝑖+1

(4.4)

𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝

(𝑀𝑎𝑡𝑐ℎ)𝑖 →

𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝

(𝑆𝑢𝑝𝑒𝑟)𝑖 →

(𝑂𝑣𝑒𝑟𝑙𝑎𝑝)𝑖+1

(4.5)

(𝑂𝑣𝑒𝑟𝑙𝑎𝑝)𝑖+1

(4.6)

𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝

(𝑂𝑣𝑒𝑟𝑙𝑎𝑝)𝑖 →
(𝑂𝑣𝑒𝑟𝑙𝑎𝑝)𝑖+1 (4.7)

Trong đó, “condition_x” là điều kiện để một luật chuyển từ một tập của
bước thứ i sang tập của bước thứ i +1. Gọi R là luật đang xét, R(fm) là giá trị
trường thứ m của R, thì điều kiện “condition_x” để luật P được chuyển trong các
công thức trên như sau:
condition_match: R(fi+1) ≈ P(fi+1)
condition_super: R(fi+1) ∈ P(fi+1)
condition_overlap: R(fi+1) § P(fi+1)
4.3.3 Cấu trúc cây CDT
Cây CDT là cây đa nhánh được xây dựng từ tập dữ liệu đầu vào là các
unit của tập luật. Nút gốc ROOT của cây CDT chứa danh sách tất cả các luật
trong tập luât. Trong cây, đường dẫn từ nút gốc ROOT đến nút lá biểu diễn hoàn
chỉnh một hay một nhóm luật thỏa mãn các điều kiện cụ thể trên đường dẫn đó.
Nút N mang thơng tin về kiểu trường fn và mức độ chi tiết của trường đó, các
nút con của N được xây dựng theo giá trị trường fn và độ chi tiết của N luôn lớn
hơn hoặc bằng độ chi tiết của trường được lưu trong các nút con của nó.

4.2.3.1 Cấu trúc nút


22
Nút của cây CDT có cấu trúc như Hình 4.2.
TOF
DETAIL

M
S
O
Childs
Lables
Other Child

Danh sách các nhãn tương ứng với các node con
Node con chứa các luật
không thỏa mãn điều kiện DETAIL
Danh sách các luật có khơng gian luật có vùng giao với không
gian luật của các luật thuộc tập M
Danh sách các node con
Danh sách các luật khớp
Danh sách các luật có không gian luật chứa không gian
luật của các luật thuộc tập M
Mức độ chi tiết của trường

Kiểu trường

Hình 4.2. Cấu trúc Nút của cây CDT

4.2.3.2 Xây dựng nút
Thuật toán 4.1: BuildNode
Input: List of unit Unit-matchs;
List of unit Unit-supers;
List of unit Unit-overlaps;
Output: CDTNode N;
Begin
1
UMAX = GetMaxUnit(Unit-matchs);
2
lstUnit = GetUnits(UMAX, Unit-matchs);
3
N.TOF = UMAX.type;
4
N.DETAIL = UMAX.detail;

5
For each u of lstUnit
6
Begin
7
ulable=CreateLable(u);
8
If ulable not in N.Labels
9
Begin
10
N.Lables.add(ulable);
𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑚𝑎𝑡𝑐ℎ

11

(Unit-matchs)→

12

(Unit-matchs)→

𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑠𝑢𝑝𝑒𝑟

(uMatchs);
(uSupers);


23
13

14
15

𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑠𝑢𝑝𝑒𝑟

(Unit-supers)→

(uSupers);

𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝

(Unit-matchs)→

𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝

(Unit-supers)→

(uOverlaps);

(uOverlaps);

𝑐𝑜𝑛𝑑𝑖𝑡𝑖𝑜𝑛_𝑜𝑣𝑒𝑟𝑙𝑎𝑝

16
(Unit-overlaps)→
(uOverlaps);
17
CDTNode M;
18
BuildNode(M,uMatchs, uSupers, uOverlaps);

19
N.Childs.add(M);
20
RemoveUnit(Unit-matchs, uMatchs);
21
End
22 End
23 BuildNode(N.OtherChild, Unit-matchs, Unit-supers, Unit-overlaps);
End

4.3.4 Phát hiện xung đột trên cây CDT
Thông tin mối quan hệ về không gian luật giữa các luật được chứa trong
các nút lá của cây. Cụ thể, tại nút lá N: Các luật thuộc tập N.M là có khơng gian
luật trùng nhau; Các luật thuộc tập N.S có khơng gian luật chứa không gian luật
của các luật thuộc N.M; Các luật thuộc tập N.O có khơng gian luật giao với
khơng gian luật của các luật thuộc tập N.M.
4.3.Kết luận chương 4
Chương này luận án đã tiến hành nghiên cứu về vấn đề tối ưu hóa tập
luật của tường lửa nhằm làm tăng hiệu năng của thiết bị. Trong đó, trọng tâm là
việc phát hiện và xử lý các xung đột trong tập luật. Trên cơ sở phân tích đánh
giá điểm mạnh và điểm hạn chế của các kỹ thuật đã có, NCS đã đề xuất kỹ thuật
phát hiện và xử lý xung đột trên tập luật nhiều chiều của tường lửa với cấu trúc
CDT. Trong nghiên cứu này NCS tập trung giải quyết vần đề mấu chốt là cách
thức xác định hiệu quả mối quan hệ về không gian luật giữa hai luật từ đó làm
cơ sở để xác định các xung đột trong tập luật. Cấu trúc CDT có thể được áp
dụng trong việc xây dựng bộ công cụ hỗ trợ trực tiếp cho người quản trị hệ thống
nhằm xây dựng chính sách an ninh mới hoặc kiểm tra các chính sách an ninh đã
triển khai trên các tường lửa.