Tải bản đầy đủ (.pdf) (14 trang)

XÂY DỰNG HỆ CÁC ĐIỀU KIỆN GIỚI HẠN PHỤC VỤ PHÂN BỐ LƯU LƯỢNG DỊCH VỤ IP INTERNET

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (354.52 KB, 14 trang )


26




HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
**************************



DƯƠNG TUẤN ANH




XÂY DỰNG HỆ CÁC ĐIỀU KIỆN GIỚI
HẠN PHỤC VỤ PHÂN BỐ LƯU LƯỢNG
DỊCH VỤ IP INTERNET


Chuyên ngành: Kỹ thuật viễn thông
Mã số : 62.52.70.05



TÓM TẮT LUẬN ÁN TIẾN SỸ KỸ THUẬT










HÀ NỘI - 2013



Công trình được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG



Người hướng dẫn khoa học:
1. TS. Bùi Thiện Minh
2. PGS.TS. Hoàng Minh



Phản biện 1:

Phản biện 2:

Phản biện 3:



Luận án được bảo vệ trước Hội đồng chấm luận án cấp Học viện họp tại:

…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
vào hồi: ngày tháng năm 2013.

Có thể tìm hiểu luận án tại:
1. Thư viện Quốc gia.
2. Thư viện Học viện Công nghệ Bưu chính Viễn thông.


25

DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ
[1]. Vũ Hoàng Hiếu, Dương Tuấn Anh, "Đảm bảo chất
lượng dịch vụ cho các ứng dụng bằng phương pháp
tương thích động", Tạp chí Công nghệ thông tin &
Truyền thông năm 2007, Vol. 9, No. 1, trang 34-37.
[2]. Vũ Hoàng Hiếu, Dương Tuấn Anh, “Kết quả mô
phỏng phương pháp điều khiển tương thích chất
lượng dịch vụ cho kiến trúc middleware nhận biết
ứng dụng”, Chuyên san “Các công trình nghiên cứu
khoa học, nghiên cứu triển khai Công nghệ thông
tin“, Tạp chí Khoa học và Công Nghệ, năm 2010, số
75, trang 12-19 .
[3]. Dương Tuấn Anh, Hoàng Minh, “Tổng quan về đặc
tính hoá luồng lưu lượng IP”, Tạp chí Khoa học và
Công nghệ, năm 2011, tập 49, số 3, trang 1-23 .
[4]. Dương Tuấn Anh, Nguyễn Hoàng Linh, “Nghiên
cứu về bảo vệ và chống tấn công mạng”, Tạp chí
Khoa học và Công nghệ, năm 2012, tập 50, số 2A,

trang 87-108.

24

Những vấn đề cần nghiên cứu tiếp :
1.) Đối với “đặc tính hóa luồng lưu lượng IP Internet”, nghiên
cứu sinh thấy cần thiết tiến hành nghiên cứu bổ sung thêm những
chiều hữu ích khác trong việc biểu diễn luồng lưu lượng để phát hiện
chính xác hơn sự khác biệt giữa đặc tính thể hiện ở những luồng tin
“phá hoại”,“dịch vụ chuyên dụng” với những luồng tin “dịch vụ
truyền thống” và bổ sung thích hợp vào những phần mềm mã nguồn
mở.
2.) Xác định mức ưu tiên của dịch vụ qua đặc tính hóa lưu
lượng nhiều chiều để tìm ra hệ các điều kiện ràng buộc đồng thời
theo không gian (trong cả miền tần số, miền thời gian đối với lọc
tương thích, đối với điều khiển công suất, và phân bổ tần số thông
qua điều chế tương thích, v.v…) nhằm vào nhiệm vụ đảm bảo cung
cấp chất lượng dịch vụ (QoS) của các công nghệ truyền thông thế hệ
tiếp theo trong môi trường phân tán diện rộng.
3.) Nghiên cứu áp dụng quyết định mềm (Soft decision) vào
nhiệm vụ bảo đảm an toàn thông tin và an ninh mạng để thu được
những giới hạn ràng buộc làm cơ sở lý luận đề xuất mô hình bảo vệ
thích hợp.








1

MỞ ĐẦU
Phân bổ lưu lượng Internet là vấn đề ngày càng trở nên cấp
thiết đối với các nhà cung cấp dịch vụ mạng do sự phát triển không
ngừng của các lớp ứng dụng mới hội tụ trên nền IP dẫn đến lưu lượng
của các dịch vụ viễn thông luôn thay đổi, tăng lên có tính đột biến
trong khi sự phát triển hạ tầng nhằm mở rộng băng thông bị hạn chế
bởi nhiều lý do khác nhau.
Đa số công trình nghiên cứu trước đây liên quan đến áp dụng
đặc tính hóa luồng lưu lượng mới chỉ đưa ra những đề xuất cải tiến
đối với các lớp kiến trúc riêng rẽ, kèm theo các trang, thiết bị cần
thiết theo nhu cầu “thời gian thực” . Điều đó đòi hỏi những đề xuất
mới đối với nhà quản lý cung cấp dịch vụ chưa có điều kiện trang bị
những thiết bị chuyên dụng trong khi phải đảm bảo sự hoạt động ổn
định về quản trị, cung cấp dịch vụ.
Giải pháp dựa trên những đặc tính của luồng lưu lượng IP
Internet để định danh lưu lượng “phi truyền thống” phục vụ an ninh
mạng và phục vụ giải pháp xử lý, phân bổ lưu lượng IP Internet sẽ
được minh chứng là có khả năng hỗ trợ chất lượng dịch vụ đối với
các ứng dụng thời gian thực trong môi trường hỗn tạp. Để giải quyết
vấn đề nắm bắt, phân tích dữ liệu theo thời gian thực phục vụ hỗ trợ
việc phân bổ lưu lượng IP Internet theo chất lượng dịch vụ tương
thích và phục vụ nhiệm vụ bảo đảm an ninh mạng, chống lại những
cuộc “tấn công mạng”, cần khai thác các phần mềm mã nguồn mở và
sử dụng thời gian thực hạ tầng cơ sở mạng của một nhà quản lý, cung
cấp dịch vụ cụ thể có tính đại diện.
Luận án tập trung vào các vấn đề sau:

2


1). Nghiên cứu tổng quát về đặc tính hoá lưu lượng của IP
Internet và mã nguồn mở liên quan, gồm các đặc tính lưu lượng, nhu
cầu về dung lượng và các yêu cầu liên quan tới việc đảm bảo QoS.
2). Nghiên cứu phương pháp điều khiển có các mức ưu tiên
tương ứng với chất lượng dịch vụ đòi hỏi bởi các lớp dịch vụ khác
nhau trong môi trường truyền thông đa chiều, đa dịch vụ để đề xuất
chiến lược định tuyến theo thời gian thực phù hợp.
3). Nghiên cứu các giải pháp chống tấn công áp dụng cho các
nhà quản lý, cung cấp dịch vụ mạng nhằm bảo đảm an ninh mạng
cũng như duy trì chất lượng dịch vụ.
4). Dùng Viễn thông Thừa Thiên Huế, đơn vị thành viên thuộc
VNPT, nhà cung cấp dịch vụ mạng viễn thông thời gian thực để tiến
hành thu thập dữ liệu, phân tích, thử nghiệm các kết quả nghiên cứu
do tính đại diện về môi trường tích hợp các loại hình dịch vụ và “an
toàn mạng”, “an ninh thông tin”.
Các kết quả nghiên cứu về lý luận và thực tiễn đã nêu ở trên
được trình bày trong 4 chương của luận án ngoài phần mở đầu và
kết luận như sau: Chương 1 với tiêu đề “Tổng quát về đặc tính hóa
lưu lượng IP” . Chương 2 có tiêu đề “Đặc tính thống kê và điều kiện
giới hạn phân bố lưu lượng IP Internet” . Chương 3 với tiêu đề “Các
điều kiện giới hạn về phân bố luồng lưu lượng IP Internet theo chất
lượng dịch vụ (QoS) tương thích” . Chương 4 có tiêu đề “Nghiên cứu
về các giới hạn trong chống tấn công từ chối dịch vụ (DoS) và sâu
Internet”



23


KẾT LUẬN VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TIẾP
Luận án đã trình bày các kết quả nghiên cứu về đặc tính hóa
luồng lưu lượng IP nhằm mục đích xử lý, phân bổ lưu lượng Internet,
bảo vệ an ninh thông tin mạng và chống tấn công mạng diện rộng;
những vấn đề này ngày càng trở nên cấp thiết đối với các nhà cung
cấp dịch vụ mạng do sự phát triển không ngừng các lớp ứng dụng
mới hội tụ trên nền IP. Các đóng góp mới của quá trình nghiên cứu
thể hiện trong luận án như sau:
1). Tổng quát, hệ thống hóa về đặc tính hóa lưu lượng IP và
phát triển, phân loại các đặc tính theo dịch vụ đối với luồng lưu
lượng trong trường hợp của một nhà quản lý, cung cấp dịch vụ viễn
thông cụ thể.
2). Đề xuất áp dụng lý thuyết hệ thống vào bài toán phân bổ
lưu lượngsử dụng kết quả ưu tiên được cung cấp bởi đặc trưng hóa
luồng lưu lượng IP internet tại một nút mạng của nhà quản lý, cung
cấp dịch vụ viễn thông.
3). Hệ thống hóa về giải pháp chống tấn công từ chối dịch vụ
và ngăn chặn sâu Internet trên cơ sở đặc trưng hóa luồng lưu lượng
IP để đề xuất việc xác định giới hạn của mô hình sử dụng Proxy
nhằm mục tiêu bảo đảm an ninh mạng.
4). Đề xuất giải pháp sử dụng tài nguyên thời gian thực (nhà
quản lý, cung cấp dịch vụ viễn thông và các phần mềm mã nguồn
mở) để thực hiện minh chứng tính đúng đắn về mặt lý luận.



22

Nghiên cứu sinh đã dùng hệ thống mô phỏng quy mô lớn sử
dụng phương pháp tương tự như Zou và đồng nghiệp, với thuật toán

Rabin để tính số lượng sâu phục vụ thăm dò. Mạng mô phỏng thiết
lập với số lượng lớn máy có nguy cơ bị tấn công (máy nằm trong
trạng thái dễ bị tổn thương, dễ lây nhiễm hay đã miễn dịch) và mạng
cục bộ. Chọn một nút của các mạng cục bộ để thiết lập nút của mạng
phòng thủ kết hợp.
Kết quả mô phỏng cho thấy lan truyền sâu khi các nút ngăn
chặn độc lập và kết hợp trong trường hợp các nút riêng lẻ thu thập
100 tín hiệu sâu cùng mẫu trước khi nó lọc gói tin chỉ ra rằng với các
nút ngăn chặn độc lập, hành vi lan truyền sâu không bị hạn chế (so
sánh với không có bất kỳ việc ngăn chặn nào) nhưng, đối với phòng
thủ trong mạng kết hợp, các hành vi lan truyền phần lớn bị hạn chế.
4.5 Kết luận chương
Trong chương này, nghiên cứu sinh đã nghiên cứu khả năng
chống lại các cuộc tấn công của một mạng Proxy, đồng thời nghiên
cứu các đặc tính của hệ thống phòng thủ DoS dựa trên mạng Proxy
trước những cuộc tấn công này để nắm chắc rằng khi nào tính đối
kháng là có thể sử dụng, xem xét khả năng một mạng Proxy có thể
chống lại những cuộc tấn công như thế nào và thiết kế một hệ thống
dựa trên mạng Proxy để việc phòng thủ một cách hiệu quả.
Nghiên cứu sinh đã nghiên cứu về mô hình chung để thu giữ
một dải rộng hệ thống phòng thủ DoS dựa trên mạng Proxy. Mô hình
này xác định một bộ yếu tố phù hợp với tiêu chuẩn trong hệ thống
dựa trên mạng Proxy và sự tương tác của chúng.
Chương này cũng trình bày một kỹ thuật phòng chống tấn công
hợp tác phân cấp để bảo vệ hạ tầng mạng chống lại tấn công mạng .

3

CHƯƠNG 1 TỔNG QUÁT VỀ ĐẶC TÍNH HÓA
LƯU LƯỌNG IP

1.1. Giới thiệu
Nghiên cứu sinh dựa trên cơ sở lý thuyết và sử dụng các mã
nguồn mở có uy tín để tiến hành điều tra mạng viễn thông tại đơn vị
cung cấp dịch vụ nhằm tổng hợp các số liệu lưu lượng và đóng góp
vào sự hiểu biết về hành vi mạng ở quy mô lớn. Những kết quả
nghiên cứu tổng quát về đặc tính hóa lưu lượng IP sẽ được nghiên
cứu sinh trình bày theo kiểu một tài liệu hướng dẫn đối với các nhà
quản lý mạng, cung cấp dịch vụ mạng trong chương này.
1.2. Lưu lượng và các đặc tính phân loại
Có nhiều loại lưu lượng khác nhau trên mạng và có thể phân
các ứng dụng thành loại theo thời gian thực và không theo thời gian
thực. Các loại lưu lượng ứng với ứng dụng khác nhau, ngay cả khi
chúng có cùng điểm xuất phát, cùng điểm đến và cùng cách thức
truyền thông, thì đã có các đặc tính ngẫu nhiên và nhu cầu về QoS
(các tham số thể hiện băng thông, tỷ lệ mất gói, v.v…) khác nhau và
có thể phân tích các yêu cầu về QoS dựa trên mức thời gian và mức
truyền dịch vụ (mức gói, cuộc gọi) khác nhau. Mô hình lưu lượng đối
với các dịch vụ cơ bản dựa trên lý thuyết Erlang, gồm hai tham số
chính (tốc độ xuất hiện cuộc gọi và thời gian chiếm giữ trung bình)
để xác định lưu lượng ra ứng với thời gian sử dụng tài nguyên.
Nếu phân bố Poisson phù hợp với thống kê xuất hiện các cuộc
gọi thì đối với hệ thống có N kênh, tổng lưu lượng A, thời gian giữ
cuộc trung bình τ, độ trễ lớn nhất cho phép trước khi cuộc gọi mới bị
khóa T. Xác suất không có server (hệ thống bận, cuộc gọi mới bị

4

khóa) GOS theo mô hình Erlang B khi không có cơ chế trễ T và xác
suất không có server khi có cơ trễ lớn hơn T tuân theo mô hình
Erlang C :

Erlang B:
N
k
N
k=0
A
N!
GOS
A
k!


;
Erlang C:
(N-A)T
N
τ
k
N-1
N
k=0
A
GOS= e
A A
A +N! 1-
N k!
 
 
 


(1.1)
Để hiểu cơ chế hoạt động phức tạp của mạng, đặc tính hoá lưu
lượng được xem như một hàm nhiều tham số. Thống kê lưu lượng
phục vụ mục đích đặc tính hoá được nghiên cứu sinh sử dụng ở đây
là phương pháp gộp chi tiết (Aggregation granularity, AG); phân tích
hệ thống trên cơ sở chia hệ thành các phân hệ khác nhau để hiểu biết
chi tiết hơn và tổng hợp đặc tính của các phân hệ để có những đặc
tính của toàn bộ hệ đó.
1.3. Về các phần mềm mã nguồn mở sử dụng
Nghiên cứu sinh chọn hai phần mềm mã nguồn mở vào việc
triển khai giám sát, phân tích đặc tính lưu lượng tại mạng viễn thông
Thừa thiên Huế.
- Ứng dụng phần mềm NTOP để quan sát, giám sát, thống kê
một khu vực (nhóm người dùng) về tỉ lệ sử dụng các loại giao thức
mạng (tập trung ở lớp 4) để đề xuất về việc thiết lập các QoS cho
từng loại giao thức để tăng chất lượng phục vụ người dùng.

21

định để tìm hiểu khả năng mở rộng tính đối kháng của mạng Proxy
trước các cuộc tấn công DoS.
4.3.3 Nhận xét về các điều kiện giới hạn
Sử dụng mô phỏng mạng trực tuyến có quy mô lớn, chi tiết
(MicroGrid) để nghiên cứu các mạng Proxy với các ứng dụng và các
cuộc tấn công DoS thực cho thấy rằng các mạng Proxy có thể cung
cấp hiệu quả với khả năng mở rộng tính phục hồi trước các cuộc tấn
công DoS mức cơ sở hạ tầng và bảo vệ ứng dụng.
4.4 Ngăn chặn sâu Internet và các điều kiện
4.4.1. Mô hình lây truyền và phát hiện tín hiệu virus/sâu
Một vài mô hình toán học được sử dụng để mô tả sự lây truyền

phân tán sâu. Các mô hình lây truyền virus :
Mô hình Staniford: Mô hình định lượng lan truyền sâu do
Staniford cùng cộng sự đề xuất để xác định tỷ lệ máy đã bị nhiễm a
được xác định như sau:


exp( ( ))/ 1 exp( ( ))
a K t T K t T
   
(4.1)

Mô hình Kephart và White: Trên cơ sở sử dụng hệ thống kiểu
nút trong đồ thị phương trình vi phân mô tả sự phát triển tỷ lệ máy
i(t) bị lây nhiễm theo thời gian như sau:
 
( )
1
di t
a bi i
dt
 
  
(4.2)
Thuật toán vết chân (Footprint) Rabin được sử dụng tại mỗi nút
mạng để tính các khối nội dung trong các phần tải của gói tin.
4.4.2. Phòng chống và ngăn chặn sâu Internet và các điều kiện

20

Về tính đối kháng của mạng Proxy trước sự tấn công DoS, mô

phỏng được tiến hành theo các tình huống giả định và thấy rằng:
Trước các kịch bản tấn công quy mô lớn, cường độ thay đổi và phân
tán trong vùng tài nguyên mạng lớn thì một mạng Proxy có thể chống
lại một cách có hiệu quả các cuộc tấn công DoS. Và, trước các kịch
bản về tỷ lệ không đổi giữa cường độ tấn công và kích thước mạng
Proxy thì rõ ràng, kích thước mạng Proxy càng lớn, khả năng chống
lại cường độ tấn công DoS càng cao. Các kết quả này khẳng định
rằng mạng Proxy có hiệu quả và có thể mở rộng khả năng phục hồi
trước những cuộc tấn công DoS
4.3.2 Hệ thống phòng thủ DoS dựa trên mạng Proxy
Dùng một mạng mô phỏng ở quy mô lớn (dùng MicroGrid mô
phỏng mức gói trực tuyến) , để nghiên cứu hiệu suất ứng dụng cung
cấp bởi mạng Proxy trước các cuộc tấn công DoS . Sau đó sử dụng
các ứng dụng, chương trình tấn công thực để đưa những thí nghiệm
đó vào trong môi trường mạng đã mô phỏng.
Bộ công cụ để mô phỏng hành vi tấn công DDoS thông dụng
sử dụng Trinoo có sẵn trên Internet . Nghiên cứu sinh đã thực hiện ba
bộ thí nghiệm . Đầu tiên, nghiên cứu ảnh hưởng của các cuộc tấn
công DoS lên ứng dụng không được bảo vệ bởi mạng Proxy (hiệu
suất ứng dụng khi có và không có các cuộc tấn công DoS). Thứ hai,
nghiên cứu hiệu suất ứng dụng trước hai cuộc tấn công DoS quy mô
lớn kiểu dàn trải và tập trung để tìm hiểu khả năng chống lại trước
các cuộc tấn công này của mạng Proxy. Thứ ba, nghiên cứu hiệu suất
chống lại các cuộc tấn công của một mạng Proxy có kích thước thay
đổi khi tỷ lệ giữa cường độ tấn công và kích thước mạng Proxy cố

5

- Ứng dụng phần mềm mã nguồn mở Observium để quan sát,
giám sát và thống kê lưu lượng tổng quát, chủ yếu lưu lượng lớp

mạng (lớp 3) của mạng cung cấp dịch vụ MAN-E nhằm mục đích
phân tích, đưa ra các đề xuất tối ưu về quy hoạch băng thông đường
truyền, định tuyến cho mạng MAN-E đối với dịch Internet và IPTV.
Bằng cách quan sát chung nhóm người dùng, NTOP có thể
cung cấp cho nhà quản trị mạng về tỉ lệ các loại dịch vụ Internet mà
người dùng sử dụng như thế nào.
Phần mềm Observium được phát triển thành một công cụ dễ
cấu hình dùng giám sát tình trạng hoạt động của mạng máy tính.
Trong ứng dụng Observium thực tế triển khai ở VNPT Thừa Thiên
Huế đã thay đổi các giá trị tham số cho phù hợp với yêu cầu giám sát
và thống kê số liệu .
1.4. Kết luận chương
Luồng lưu lượng IP truyền thông trên môi trường phân tán,
không đồng nhất ở đây là đối tượng nghiên cứu nằm trong khuôn khổ
của bài toán phân tích lưu lượng nói chung nhằm tham số hóa hay
đặc tính hóa để nhận biết lớp ứng dụng của lưu lượng nói riêng. Khi
gắn với chức năng của một nhà quản trị mạng, ngoài việc đảm bảo
QoS, khai thác tiềm năng mạng thì nhiệm vụ đảm bảo an ninh mạng,
an ninh thông tin đòi hỏi về các phát hiện dạng lưu lượng có đặc tính
khác như đặc tính “tấn công” của “tin tặc” và “tin rác”. Điều này đòi
hỏi việc phân tích tín hiệu theo không gian nhiều chiều, áp dụng phân
bố ngẫu nhiên nhiều chiều tương ứng để phát hiện thêm các tham số
trong quá trình đặc tính hóa luồng tín hiệu IP



6

CHƯƠNG 2 ĐẶC TÍNH THỐNG KÊ VÀ ĐIỀU KIỆN
GIỚI HẠN PHÂN BỐ LƯU LƯỢNG IP INTERNE

2.1. Giới thiệu chương
Trong chương này, nghiên cứu sinh trình bày đặc tính lưu
lượng IP Internet của các dịch vụ khác nhau (tương tác đa phương tiện
thời gian thực, …) đối với môi trường mạng (Web và Client-Server, di
động và mạng không dây, …) khác nhau, giới hạn xét ở đây là QoS và
điển hình là tắc nghẽn. Ngoài ra, chương này cũng đề xuất và phân tích
các điều kiện giới hạn trong việc phân bổ lưu lượng dựa theo QoS và
ngưỡng tắc nghẽn.
2.2. Đặc tính lưu lượng của những mô hình khác nhau
2.2.1. Tương tác đa phương tiện và lưu lượng thời gian thực
Những kết quả về lưu lượng thời gian thực và đa phương tiện thu
được từ các mã hóa-giả mã tốc độ Bit như lưu lượng âm thanh PCM và
hình ảnh MPEG-1 được mô tả một cách bao quát bởi nhiều kĩ thuật, mô
hình trong các phân tích cấu trúc tự tương quan của bộ đếm cơ bản và
các quá trình điểm. Sự phát sinh của những dịch vụ tương tác mới trong
môi trường đa phương tiện và Internet di động dẫn đến sự xuất hiện của
các phương pháp mô tả mới như kĩ thuật mã hóa-giải mã thích ứng như
bộ mã hóa-giải mã đa tốc độ thích ứng UMTS (AMR) và MPEG-4.
Trước hết, các đòi hỏi về chất lượng dịch vụ của những dịch vụ
nổi trội nhất (hội nghị truyền hình và phương tiện di động) được trình
bày làm cơ sở để thông qua nghiên cứu, thu thập số liệu , nghiên cứu
sinh đề xuất khuyến nghị và khả năng cho phép đối với QoS của các
dịch vụ Audio và Video.
2.2.2. Đối với l
ưu lượng Web và Client-Server


19

4.2.1 Giới thiệu về tấn công mạng

Những cuộc tấn công mạng dựa chủ yếu vào các lỗ hổng của
phần mềm, của giao thức mạng và của cơ sở hạ tầng. Lỗ hổng phần
mềm là do lỗi trong cài đặt các phần mềm mạng (như DNS BIND,
HTTP Apache, Telnet, SMTP ). Trong phần này, nghiên cứu sinh
thảo luận hai kiểu tấn công mạng nguy hiểm, phổ biến trên Internet
hiện nay. Đó là tấn công từ chối dịch vụ và tấn công kiểu sâu
internet.
4.2.2 Cơ sở và các vấn đề liên quan đến DoS
Trình bày các vấn đề liên quan đến DoS như : Các bước cơ bản
trong việc chuẩn bị và tiến hành một cuộc tấn công Ddos, Các cuộc
tấn công DoS, phòng thủ DoS dựa trên mạng Proxy.
4.2.3 Sâu Internet: Cơ sở và các vấn đề liên quan
Trình bày các vấn đề : Một số thông tin có tính cơ bản về các
loại sâu Internet đã ra đời trong vài năm qua, các phương pháp quét
của sâu Internet, phòng chống sâu Internet.
4.3 Chống tấn công từ chối dịch vụ (DoS) và các giới hạn
4.3.1 Giới thiệu
Sử dụng mô phỏng mạng lưới ở mức gói trực tuyến (đầy đủ
ứng dụng, phần mềm thực thi và các chương trình tấn công thực) cho
phép nghiên cứu chi tiết mạng lưới, động học ứng dụng (rớt gói, định
tuyến hàng đợi, thời gian thực), hành vi phản ứng của mạng và giao
thức ứng dụng (tham số quan trọng đối với ứng dụng, hiệu suất mạng
Proxy trước các cuộc tấn công DoS).

18

CHƯƠNG 4 NGHIÊN CỨU VỀ CÁC GIỚI HẠN
TRONG CHỐNG TẤN CÔNG
TỪ CHỐI DỊCH VỤ (DoS) VÀ SÂU INTERNET
4.1 Giới thiệu chương

Nhà quản trị mạng sử dụng tập các tham số đặc trưng hóa
luồng lưu lượng IP Internet (Chương 1 và 2) để cung cấp QoS dịch
vụ theo các mức ưu tiên khác nhau (Chương 3) và đảm bảo an ninh
cho toàn hệ thống mạng trong khuôn khổ phát triển theo “ba bất kỳ”,
(three any - any time, any where, any form” trước những hành động
xâm nhập mang tính “tặc thông tin” , “triệt hạ tầng mạng” (hay “tấn
công” gọi chung). Các cuộc tấn công hiện nay thường được phân tán
ở mức độ cao và phối hợp tốt (tấn công từ chối dịch vụ phân tán
(DDoS), sâu Internet chẳng hạn) gây những ảnh hưởng xã hội
nghiêm trọng về thông tin, làm gián đoạn dịch vụ quan trọng, tổn thất
lớn về kinh tế, v.v và trở thành một trong các tội phạm nghiêm
trọng bậc nhất. Bảo vệ hạ tầng mạng trước các cuộc tấn công đã trở
thành một vấn đề quan trọng cần được khẩn trương giải quyết.
Trong chương này, nghiên cứu sinh trình bày các kết quả
nghiên cứu về phát hiện, đối phó trước các cuộc tấn công mạng kiểu
phân tán (DDoS và sâu Internet) và trình bày đề xuất phản ứng chống
lại các cuộc tấn công mạng đó bằng phương pháp phân bổ lưu lượng
IP sử dụng điều kiện giới hạn Proxy. Nghiên cứu sinh cũng sử dụng
các công cụ mô phỏng trực tuyến để xác định khả năng chống lại
những của cuộc tấn công theo lý thuyết và trong thực tế (một mạng
mô phỏng với một kích cỡ có thể so sánh được với mạng ISP).
4.2 Một số vấn đề liên quan đến tấn công mạng

7

Do sự xuất hiện liên tục các ứng dụng, dịch vụ mới, kể cả công
nghệ truy cập mạng băng rộng nên mô tả lưu lượng truy cập Internet trở
thành vấn đề quan trọng đối với cả nhà cung cấp dịch vụ Internet (ISPs)
và các nhà khai thác mạng truy cập. Sự thay đổi nhanh về các đặc tính
lưu lượng đòi hỏi các phép đo lưu lượng một cách thường xuyên và

phải đáp ứng tiêu chí kĩ thuật; các phép đo lưu lượng thực hiện ở các
mức phân giải khác nhau phù hợp với nhiệm vụ đã chọn làm mục tiêu
và các phép đo được thực hiện trên nhiều loại khác nhau của đối tượng.
Nghiên cứu sinh đã thực hiện các phép đo tại hai ISP khác biệt ký
hiệu là ISP1 và ISP2 với một mạng CATV làm ISP1 và ADSL làm ISP2
để có được những kết luận cụ thể.
2.2.3. Đối với di động trong môi trường mạng không dây
Nghiên cứu sinh trình bày về các phép đo, mô hình và phân tích
các luồng lưu lượng trong mạng GPRS. Trong đó, gồm “Các phép
biến đổi Radon và công cụ tương tự” liên quan đến những đặc tính
Up-link (mã hóa kênh, số lượng các kênh dữ liệu gói Up-link (PDCHs)
dùng trong kết nối GSM/GPRS) và “chương trình Tstat”, dùng để phân
tích
các luồng TCP/IP/GPRS từ dấu vết luồng TCP.
2.3. Điều kiện giới hạn sử dụng mô hình, phương pháp
Trong phần này sẽ trình bày những vấn đề liên quan đến các kết
luận về tình trạng hay giới hạn mạng lưới dựa vào các phép đo (chẳng
hạn như kết luận về băng thông tắc nghẽn, băng thông sẵn có, về lưu
lượng chéo nhau v v.) bằng cách sử dụng số liệu thống kê lưu lượng
(xác định suy giảm QoS của End-to-End).

8

2.3.1. Những đồ thị biểu đồ thông lượng khác nhau
Dạng biểu đồ thông lượng vào




1

, , ,
n
in
S
S
H R R T W

  
và ra
 


1
, , ,
n
out
S
S
H R R T W

  
thường được dùng với độ phân giải
thông lượng ΔR. Những nghiên cứu thực nghiệm đã chỉ ra rằng việc so
sánh hoạt động tốt cho những khoảng thời gian ⌈Rmax/ΔR +1⌉≃ 20
đối với n ≥ 600.
Hình 2-3 cho thấy những biểu đồ thông lượng từ các phép đo với
ứng dụng truyền hình hội nghị theo những mức nhiễu loạn lưu lượng
truyền qua khác nhau và các hiện tượng tắc nghẽn cục bộ khác nhau

Hình 2-3.Biểu đồ thông lượng từ các phép đo đối với ứng dụng

truyền hình hội nghị
2.3.2. Định hình và phân chia giới hạn tắc nghẽn
Nghiên cứu sinh trình bày những vấn đề liên quan đến định
hình và phân chia giới hạn tắc nghẽn.
2.4. Kết luận chương
Các kết quả về đặc tính hóa lưu lượng trình bày trong chương 1
và các phân tích ở đây được dùng làm cơ sở để bàn về chất lượng
dịch vụ QoS tương thích trình bày trong chương 3 và về bảo vệ
chống tấn công, an ninh mạng trình bày trong chương 4.

17

thực hiện mô phỏng hệ thống điều khiển trong các trường hợp thiết
lập tham số cấu hình



khác nhau như sau:
- Hệ thống điều khiển không ổn định: Chọn các tham số cấu
hình



không thỏa mãn điều kiện ổn định

+ 2

< 4

0

.
- Hệ thống điều khiển ổn định: Chọn các tham số cấu hình



đảm bảo

+ 2

< 4

0
và thực hiện mô phỏng với



khác nhau
để đáp ứng mức độ của hệ thống điều khiển.
3.5.3 Phân tích đặc điểm của hệ thống theo mô hình lý thuyết
Nghiên cứu sinh đưa ra một số phân tích với hệ thống điều
khiển tương thích, các tham số cấu hình được lựa chọn như trên, theo
các đặc tính ổn định và đặc tính cân bằng.
3.5.4. Kết quả mô phỏng tại Viễn thông Thừa Thiên Huế
Với mô hình mô phỏng và lựa chọn các tham số cấu hình được
trình bày trong phần trên, thực hiện mô phỏng hệ thống trong khoảng
thời gian t = 1÷1500s và ghi lại kết quả mô phỏng trong tất cả các
trường hợp.
Nghiên cứu sinh trình bày các kết quả mô phỏng hệ thống điều
khiển tương thích trong trường hợp thiết lập các tham số cấu hình 
và  khác nhau .

3.6 Kết luận chương
Trong chương này, những kết quả nghiên cứu liên quan đến sử
dụng kết quả về đặc trưng hóa luồng lưu lượng (trong chương 1 và
chương 2) để xem xét, phân bổ lưu lượng tương thích QoS phục vụ
cho nhiệm vụ đảm bảo QoS theo nghĩa thích nghi trên cơ sở áp dụng
lý thuyết điều khiển đã được trình bày.

16

c.) Giải quyết bài toán hàng đợi đối với lưu lượng nhiều chiều
3.4.3 Bàn luận về những điều kiện giới hạn liên quan đến xử lý
mạng hàng đợi
Nghiên cứu sinh trình bày một số vấn đề liên quan :
- Hạn chế về xem xét chất lượng mạng viễn thông qua mô hình
toán học
- Giới hạn từ đặc tính ổn định của các mô hình hệ thống trễ
- Giới hạn do các mô hình ngẫu nhiên sử dụng
3.5 Kết quả mô phỏng
3.5.1 Thiết lập hệ thống điều khiển
Hệ thống điều khiển tương thích mô tả bởi các phương trình
(3.9 và 3.10) và được thể hiện trong hình 3.19 trong môi trường
Matlab.

Hình 3-19. Sơ đồ mô phỏng hệ thống điều khiển tương thích QoS.
3.5.2. Thiết lập tham số cấu hình
Để thấy được ảnh hưởng của các tham số cấu hình



đến

các đặc tính ổn định, đặc tính cân bằng của hệ thống điều khiển cần

9

CHƯƠNG 3 CÁC ĐIỀU KIỆN GIỚI HẠN VỀ PHÂN BỐ
LUỒNG LƯU LƯỢNG IP INTERNET
THEO CHẤT LƯỢNG DỊCH VỤ (QoS) TƯƠNG THÍCH
3.1 Giới thiệu chương
Trong chương này, phương pháp điều khiển tương thích xác
lập trên quan điểm của lý thuyết truyền thông nhằm mục tiêu phân bố
lưu lượng, đảm bảo chất lượng dịch vụ dựa vào kiến trúc middleware
được trình bày sau khi đôi nét về chất lượng dịch vụ của mạng (QoS)
tương thích được trình bày.
Tiếp đến, phương pháp giải quyết cơ chế ưu tiên lưu lượng ưu
tiên trong mạng hàng đợi ở tại một node mạng nhằm vào tính tương
thích của chất lượng dịch vụ trên cơ sở của phương pháp điều khiển
hiện đại được trình bày.
3.2 Về tương thích QoS trong môi trường Internet
Nghiên cứu sinh sử dụng một cơ chế gọi là QoSSpace để tạo ra
một QoSReport về các khả năng giữa QoS của mạng và giá trị trạng
thái luồng của ứng dụng qua “giá trị trạng thái tương ứng” (SCV) của
mỗi luồng.
Quyết định phân bố lưu lượng hay trạng thái luồng nào được sử
dụng phụ thuộc vào QoS của mạng, khả năng của ứng dụng và các
tham chiếu của người sử dụng do cơ chế tương thích ứng dụng
(Application Adaptation Function - AAF) cung cấp thông tin tham
chiếu (người sử dụng, trạng thái luồng của ứng dụng và QoSReport)
và chọn tự động trạng thái luồng phù hợp nhất khi người sử dụng yêu
cầu “sử dụng dịch vụ giá thấp nhất” ở thời điểm khởi động
3.3 Điều kiện để tương thích QoS đối với Middleware


10

3.3.1. Kiến trúc middleware đảm bảo QoS
Kiến trúc middleware tổng quát cho phép thực hiện tương
thích QoS theo các ứng dụng trong các hệ thống đa phương tiện phân
tán gồm hai lớp như hình 3.2.

Hình 3-2. Kiến trúc middleware tương thích QoS theo ứng dụng.
3.3.2. Các cơ chế điều kiện tương thích trong hệ thống QoS
middleware:
- Xác định các đặc điểm QoS của ứng dụng
- Biên dịch QoS
- Thiết lập QoS
- Các cơ chế điều kiện tương thích QoS
3.3.3. Áp dụng mô hình điều khiển truyền thống
Mô hình điều khiển truyền thông được mô tả như hình 3-5.b.
Trong đó, một đối tượng được điều khiển bởi một “bộ điều khiển”,
trạng thái bên trong của đối tượng này được xác định bởi bộ điều
khiển theo một thuật toán điều khiển xác định. Thuật toán điều khiển
tạo ra tín hiệu điều khiển bằng cách so sánh trạng thái bên trong của
đối tượng mà nó quan sát được với giá trị tham chiếu ở đầu vào sao

15

Bằng cách tổ hợp các khả năng phân bố trạng thái để có tổng
xác suất bằng 1, có thể xác định p(i
1
= 0, i
2

= 0,…, i
K
= 0). Ta có :

1
1
1
1
( , , )
( , )
k
k
i
K
k
K
i
k
k
j
A
p i i G
min j S






(3.24)

với G là hằng số chuẩn hóa xác suất, phụ thuộc vào số server tại nút k
(S
k
). Trường hợp riêng biệt đối với mô hình nút M/M/1, ta có:

1
1
( , , ) (1 )
k
k
i
K k k
k
p i i A A

 

. (3.25)
b/ Giải quyết bài toán mạng hàng đợi kín
Phương trình cân bằng xác suất chuyển trạng thái trong toàn
mạng là:
1 1
1 1 1
( , ) ( , , , , , , ) ( 1, ) ( , , 1, 1,
)
K K K
k k k k l K k k k kl k l K
k k l
mini S pi i i i mini S p pi i i i
 

  
   
 
(3.29)
Từ đó, tính được xác suất trạng thái của mạng với số nút mạng
K, số phần tử lưu lượng (trung bình) trong mạng N và số server S
k
tại
nút k như sau:
1
1
1
1
1
1
1
1
( , ) ( / /1)
( , , ) ( , )
( , )
( , ) ( / / )
!
k
k
k
k
K
i
k
k

i
K
k
K
i
K
i
k
k
k
k
l
k
G N K A cho M M
A
p i i G N K
A
min l S
G N K cho M M
i








 


 

 
 

 


 

 






(3.30)
với A
k
=

k
/

k
là tải lưu lượng tương đối tại nút k, G(N,K) là hệ số
chuẩn hóa xác suất.

14


đại lượng đặc trưng độ trễ, thời gian chờ, độ dài hàng đợi, xác suất
nghẽn trong hệ thống.
Hàm mục tiêu của bài toán là J = min(||C
2
x
2
(t) - y
2
(t)||). Điều
kiện ràng buộc gồm: (i). Điều kiện ổn định, điều khiển được và quan
sát được của hệ thống. (ii). Thỏa mãn các điều kiện giả định và các
luật hàng đợi trong hệ thống. (iii). min(p,q) ≥ 2 với p,q tương ứng là
số đầu vào và ra hệ thống.
3.4.2 Giải quyết bài toán ưu tiên lưu lượng trong mạng hàng đợi
a> Giải quyết bài toán mạng hàng đợi hở
Xét mạng hàng đợi hở có K nút thoả mãn các điều kiện cụ
thể,có thể lập các phương trình cân bằng luồng lưu lượng:

1
hay
K
k k j jk
j
p Q
     

   

(3.19)

trong đó,
1 2
[ ]
K
   

là vector tốc độ trung bình của các
luồng lưu lượng đến từ bên ngoài,
1 2
[ ]
K
   

là vector tốc
độ trung bình của lưu lượng tổng đến mỗi nút mạng, Q = {p
ij
}
(K x K)

ma trận định tuyến xác suất có tổng số hạng trên hàng nhỏ hơn hoặc
bằng một, trong đó ít nhất có một hàng có tổng nhỏ hơn một.
Phương trình cân bằng xác suất chuyển trạng thái trong toàn
mạng:
 
1 1
1 1
1 , 1 1
1 1 1
( , ) ( , , , , , , ) ( , , 1, , )
( 1, ) ( , , 1, , ) ( 1, ) ( , , 1, 1,

)
K K
i k k k k l K i k l K
k k
K K K
k k k k l K k K k k k kl k l K
k k l
mini S pi i i i pi i i i
mini S pi i i i p mini S p pi i i i
  
 
 

  
 
   
 
     
 
 
(3.21)

11

cho đối tượng không bị ảnh hưởng bởi “nhiễu”. Hình 3-5a mô tả mô
hình điều khiển tác vụ theo lý thuyết điều khiển.

Hình 3-5. Mô hình điều khiển tác vụ.
Phương trình mô tả biến đổi tài nguyên được cấp phép có dạng





 
     
 
1
0
1
1 1
1
M k
i
i
x k x k
x k x k u k c
k k


 
     
 

(3.7)
với, x(k) là tổng số các yêu cầu tài nguyên có trong hàng đợi được
thực hiện bởi tất cả các tác vụ ứng dụng ở thời điểm k, u(k) là tốc độ
yêu cầu được điều khiển bởi bộ điều khiển (công việc điều khiển
tương thích) và M(k) là tổng số các tác vụ của ứng dụng hiện hành, c
là tốc độ cấp phép yêu cầu.
3.3.4. Các điều kiện về mô hình điều khiển tác vụ

Mục đích của điều khiển các tác vụ là duy trì tổng các yêu cầu
tài nguyên trong hàng đợi x(k) của ứng dụng nằm xung quanh giá trị
tham chiếu x
c
(k). Tác vụ tương thích thực hiện thuật toán điều khiển
nào đó dựa trên các yêu cầu tài nguyên trong hàng đợi x(k) và giá trị
tham chiếu x
c
(k) để hiệu chỉnh yêu cầu tài nguyên u
i
(k). Yêu cầu hiệu

12

chỉnh tài nguyên u
i
(k) của tác vụ tương thích T
i
thỏa mãn x(k) được
mô tả bởi phương trình sau:
u
i
(k) = u
i
(k −1) + α[x
c
(k) − x(k)]+ β {[x
c
(k) − x(k)]− [x
c

(k −1) −
x(k −1)]} (3.8)
với, α và β là các hệ số cấu hình của tác vụ tương thích.
3.3.5. Ứng dụng mô hình điều khiển tác vụ trong kiến trúc
middleware
Nghiên cứu sinh đề xuất sử dụng mô hình điều khiển tác vụ
theo cơ chế phân cấp để tương thích QoS trong kiến trúc middleware
cho thấy middleware có khả năng tương thích QoS cả trong trường
hợp khi có những thay đổi nhỏ và thay đổi lớn về độ sẵn sàng của tài
nguyên.
Phương trình mô tả tổng lượng yêu cầu tài nguyên trong toàn
bộ hệ thống như sau :
s(k+1) =

a
max
{s(k) + l(k)
C
(k) + S
N
(k) - a}, (3.9)
trong đó a
max
là lượng yêu cầu tài nguyên được cấp phép cực đại của
hệ thống đầu cuối.
Phương trình mô tả luật điều khiển PID cho mỗi tác vụ tương
thích như sau:










)1()1()()1( kskskckc
rii









)()()1()1( ksksksks
rr


, (3.10)
với
T
T
K
I




D
KT
T


là các hệ số tỷ lệ.
3.4 Giới hạn phân bổ lưu lượng ưu tiên trong mạng hàng đợi

13

3.4.1 Mô hình hóa cơ chế ưu tiên lưu lượng trong mạng hàng đợi
Minh họa quản lý hàng đợi lưu lượng theo lý thuyết điều khiển
như trong hình 3.9.

ˆ
B

ˆ
C
ˆ
x
ˆ
x

K
ˆ
A
( )
y t
( )

u t
Hình 3-9. Mô hình bài toán phân bố lưu lượng hàng đợi
Với phương pháp tuyến tính hóa, hệ phương trình toán học mô
tả động học của bài toán quản lý hàng đợi:
- Hệ thống hàng đợi hở:
ˆ ˆ
ˆ ˆ ˆ
( ) ( ) ( )
ˆ
ˆ ˆ
( ) ( )
x t Ax t Bu t
y t Cx t

 




(3.11)
- Hệ thống hàng đợi kín:
ˆ
ˆ
ˆ ˆ ˆ
( ) ( ) ( )
ˆ
ˆ ˆ
( ) ( )
ˆ ˆ
( ) ( )

x t Ax t Bu t
y t Cx t
u t Kx t

 



  


(3.12)
trong đó,
q 1
ˆ
( )y t



,
1
ˆ
( )
p
u t



,
1

ˆ
( )
m
x t



, m  min(p, q);
p n
K




m p
M



là các tổ hợp tuyến tính của tín hiệu kích
thích và đáp ứng;
ˆ
m m
A



,

ˆ

m x p
B


,
ˆ
q m
C



là các ma trận
tham số cần xác định theo tham số hệ thống {A, B, C}, có thể gồm

×