MỞ ĐẦU
Phân bổ lưu lượng Internet là vấn đề ngày càng trở nên cấp thiết đối với các nhà cung cấp dịch vụ
mạng do sự phát triển không ngừng của các lớp ứng dụng mới hội tụ trên nền IP dẫn đến lưu lượng của các
dịch vụ viễn thông luôn tăng lên có tính đột biến trong khi sự phát triển mở rộng băng thông bị hạn chế bởi
nhiều lý do khác nhau.
Đa số công trình nghiên cứu trước đây liên quan đến đặc tính hóa luồng lưu lượng mới chỉ đưa ra
những đề xuất cải tiến đối với các lớp kiến trúc riêng rẽ, kèm theo các trang thiết bị cần thiết theo nhu cầu
“thời gian thực”. Điều đó đòi hỏi những đề xuất mới đối với nhà quản lý cung cấp dịch vụ chưa có điều kiện
trang bị những thiết bị chuyên dụng trong khi phải đảm bảo sự hoạt động ổn định về quản trị, cung cấp dịch
vụ.
Giải pháp dựa trên những đặc tính của luồng lưu lượng IP Internet để định danh lưu lượng “phi truyền
thống” phục vụ an ninh mạng và giải pháp xử lý, phân bổ lưu lượng IP Internet sẽ được minh chứng là có
khả năng hỗ trợ chất lượng dịch vụ đối với các ứng dụng thời gian thực trong môi trường hỗn tạp. Để giải
quyết vấn đề nắm bắt, phân tích dữ liệu theo thời gian thực phục vụ hỗ trợ việc phân bổ lưu lượng IP Internet
theo chất lượng dịch vụ tương thích và phục vụ nhiệm vụ bảo đảm an ninh mạng, chống lại những cuộc “tấn
công mạng”, cần khai thác các phần mềm mã nguồn mở và sử dụng thời gian thực hạ tầng cơ sở mạng của
một nhà quản lý, cung cấp dịch vụ cụ thể có tính đại diện.
-1-
Luận án tập trung vào nghiên cứu các vấn đề sau:
1). Nghiên cứu tổng quát về đặc tính hoá lưu lượng của IP Internet và mã nguồn mở liên quan và các
yêu cầu liên quan tới việc đảm bảo QoS.
2). Nghiên cứu phương pháp điều khiển có các mức ưu tiên tương ứng với chất lượng dịch vụ đòi hỏi
bởi các lớp dịch vụ khác nhau trong môi trường truyền thông đa chiều, đa dịch vụ để đề xuất chiến lược định
tuyến theo thời gian thực phù hợp.
3). Nghiên cứu các giải pháp chống tấn công mạng nhằm bảo đảm an ninh mạng cũng như duy trì chất
lượng dịch vụ.
4). Dùng dữ liệu của Viễn thông Thừa Thiên Huế, nhà cung cấp dịch vụ mạng viễn thông thời gian
thực để tiến hành thu thập dữ liệu, phân tích, thử nghiệm các kết quả nghiên cứu do tính đại diện về môi
trường tích hợp các loại hình dịch vụ và “an toàn mạng”, “an ninh thông tin”.
Các kết quả nghiên cứu về lý luận và thực tiễn đã nêu ở trên được trình bày trong 4 chương của luận
án với các tiêu đề như sau: Chương 1: “Tổng quát về đặc tính hóa lưu lượng IP”. Chương 2: “Đặc tính
-2-
thống kê và điều kiện giới hạn phân bố lưu lượng IP Internet”. Chương 3: “Các điều kiện giới hạn về phân
bố luồng lưu lượng IP Internet theo chất lượng dịch vụ (QoS) tương thích”. Chương 4: “Nghiên cứu về các
giới hạn trong chống tấn công từ chối dịch vụ (DoS) và sâu Internet”
CHƯƠNG 1 TỔNG QUÁT VỀ ĐẶC TÍNH HÓA
LƯU LƯỢNG IP
1.1. Giới thiệu
Nghiên cứu sinh dựa trên cơ sở lý thuyết và sử dụng các mã nguồn mở có uy tín để tiến hành điều tra
mạng viễn thông tại đơn vị cung cấp dịch vụ nhằm tổng hợp các số liệu lưu lượng và đóng góp vào sự hiểu
biết về hành vi mạng ở quy mô lớn. Những kết quả nghiên cứu tổng quát về đặc tính hóa lưu lượng IP sẽ
được nghiên cứu sinh trình bày theo kiểu một tài liệu hướng dẫn đối với các nhà quản lý mạng, cung cấp
dịch vụ mạng trong chương này.
1.2. Lưu lượng và các đặc tính phân loại
-3-
Có nhiều loại lưu lượng khác nhau trên mạng và có thể phân các ứng dụng thành loại theo thời gian
thực và không theo thời gian thực. Các loại lưu lượng ứng với ứng dụng khác nhau, ngay cả khi chúng có
cùng điểm xuất phát, cùng điểm đến và cùng cách thức truyền thông, thì đã có các đặc tính ngẫu nhiên và
nhu cầu về QoS (các tham số thể hiện băng thông, tỷ lệ mất gói, v.v…) khác nhau và có thể phân tích các
yêu cầu về QoS dựa trên mức thời gian và mức truyền dịch vụ (mức gói, cuộc gọi) khác nhau. Mô hình lưu
lượng đối với các dịch vụ cơ bản dựa trên lý thuyết Erlang, gồm hai tham số chính (tốc độ xuất hiện cuộc gọi
và thời gian chiếm giữ trung bình) để xác định lưu lượng ra ứng với thời gian sử dụng tài nguyên.
Nếu phân bố Poisson phù hợp với thống kê xuất hiện các cuộc gọi thì đối với hệ thống có N kênh, tổng
lưu lượng A, thời gian giữ cuộc trung bình τ, độ trễ lớn nhất cho phép trước khi cuộc gọi mới bị khóa T. Xác
suất không có server (hệ thống bận, cuộc gọi mới bị khóa) GOS theo mô hình Erlang B khi không có cơ chế
trễ T và xác suất không có server khi có cơ trễ lớn hơn T tuân theo mô hình Erlang C :
Erlang B:
N
k
N
k=0
A
N!
GOS
A
k!
=
∑
;
-4-
Erlang C:
(N-A)T
N
τ
k
N-1
N
k=0
A
GOS= e
A A
A +N! 1-
N k!
÷
∑
(1.1)
Để hiểu cơ chế hoạt động phức tạp của mạng, đặc tính hoá lưu lượng được xem như một hàm nhiều
tham số. Thống kê lưu lượng phục vụ mục đích đặc tính hoá được nghiên cứu sinh sử dụng ở đây là phương
pháp gộp chi tiết (Aggregation granularity, AG); phân tích hệ thống trên cơ sở chia hệ thành các phân hệ
khác nhau để hiểu biết chi tiết hơn và tổng hợp đặc tính của các phân hệ để có những đặc tính của toàn bộ hệ
đó.
1.3. Về các phần mềm mã nguồn mở sử dụng
Nghiên cứu sinh chọn hai phần mềm mã nguồn mở vào việc triển khai giám sát, phân tích đặc tính lưu
lượng tại mạng viễn thông Thừa thiên Huế.
- Ứng dụng phần mềm NTOP để quan sát, giám sát, thống kê một khu vực (nhóm người dùng) về tỉ lệ
sử dụng các loại giao thức mạng (tập trung ở lớp 4) để đề xuất về việc thiết lập các QoS cho từng loại giao
thức để tăng chất lượng phục vụ người dùng.
- Ứng dụng phần mềm mã nguồn mở Observium để quan sát, giám sát và thống kê lưu lượng tổng
quát, chủ yếu lưu lượng lớp mạng (lớp 3) của mạng cung cấp dịch vụ MAN-E nhằm mục đích phân tích, đưa
-5-
ra các đề xuất tối ưu về quy hoạch băng thông đường truyền, định tuyến cho mạng MAN-E đối với dịch
Internet và IPTV.
Bằng cách quan sát chung nhóm người dùng, NTOP có thể cung cấp cho nhà quản trị mạng về tỉ lệ các
loại dịch vụ Internet mà người dùng sử dụng như thế nào.
Phần mềm Observium được phát triển thành một công cụ dễ cấu hình dùng giám sát tình trạng hoạt
động của mạng máy tính. Trong ứng dụng Observium thực tế triển khai ở VNPT Thừa Thiên Huế đã thay đổi
các giá trị tham số cho phù hợp với yêu cầu giám sát và thống kê số liệu .
1.4. Kết luận chương
Luồng lưu lượng IP truyền thông trên môi trường phân tán, không đồng nhất ở đây là đối tượng nghiên
cứu nằm trong khuôn khổ của bài toán phân tích lưu lượng nói chung nhằm tham số hóa hay đặc tính hóa để
nhận biết lớp ứng dụng của lưu lượng nói riêng. Khi gắn với chức năng của một nhà quản trị mạng, ngoài
việc đảm bảo QoS, khai thác tiềm năng mạng thì nhiệm vụ đảm bảo an ninh mạng, an ninh thông tin đòi hỏi
về các phát hiện dạng lưu lượng có đặc tính khác như đặc tính “tấn công” của “tin tặc” và “tin rác”. Điều này
đòi hỏi việc phân tích tín hiệu theo không gian nhiều chiều, áp dụng phân bố ngẫu nhiên nhiều chiều tương
ứng để phát hiện thêm các tham số trong quá trình đặc tính hóa luồng tín hiệu IP
-6-
CHƯƠNG 2: ĐẶC TÍNH THỐNG KÊ VÀ ĐIỀU KIỆN GIỚI HẠN PHÂN BỐ LƯU LƯỢNG
IP INTERNE
2.1. Giới thiệu chương
Trong chương này, nghiên cứu sinh trình bày đặc tính lưu lượng IP Internet của các dịch vụ khác nhau
(tương tác đa phương tiện thời gian thực, …) đối với môi trường mạng (Web và Client-Server, di động và
mạng không dây, …) khác nhau, giới hạn xét ở đây là QoS và điển hình là tắc nghẽn. Ngoài ra, chương này
cũng đề xuất và phân tích các điều kiện giới hạn trong việc phân bổ lưu lượng dựa theo QoS và ngưỡng tắc
nghẽn.
2.2.Đặc tính lưu lượng của những mô hình khác nhau
2.2.1. Tương tác đa phương tiện và lưu lượng thời gian thực
Những kết quả về lưu lượng thời gian thực và đa phương tiện thu được từ các mã hóa-giả mã tốc độ Bit
như lưu lượng âm thanh PCM và hình ảnh MPEG-1 được mô tả một cách bao quát bởi nhiều kĩ thuật, mô hình
trong các phân tích cấu trúc tự tương quan của bộ đếm cơ bản và các quá trình điểm. Sự phát sinh của những
dịch vụ tương tác mới trong môi trường đa phương tiện và Internet di động dẫn đến sự xuất hiện của các phương
pháp mô tả mới như kĩ thuật mã hóa-giải mã thích ứng như bộ mã hóa-giải mã đa tốc độ thích ứng UMTS
(AMR) và MPEG-4.
-7-
Trước hết, các đòi hỏi về chất lượng dịch vụ của những dịch vụ nổi trội nhất (hội nghị truyền hình và
phương tiện di động) được trình bày làm cơ sở để thông qua nghiên cứu, thu thập số liệu , nghiên cứu sinh đề
xuất khuyến nghị và khả năng cho phép đối với QoS của các dịch vụ Audio và Video.
2.2.2. Đối với l
ưu lượng Web và Client-Server
Do sự xuất hiện liên tục các ứng dụng, dịch vụ mới, kể cả công nghệ truy cập mạng băng rộng nên mô tả
lưu lượng truy cập Internet trở thành vấn đề quan trọng đối với cả nhà cung cấp dịch vụ Internet (ISPs) và các
nhà khai thác mạng truy cập. Sự thay đổi nhanh về các đặc tính lưu lượng đòi hỏi các phép đo lưu lượng một
cách thường xuyên và phải đáp ứng tiêu chí kỹ thuật; các phép đo lưu lượng thực hiện ở các mức phân giải khác
nhau phù hợp với nhiệm vụ đã chọn làm mục tiêu và các phép đo được thực hiện trên nhiều loại khác nhau của
đối tượng.
Nghiên cứu sinh đã thực hiện các phép đo tại hai ISP khác biệt ký hiệu là ISP1 và ISP2 với một mạng
CATV làm ISP1 và ADSL làm ISP2 để có được những kết luận cụ thể.
2.2.3. Đối với di động trong môi trường mạng không dây
Nghiên cứu sinh trình bày về các phép đo, mô hình và phân tích các luồng lưu lượng trong mạng GPRS.
Trong đó, gồm “Các phép biến đổi Radon và công cụ tương tự” liên quan đến những đặc tính Up-link (mã hóa
-8-
kênh, số lượng các kênh dữ liệu gói Up-link (PDCHs) dùng trong kết nối GSM/GPRS) và “chương trình Tstat”,
dùng để phân tích
các luồng TCP/IP/GPRS từ dấu vết luồng TCP.
2.3. Điều kiện giới hạn sử dụng mô hình, phương pháp
Trong phần này sẽ trình bày những vấn đề liên quan đến các kết luận về tình trạng hay giới hạn mạng
lưới dựa vào các phép đo (chẳng hạn như kết luận về băng thông tắc nghẽn, băng thông sẵn có, về lưu lượng
chéo nhau v v.) bằng cách sử dụng số liệu thống kê lưu lượng (xác định suy giảm QoS của End-to-End).
2.3.1. Những đồ thị biểu đồ thông lượng khác nhau
Dạng biểu đồ thông lượng vào
{ }
(
)
1
, , ,
n
in
S
S
H R R T W
=
∆ ∆ ∆
và ra
{ }
(
)
1
, , ,
n
out
S
S
H R R T W
=
∆ ∆ ∆
thường
được dùng với độ phân giải thông lượng ΔR. Những nghiên cứu thực nghiệm đã chỉ ra rằng việc so sánh hoạt
động tốt cho những khoảng thời gian ⌈Rmax/ΔR +1⌉≃ 20 đối với n ≥ 600.
Hình 2-3 cho thấy những biểu đồ thông lượng từ các phép đo với ứng dụng truyền hình hội nghị theo
những mức nhiễu loạn lưu lượng truyền qua khác nhau và các hiện tượng tắc nghẽn cục bộ khác nhau
-9-
Hình 2-3.Biểu đồ thông lượng từ các phép đo đối với ứng dụng truyền hình hội nghị
2.3.2. Định hình và phân chia giới hạn tắc nghẽn
Nghiên cứu sinh trình bày những vấn đề liên quan đến định hình và phân chia giới hạn tắc nghẽn.
2.4. Kết luận chương
Các kết quả về đặc tính hóa lưu lượng trình bày trong chương 1 và các phân tích ở đây được dùng làm
cơ sở để bàn về chất lượng dịch vụ QoS tương thích trình bày trong chương 3 và về bảo vệ chống tấn công,
an ninh mạng trình bày trong chương 4.
-10-
CHƯƠNG 3: CÁC ĐIỀU KIỆN GIỚI HẠN VỀ PHÂN BỐ LUỒNG LƯU LƯỢNG IP
INTERNET
THEO CHẤT LƯỢNG DỊCH VỤ (QoS) TƯƠNG THÍCH
3.1 Giới thiệu chương
Chương này trình bày phương pháp điều khiển tương thích xác lập trên quan điểm của lý thuyết truyền
thông nhằm mục tiêu phân bố lưu lượng, đảm bảo chất lượng dịch vụ dựa vào kiến trúc middleware được
trình bày sau khi đôi nét về chất lượng dịch vụ của mạng (QoS) tương thích. Tiếp đến trình bày phương pháp
giải quyết cơ chế ưu tiên lưu lượng ưu tiên trong mạng hàng đợi ở tại một node mạng nhằm vào tính tương
thích của chất lượng dịch vụ trên cơ sở của phương pháp điều khiển hiện đại .
3.2 Về tương thích QoS trong môi trường Internet
Nghiên cứu sinh sử dụng một cơ chế gọi là QoSSpace để tạo ra một QoSReport về các khả năng giữa
QoS của mạng và giá trị trạng thái luồng của ứng dụng qua “giá trị trạng thái tương ứng” (SCV) của mỗi
luồng.
3.3 Điều kiện để tương thích QoS đối với Middleware
-11-
3.3.1. Kiến trúc middleware đảm bảo QoS
Hình 3-2. Kiến trúc middleware tương thích QoS theo ứng dụng.
3.3.2. Các cơ chế điều kiện tương thích trong hệ thống QoS middleware:
Xác định các đặc điểm QoS của ứng dụng ; Biên dịch QoS ; Thiết lập QoS; Các cơ chế điều kiện
tương thích QoS
-12-
3.3.3. Áp dụng mô hình điều khiển truyền thống
Hình 3-5. Mô hình điều khiển tác vụ.
Phương trình mô tả biến đổi tài nguyên được cấp phép có dạng
(3.7)
với, x(k) là tổng số các yêu cầu tài nguyên có trong hàng đợi được thực hiện bởi tất cả các tác vụ ứng dụng ở
thời điểm k, u(k) là tốc độ yêu cầu được điều khiển bởi bộ điều khiển (công việc điều khiển tương thích) và
M(k) là tổng số các tác vụ của ứng dụng hiện hành, c là tốc độ cấp phép yêu cầu.
-13-
3.3.4. Các điều kiện về mô hình điều khiển tác vụ
Mục đích của điều khiển các tác vụ là duy trì tổng các yêu cầu tài nguyên trong hàng đợi x(k) của ứng
dụng nằm xung quanh giá trị tham chiếu x
c
(k). Tác vụ tương thích thực hiện thuật toán điều khiển nào đó dựa
trên các yêu cầu tài nguyên trong hàng đợi x(k) và giá trị tham chiếu x
c
(k) để hiệu chỉnh yêu cầu tài nguyên
u
i
(k). Yêu cầu hiệu chỉnh tài nguyên u
i
(k) của tác vụ tương thích T
i
thỏa mãn x(k) được mô tả bởi phương
trình sau:
u
i
(k) = u
i
(k −1) + α[x
c
(k) − x(k)]+ β {[x
c
(k) − x(k)]− [x
c
(k −1) − x(k −1)]} (3.8)
với, α và β là các hệ số cấu hình của tác vụ tương thích.
3.3.5. Ứng dụng mô hình điều khiển tác vụ trong kiến trúc middleware
Nghiên cứu sinh đề xuất sử dụng mô hình điều khiển tác vụ theo cơ chế phân cấp để tương thích QoS
trong kiến trúc middleware cho thấy middleware có khả năng tương thích QoS cả trong trường hợp khi có
những thay đổi nhỏ và thay đổi lớn về độ sẵn sàng của tài nguyên.
Phương trình mô tả tổng lượng yêu cầu tài nguyên trong toàn bộ hệ thống như sau :
s(k+1) =
Ψ
a
max
{s(k) + l(k)
C
(k) + S
N
(k) - a}, (3.9)
trong đó a
max
là lượng yêu cầu tài nguyên được cấp phép cực đại của hệ thống đầu cuối.
Phương trình mô tả luật điều khiển PID cho mỗi tác vụ tương thích như sau:
-14-
[ ]
++−++=+
)1()1()()1( kskskckc
rii
α
[ ] [ ]
{ }
)()()1()1( ksksksks
rr
−−+−++
β
, (3.10)
với
T
T
K
I
=
α
và
D
KT
T
β
=
là các hệ số tỷ lệ.
3.4 Giới hạn phân bổ lưu lượng ưu tiên trong mạng hàng đợi
3.4.1 Mô hình hóa cơ chế ưu tiên lưu lượng trong mạng hàng đợi
Minh họa quản lý hàng đợi lưu lượng theo lý thuyết điều khiển như trong hình 3.9.
Hình 3-9. Mô hình bài toán phân
bố lưu lượng hàng đợi
-15-
Với phương pháp tuyến tính hóa, hệ phương trình toán học mô tả động học của bài toán quản lý hàng
đợi:
- Hệ thống hàng đợi hở:
ˆ
ˆ
ˆ ˆ ˆ
( ) ( ) ( )
ˆ
ˆ ˆ
( ) ( )
x t Ax t Bu t
y t Cx t
= +
=
&
(3.11)
- Hệ thống hàng đợi kín:
ˆ
ˆ
ˆ ˆ ˆ
( ) ( ) ( )
ˆ
ˆ ˆ
( ) ( )
ˆ ˆ
( ) ( )
x t Ax t Bu t
y t Cx t
u t Kx t
= +
=
= −
&
(3.12)
trong đó,
q 1
ˆ
( )
R
y t
×
∈
,
1
ˆ
( )
p
R
u t
×
∈
,
1
ˆ
( )
m
R
x t
×
∈
, m ≥ min(p, q);
p n
K R
×
∈
và
m p
M R
×
∈
là các tổ hợp
tuyến tính của tín hiệu kích thích và đáp ứng;
ˆ
m m
R
A
×
∈
,
ˆ
m x p
R
B
∈
,
ˆ
q m
C R
×
∈
là các ma trận tham số cần xác
định theo tham số hệ thống {A, B, C}, có thể gồm đại lượng đặc trưng độ trễ, thời gian chờ, độ dài hàng đợi,
xác suất nghẽn trong hệ thống.
3.4.2 Giải quyết bài toán ưu tiên lưu lượng trong mạng hàng đợi
a> Giải quyết bài toán mạng hàng đợi hở
Phương trình cân bằng xác suất chuyển trạng thái :
-16-
( )
1 1
1 1
1 , 1 1
1 1 1
( , ) ( , , , , , , ) ( , , 1, , )
( 1, ) ( , , 1, , ) ( 1, ) ( , , 1, 1, )
K K
i k k k k l K i k l K
k k
K K K
k k k k l K k K k k k kl k l K
k k l
min i S p i i i i p i i i i
min i S p i i i i p min i S p p i i i i
λ µ λ
µ µ
= =
+
= = =
+ = − +
+ + + + + −
∑ ∑
∑ ∑ ∑
(3.21)
b/ Giải quyết bài toán mạng hàng đợi kín
Phương trình cân bằng xác suất chuyển trạng thái trong toàn mạng là:
1 1
1 1 1
( , ) ( , , , , , , ) ( 1, ) ( , , 1, 1, )
K K K
k k k k l K k k k kl k l K
k k l
min i S p i i i i min i S p p i i i i
µ µ
= = =
= + + −
∑ ∑ ∑
(3.29)
c.) Giải quyết bài toán hàng đợi đối với lưu lượng nhiều chiều
3.4.3 Bàn luận về những điều kiện giới hạn liên quan đến xử lý mạng hàng đợi
Nghiên cứu sinh trình bày một số vấn đề liên quan :
- Hạn chế về chất lượng mạng viễn thông qua mô hình toán học
- Giới hạn từ đặc tính ổn định của các mô hình hệ thống trễ
- Giới hạn do các mô hình ngẫu nhiên sử dụng
-17-
3.5 Kết quả mô phỏng
3.5.1 Thiết lập hệ thống điều khiển
Hệ thống điều khiển tương thích mô tả bởi các phương trình (3.9, 3.10) và được thể hiện trong hình
3.19 trong môi trường Matlab.
Hình 3-19. Sơ đồ mô phỏng hệ thống điều khiển tương thích QoS.
3.5.2. Thiết lập tham số cấu hình
Để thấy được ảnh hưởng của các tham số cấu hình
α
và
β
đến các đặc tính ổn định, đặc tính cân bằng
của hệ thống điều khiển cần thực hiện mô phỏng hệ thống điều khiển trong các trường hợp thiết lập tham số
cấu hình
α
và
β
khác nhau đối với hệ thống điều khiển không ổn định và hệ thống điều khiển ổn định.
3.5.3 Phân tích đặc điểm của hệ thống theo mô hình lý thuyết
-18-
Nghiên cứu sinh đưa ra một số phân tích với hệ thống điều khiển tương thích, các tham số cấu hình
được lựa chọn như trên, theo các đặc tính ổn định và đặc tính cân bằng.
3.5.4. Kết quả mô phỏng tại Viễn thông Thừa Thiên Huế
Nghiên cứu sinh trình bày các kết quả mô phỏng hệ thống điều khiển tương thích trong trường hợp
thiết lập các tham số cấu hình α và β khác nhau .
3.6 Kết luận chương
Những kết quả nghiên cứu liên quan đến sử dụng kết quả về đặc trưng hóa luồng lưu lượng (trong
chương 1 và chương 2) để xem xét, phân bổ lưu lượng tương thích QoS phục vụ cho nhiệm vụ đảm bảo QoS
theo nghĩa thích nghi trên cơ sở áp dụng lý thuyết điều khiển đã được trình bày.
CHƯƠNG 4: NGHIÊN CỨU VỀ CÁC GIỚI HẠN TRONG CHỐNG TẤN CÔNG
TỪ CHỐI DỊCH VỤ (DoS) VÀ SÂU INTERNET
4.1 Giới thiệu chương
Nhà quản trị mạng sử dụng tập các tham số đặc trưng hóa luồng lưu lượng IP Internet (Chương 1 và 2)
để cung cấp QoS dịch vụ theo các mức ưu tiên khác nhau (Chương 3) và đảm bảo an ninh cho toàn hệ thống
mạng trong khuôn khổ phát triển theo “ba bất kỳ”, (three any: any time, any where, any form” trước những
hành động xâm nhập mang tính “tặc thông tin” , “triệt hạ tầng mạng” (hay “tấn công” gọi chung). Các cuộc
tấn công hiện nay thường được phân tán ở mức độ cao và phối hợp tốt (tấn công từ chối dịch vụ phân tán
(DDoS), sâu Internet chẳng hạn) gây những ảnh hưởng xã hội nghiêm trọng về thông tin, làm gián đoạn dịch
-19-
vụ quan trọng, tổn thất lớn về kinh tế, v.v và trở thành một trong các tội phạm nghiêm trọng bậc nhất. Bảo
vệ hạ tầng mạng trước các cuộc tấn công đã trở thành một vấn đề quan trọng cần được khẩn trương giải
quyết.
Trong chương này, nghiên cứu sinh trình bày các kết quả nghiên cứu về phát hiện, đối phó trước các
cuộc tấn công mạng kiểu phân tán (DDoS và sâu Internet) và trình bày đề xuất phản ứng chống lại các cuộc
tấn công mạng đó bằng phương pháp phân bổ lưu lượng IP sử dụng điều kiện giới hạn Proxy. Nghiên cứu
sinh cũng sử dụng các công cụ mô phỏng trực tuyến để xác định khả năng chống lại những của cuộc tấn công
theo lý thuyết và trong thực tế (một mạng mô phỏng với một kích cỡ có thể so sánh được với mạng ISP).
4.2 Một số vấn đề liên quan đến tấn công mạng
4.2.1 Giới thiệu về tấn công mạng
Những cuộc tấn công mạng dựa chủ yếu vào các lỗ hổng của phần mềm, của giao thức mạng và của cơ
sở hạ tầng. Lỗ hổng phần mềm là do lỗi trong cài đặt các phần mềm mạng (như DNS BIND, HTTP Apache,
Telnet, SMTP ). Trong phần này, nghiên cứu sinh thảo luận hai kiểu tấn công mạng nguy hiểm, phổ biến
trên Internet hiện nay. Đó là tấn công từ chối dịch vụ và tấn công kiểu sâu internet.
4.2.2 Cơ sở và các vấn đề liên quan đến DoS
Trình bày các vấn đề liên quan đến DoS như : Các bước cơ bản trong việc chuẩn bị và tiến hành một
cuộc tấn công Ddos, Các cuộc tấn công DoS, phòng thủ DoS dựa trên mạng Proxy.
4.2.3 Sâu Internet: Cơ sở và các vấn đề liên quan
-20-
Trình bày các vấn đề : Một số thông tin có tính cơ bản về các loại sâu Internet đã ra đời trong vài năm
qua, các phương pháp quét của sâu Internet, phòng chống sâu Internet.
4.3 Chống tấn công từ chối dịch vụ (DoS) và các giới hạn
4.3.1 Giới thiệu
Sử dụng mô phỏng mạng lưới ở mức gói trực tuyến (đầy đủ ứng dụng, phần mềm thực thi và các
chương trình tấn công thực) cho phép nghiên cứu chi tiết mạng lưới, động học ứng dụng (rớt gói, định tuyến
hàng đợi, thời gian thực), hành vi phản ứng của mạng và giao thức ứng dụng (tham số quan trọng đối với
ứng dụng, hiệu suất mạng Proxy trước các cuộc tấn công DoS).
4.3.2 Hệ thống phòng thủ DoS dựa trên mạng Proxy
Dùng một mạng mô phỏng ở quy mô lớn (dùng MicroGrid mô phỏng mức gói trực tuyến) , để nghiên
cứu hiệu suất ứng dụng cung cấp bởi mạng Proxy trước các cuộc tấn công DoS . Sau đó sử dụng các ứng
dụng, chương trình tấn công thực để đưa những thí nghiệm đó vào trong môi trường mạng đã mô phỏng.
Bộ công cụ để mô phỏng hành vi tấn công DDoS thông dụng sử dụng Trinoo có sẵn trên Internet .
Nghiên cứu sinh đã thực hiện ba bộ thí nghiệm : nghiên cứu ảnh hưởng của các cuộc tấn công DoS lên ứng
dụng không được bảo vệ bởi mạng Proxy ; nghiên cứu hiệu suất ứng dụng trước hai cuộc tấn công DoS quy
mô lớn kiểu dàn trải và tập trung để tìm hiểu khả năng chống lại trước các cuộc tấn công này của mạng
Proxy; nghiên cứu hiệu suất chống lại các cuộc tấn công của một mạng Proxy có kích thước thay đổi khi tỷ
-21-
lệ giữa cường độ tấn công và kích thước mạng Proxy cố định để tìm hiểu khả năng mở rộng tính đối kháng
của mạng Proxy trước các cuộc tấn công DoS.
4.3.3 Nhận xét về các điều kiện giới hạn
Sử dụng mô phỏng mạng trực tuyến có quy mô lớn, chi tiết (MicroGrid) để nghiên cứu các mạng
Proxy với các ứng dụng và các cuộc tấn công DoS thực cho thấy rằng các mạng Proxy có thể cung cấp hiệu
quả với khả năng mở rộng tính phục hồi trước các cuộc tấn công DoS mức cơ sở hạ tầng và bảo vệ ứng dụng.
4.4 Ngăn chặn sâu Internet và các điều kiện
4.4.1. Mô hình lây truyền và phát hiện tín hiệu virus/sâu
Một vài mô hình toán học được sử dụng để mô tả sự lây truyền phân tán sâu. Các mô hình lây truyền
virus :
Mô hình Staniford: Mô hình định lượng lan truyền sâu do Staniford cùng cộng sự đề xuất để xác định
tỷ lệ máy đã bị nhiễm a.
Mô hình Kephart và White: Trên cơ sở sử dụng hệ thống kiểu nút trong đồ thị phương trình vi phân mô
tả sự phát triển tỷ lệ máy i(t) bị lây nhiễm theo thời gian .
Thuật toán vết chân (Footprint) Rabin được sử dụng tại mỗi nút mạng để tính các khối nội dung trong
các phần tải của gói tin.
4.4.2. Phòng chống và ngăn chặn sâu Internet và các điều kiện
-22-
Nghiên cứu sinh đã dùng hệ thống mô phỏng quy mô lớn với thuật toán Rabin để tính số lượng sâu
phục vụ thăm dò. Mạng mô phỏng thiết lập với số lượng lớn máy có nguy cơ bị tấn công và mạng cục bộ.
Chọn một nút của các mạng cục bộ để thiết lập nút của mạng phòng thủ kết hợp.
Kết quả mô phỏng cho thấy lan truyền sâu khi các nút ngăn chặn độc lập và kết hợp trong trường hợp
các nút riêng lẻ thu thập 100 tín hiệu sâu cùng mẫu trước khi nó lọc gói tin chỉ ra rằng với các nút ngăn chặn
độc lập, hành vi lan truyền sâu không bị hạn chế (so sánh với không có bất kỳ việc ngăn chặn nào) nhưng,
đối với phòng thủ trong mạng kết hợp, các hành vi lan truyền phần lớn bị hạn chế.
4.5 Kết luận chương
Trong chương này, nghiên cứu sinh đã nghiên cứu khả năng chống lại các cuộc tấn công của một
mạng Proxy, đồng thời nghiên cứu các đặc tính của hệ thống phòng thủ DoS dựa trên mạng Proxy trước
những cuộc tấn công này để nắm chắc rằng khi nào tính đối kháng là có thể sử dụng, xem xét khả năng một
mạng Proxy có thể chống lại những cuộc tấn công như thế nào và thiết kế một hệ thống dựa trên mạng Proxy
để việc phòng thủ một cách hiệu quả.
Nghiên cứu sinh đã nghiên cứu về mô hình chung để thu giữ một dải rộng hệ thống phòng thủ DoS
dựa trên mạng Proxy. Mô hình này xác định một bộ yếu tố phù hợp với tiêu chuẩn trong hệ thống dựa trên
mạng Proxy và sự tương tác của chúng.
Chương này cũng trình bày một kỹ thuật phòng chống tấn công hợp tác phân cấp để bảo vệ hạ tầng
mạng chống lại tấn công mạng .
-23-
KẾT LUẬN VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TIẾP
Luận án đã trình bày các kết quả nghiên cứu về đặc tính hóa luồng lưu lượng IP nhằm mục đích xử lý,
phân bổ lưu lượng Internet, bảo vệ an ninh thông tin mạng và chống tấn công mạng diện rộng; những vấn đề
này ngày càng trở nên cấp thiết đối với các nhà cung cấp dịch vụ mạng do sự phát triển không ngừng các lớp
ứng dụng mới hội tụ trên nền IP.
Qua đó, nghiên cứu sinh rút ra kinh nghiệm thực tiễn thu được khi thực hiện các đề tài nghiên cứu
khoa học tại cơ sở và những đóng góp mới thể hiện ở các công trình công bố trên các tạp chí như sau:
1). Tổng quát, hệ thống hóa về đặc tính hóa lưu lượng IP và phát triển, phân loại các đặc tính theo dịch
vụ đối với luồng lưu lượng trong trường hợp của một nhà quản lý, cung cấp dịch vụ viễn thông cụ thể.
2). Đề xuất áp dụng lý thuyết hệ thống vào bài toán phân bổ lưu lượngsử dụng kết quả ưu tiên được
cung cấp bởi đặc trưng hóa luồng lưu lượng IP internet tại một nút mạng của nhà quản lý, cung cấp dịch vụ
viễn thông.
3). Hệ thống hóa về giải pháp chống tấn công từ chối dịch vụ và ngăn chặn sâu Internet trên cơ sở đặc
trưng hóa luồng lưu lượng IP để đề xuất việc xác định giới hạn của mô hình sử dụng Proxy nhằm mục tiêu
bảo đảm an ninh mạng.
4). Đề xuất giải pháp sử dụng tài nguyên thời gian thực (nhà quản lý, cung cấp dịch vụ viễn thông và
các phần mềm mã nguồn mở) để thực hiện minh chứng tính đúng đắn về mặt lý luận.
-24-
Những vấn đề cần nghiên cứu tiếp :
1.) Đối với “đặc tính hóa luồng lưu lượng IP Internet”, nghiên cứu sinh thấy cần thiết tiến hành nghiên
cứu bổ sung thêm những chiều hữu ích khác trong việc biểu diễn luồng lưu lượng để phát hiện chính xác hơn
sự khác biệt giữa đặc tính thể hiện ở những luồng tin “phá hoại”, “dịch vụ chuyên dụng” với những luồng tin
“dịch vụ truyền thống” và bổ sung thích hợp vào những phần mềm mã nguồn mở.
2.) Xác định mức ưu tiên của dịch vụ qua đặc tính hóa lưu lượng nhiều chiều để tìm ra hệ các điều kiện
ràng buộc đồng thời theo không gian (trong cả miền tần số, miền thời gian đối với lọc tương thích, đối với
điều khiển công suất, và phân bổ tần số thông qua điều chế tương thích, v.v…) nhằm vào nhiệm vụ đảm bảo
cung cấp chất lượng dịch vụ (QoS) của các công nghệ truyền thông thế hệ tiếp theo trong môi trường phân
tán diện rộng.
3.) Nghiên cứu áp dụng quyết định mềm (Soft decision) vào nhiệm vụ bảo đảm an toàn thông tin và an
ninh mạng để thu được những giới hạn ràng buộc làm cơ sở lý luận đề xuất mô hình bảo vệ thích hợp.
-25-