Tải bản đầy đủ (.pdf) (15 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Nghiên cứu một số vấn đề nâng cao chất lượng dịch vụ trong mạng thế hệ mới

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (648.34 KB, 15 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

Lê Đắc Nhường

NGHIÊN CỨU MỘT SỐ VẤN ĐỀ
NÂNG CAO CHẤT LƯỢNG DỊCH VỤ
TRONG MẠNG THẾ HỆ MỚI

LUẬN ÁN TIẾN SỸ TOÁN HỌC

Hà Nội - 2015


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

Lê Đắc Nhường

NGHIÊN CỨU MỘT SỐ VẤN ĐỀ
NÂNG CAO CHẤT LƯỢNG DỊCH VỤ
TRONG MẠNG THẾ HỆ MỚI
Chuyên ngành: Cơ sở toán cho Tin học
Mã số: 62460110

LUẬN ÁN TIẾN SỸ TOÁN HỌC

NGƯỜI HƯỚNG DẪN KHOA HỌC:
1. PGS.TS Lê Trọng Vĩnh
2. PGS.TS Ngô Hồng Sơn


Hà Nội - 2015


Lời cam đoan
Tôi xin cam đoan luận án "Nghiên cứu một số vấn đề nâng cao chất
lượng dịch vụ trong mạng thế hệ mới" là công trình nghiên cứu của riêng
tôi. Các số liệu, kết quả được trình bày trong luận án là hoàn toàn trung thực và
chưa từng được công bố trong bất kỳ một công trình nào khác.

Tôi đã trích dẫn đầy đủ các tài liệu tham khảo, công trình nghiên cứu liên
quan ở trong nước và quốc tế. Ngoại trừ các tài liệu tham khảo này, luận án
hoàn toàn là công trình của riêng tôi.
Trong các công trình khoa học được công bố trong luận án, tôi đã thể hiện
rõ ràng và chính xác đóng góp của các đồng tác giả và những gì do tôi đã
đóng góp. Các kết quả được viết chung với các tác giả khác đều được sự
đồng ý của đồng tác giả trước khi đưa vào luận án.
Luận án được hoàn thành trong thời gian tôi làm nghiên cứu sinh tại Bộ
môn Tin học, Khoa Toán-Cơ-Tin học, Trường Đại học Khoa học Tự nhiên,
Đại học Quốc gia Hà Nội.

Tác giả:

Hà Nội:

i


Lời cảm ơn
Trước hết, tôi muốn cảm ơn PGS.TS Lê Trọng Vĩnh, PGS.TS Ngô Hồng Sơn
- những người đã trực tiếp giảng dạy và hướng dẫn tôi trong suốt thời gian học

tập và thực hiện luận án này. Một vinh dự lớn cho tôi được học tập, nghiên cứu
dưới sự hướng dẫn tận tình, khoa học của hai Thầy.
Tôi xin gửi lời cám ơn đến các Thầy, Cô trong Bộ môn Tin học, Khoa ToánCơ-Tin học vì sự giúp đỡ và những đề xuất, trao đổi trong nghiên cứu rất hữu ích
cho luận án. Xin cảm ơn các Thầy, Cô và các anh chị em đã góp ý, cổ vũ động
viên và sát cánh bên tôi trong suốt quá trình thực hiện luận án.
Tôi trân trọng cảm ơn Ban Giám hiệu, Phòng Sau Đại học, Phòng Đào tạo,
Phòng Chính trị và Công tác sinh viên trường Đại học Khoa học Tự nhiên, Đại
học Quốc gia Hà Nội đã tạo điều kiện thuận lợi cho tôi trong suốt quá trình thực
hiện luận án. Tôi cũng bày tỏ sự cảm ơn đến Ban Giám hiệu, Khoa Công nghệ
thông tin Trường Đại học Hải Phòng đã tạo điều kiện về thời gian và tài chính
cho tôi hoàn thành luận án này.
Cuối cùng, tôi xin bày tỏ lòng biết ơn vô hạn đối với cha mẹ, vợ con và gia
đình đã luôn ủng hộ, giúp đỡ tôi. Những người luôn chia sẻ, động viên tôi trong
những lúc khó khăn và tôi luôn ghi nhớ điều đó.

ii


Mục lục
Lời cam đoan

i

Lời cảm ơn

ii

Danh mục từ viết tắt

v


Danh mục ký hiệu

vi

Danh mục bảng

vii

Danh mục hình vẽ

viii

Mở đầu

1

1 Một số hướng tiếp cận nâng cao QoS trong mạng NGN
1.1 Mạng thế hệ mới . . . . . . . . . . . . . . . . . . . . . . .
1.2 Chất lượng dịch vụ . . . . . . . . . . . . . . . . . . . . . .
1.2.1 Các tham số phản ánh chất lượng dịch vụ . . . . .
1.2.2 Phân lớp chất lượng dịch vụ . . . . . . . . . . . . .
1.2.3 Mô hình và kỹ thuật đảm bảo QoS . . . . . . . . .
1.2.4 Một số nghiên cứu về chất lượng dịch vụ . . . . . .
1.3 Bài toán tối ưu tổ hợp . . . . . . . . . . . . . . . . . . . .
1.3.1 Mô hình bài toán tổng quát . . . . . . . . . . . . .
1.3.2 Các hướng tiếp cận giải bài toán tối ưu tổ hợp . . .
1.4 Thuật toán tối ưu đàn kiến . . . . . . . . . . . . . . . . .
1.4.1 Từ đàn kiến tự nhiên đến đàn kiến nhân tạo . . . .
1.4.2 Thuật toán ACO cho bài toán tối ưu tổ hợp . . . .

1.4.3 Các thuật toán đàn kiến và một số vấn đề liên quan
1.4.3.1 Thuật toán Ant System . . . . . . . . . .
1.4.3.2 Thuật toán Ant Colony System . . . . . .
1.4.3.3 Thuật toán Max-Min Ant System . . . . .
1.4.4 Cơ sở sự hội tụ của thuật toán . . . . . . . . . . . .
1.5 Tấn công từ chối dịch vụ nguy cơ và thách thức . . . . . .
1.6 Kết chương . . . . . . . . . . . . . . . . . . . . . . . . . .
2 Tối ưu cấp phát tài nguyên cho các dịch vụ
2.1 Mở rộng dung lượng mạng không dây . . . .
2.1.1 Mô hình bài toán . . . . . . . . . . .
2.1.2 Các nghiên cứu liên quan . . . . . .
iii

đảm
. . .
. . .
. . .

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

6
6

9
9
10
12
14
16
16
16
19
19
21
23
23
25
26
27
30
32

bảo QoS
33
. . . . . . . . . . 33
. . . . . . . . . . 34
. . . . . . . . . . 37


2.1.3

2.2


2.3

2.4

Đề xuất thuật toán ACO tối ưu mở rộng dung lượng . . . .
2.1.3.1 Xây dựng đồ thị có cấu trúc . . . . . . . . . . . . .
2.1.3.2 Thủ tục xây dựng lời giải . . . . . . . . . . . . . .
2.1.3.3 Mô tả thuật toán . . . . . . . . . . . . . . . . . . .
2.1.4 Kết quả thực nghiệm và đánh giá . . . . . . . . . . . . . . .
Định vị tài nguyên cho các lớp dịch vụ . . . . . . . . . . . . . . . .
2.2.1 Mô hình bài toán . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2 Các nghiên cứu liên quan . . . . . . . . . . . . . . . . . . .
2.2.3 Tối ưu định vị tài nguyên tập trung cho các lớp dịch vụ . . .
2.2.3.1 Đề xuất thuật toán ACO tối ưu định vị tài nguyên
2.2.3.2 Đề xuất thuật toán MMAS tối ưu định vị tài nguyên
2.2.4 Kết quả thực nghiệm và đánh giá . . . . . . . . . . . . . . .
Cấp phát tài nguyên cho các luồng đa phương tiện . . . . . . . . .
2.3.1 Mô hình bài toán . . . . . . . . . . . . . . . . . . . . . . . .
2.3.2 Các nghiên cứu liên quan . . . . . . . . . . . . . . . . . . .
2.3.3 Đề xuất thuật toán MMAS tối ưu QoS luồng đa phương tiện
2.3.3.1 Xây dựng đồ thị cấu trúc . . . . . . . . . . . . . .
2.3.3.2 Thủ tục xây dựng lời giải . . . . . . . . . . . . . .
2.3.3.3 Mô tả thuật toán . . . . . . . . . . . . . . . . . . .
2.3.4 Kết hợp qui tắc cập nhật vết mùi MLAS, SMMAS và 3LAS
2.3.5 Kết quả thực nghiệm và đánh giá . . . . . . . . . . . . . . .
Kết chương . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS
3.1 Mô hình đảm bảo ninh dịch vụ trong mạng NGN . . . . . . . .
3.1.1 Khuyến nghị ITU-T X.805 . . . . . . . . . . . . . . . . .

3.1.2 Phân tích ưu nhược điểm . . . . . . . . . . . . . . . . . .
3.2 Tấn công từ chối dịch vụ . . . . . . . . . . . . . . . . . . . . . .
3.2.1 Mô hình tấn công . . . . . . . . . . . . . . . . . . . . . .
3.2.2 Phương pháp tấn công và kỹ thuật phòng chống . . . . .
3.3 Một số nghiên cứu liên quan . . . . . . . . . . . . . . . . . . . .
3.4 Giải pháp phòng chống tấn công dựa trên chính sách . . . . . .
3.5 Thực nghiệm và đánh giá . . . . . . . . . . . . . . . . . . . . .
3.6 Kết chương . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kết luận

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.

.

43
43
44
45
46
53
54
58
61
61
62
64
71
71
74
77
77
77
80
80
81
86
87
88
88
90
91
92

93
98
99
102
105

106

Danh mục công trình khoa học của tác giả liên quan đến luận án 109
Tài liệu tham khảo

110

iv


Danh mục từ viết tắt
Viết tắt

Dạng đầy đủ

Diễn giải

ACO
ACS
AS
BSC
BSS
BTS
CoS

DiffServ
DoS
DDoS
DNS
GA
GoS
GS
IMS
IntServ
MMAS
MS
MSC
MoS
NGN
NGWN
OSE
PSO
QoS
QoE
SLA
TCA
ToS

Ant Colony Optimization
Ant Colony System
Ant System
Base Station Controller
Base Station Subsystem
Base Transceiver Station
Class of Service

Differentiated Service
Denial of Service
Distributed DoS
Domain Name System
Genetic Algorithm
Grade of Service
Guaranteed Service
IP Multimedia Subsystem
Integrated Service
Min-Max Ant System
Mobile Station
Mobile Switching Centers
Mean Opinion Score
Next Generation Network
Next Generation WN
Open Service Environment
Particle Swarm Optimization
Quality of Service
Quality of Experience
Service Level Agreement
Traffic Condition Agreement
Type of Service

Tối ưu đàn kiến
Hệ thống đàn kiến
Hệ thống kiến
Bộ điều khiển trạm gốc
Phân hệ trạm gốc
Trạm thu phát sóng gốc
Lớp dịch vụ

Dịch vụ được phân biệt
Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ phân tán
Hệ thống tên miền
Thuật toán di truyền
Cấp độ dịch vụ
Dịch vụ đảm bảo
Phân hệ con đa phương tiện
Dịch vụ được tích hợp
Hệ thống kiến Min-Max
Trạm di động
Tổng đài thông tin di động
Điểm đánh giá QoS
Mạng thế hệ mới
Mạng không dây thế hệ mới
Môi trường dịch vụ mở
Tối ưu nhóm bầy
Chất lượng dịch vụ
Chất lượng trải nghiệm
Thỏa thuận mức dịch vụ
Thỏa thuận điều kiện lưu lượng
Loại dịch vụ

v


Danh mục ký hiệu
Ký hiệu

Ý nghĩa


α
β
ρ
τ0
τij
τmax
τmid
τmin
∆τij
∆τijbest
pijk
K
NMax
s = (s1 , s2 , ..., sn )
bi
Dis
di
dijt
ri (si )
ci (si )
pi
βi
F = (f1 , ..., fn )
wi
rij
R = (Rq+1 , ..., Rm )
Ri = (Ri1 , ..., Rim )
Bdownlink
Buplink

ui (rij )

Tham số ảnh hưởng tương quan của mật độ vết mùi
Tham số ảnh hưởng tương quan của thông tin tri thức
Hệ số bay hơi
Giá trị khởi tạo vết mùi
Vết mùi trên cạnh (i, j )
Cận trên của giới hạn vết mùi
Trung bình của giới hạn vết mùi
Cận dưới của giới hạn vết mùi
Lượng vết mùi kiến k để lại trên cạnh (i, j ) khi đi từ i đến j
Lượng vết mùi tốt nhất của đàn kiến
Xác suất lựa chọn cạnh (i, j ) của kiến k
Số lượng kiến được thiết lập
Số vòng lặp tối đa thực hiện
Tập các dịch vụ được cung cấp tại mỗi nút mạng
là thiệt hại khi không đáp ứng được SLA trên dịch vụ si
Yêu cầu dữ liệu kiểu s từ MSi
là giới hạn dưới mức độ cam kết dịch vụ
Khoảng cách giữa MSi tới BTSj loại t
là lợi nhuận thu được từ dịch vụ si
là chi phí để đáp ứng dịch vụ si
là giá mà người dùng phải chi trả khi dùng dịch vụ si
là tham số điều khiển độ dốc của hàm chi phí
Tập các luồng đa phương tiện (N là số luồng)
Trọng số mô tả sự quan trọng của luồng fi
Tài nguyên yêu cầu r của hoạt động pj và luồng fi
Lượng tài nguyên giới hạn đối với tất cả các yêu cầu
Lượng tài nguyên tiêu thụ đối với mỗi luồng fi
Băng thông tối đa dành cho Download

Băng thông tối đa dành cho Upload
Giá trị hữu dụng đối với điểm hoạt động pj và luồng fi

vi


Danh mục bảng
1.1
1.2
1.3
1.4

Phân lớp chất lượng dịch vụ của ITU-T .
Phân lớp chất lượng dịch vụ của ETSI . .
Các hướng tiếp cận giải bài toán tối ưu tổ
Quá trình phát triển các thuật toán ACO

2.1
2.2

2.20
2.21
2.22
2.23
2.24
2.25
2.26
2.27
2.28


Các ký hiệu dùng trong bài toán mở rộng dung lượng mạng . . . . . . .
So sánh kết quả của Greedy, GENEsYs, LibGA, GGA với ACO-BSC1,
ACO-BSC2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
So sánh kết quả của Hybrid I, Hybrid II, ACO-BSC1, ACO-BSC2 . . .
Thông tin về bộ dữ liệu thực nghiệm mở rộng dung lượng mạng . . . . .
Thiết đặt tham số cho thuật toán GA-MRDL và ACO-MRDL . . . . . .
So sánh dung lượng được mở rộng của GA-MRDL và ACO-MRDL . . .
So sánh hàm mục tiêu của thuật toán GA-MRDL và ACO-MRDL . . .
Thông tin về tọa độ, dung lượng và loại BSC . . . . . . . . . . . . . . .
Thông tin về tọa độ, dung lượng và loại BTS . . . . . . . . . . . . . . .
Thông tin về tọa độ, dung lượng các trạm MS . . . . . . . . . . . . . . .
Các ký hiệu trong bài toán định vị tài nguyên cho các lớp dịch vụ . . .
Thiết đặt tham số cho thuật toán ACO và MMAS . . . . . . . . . . . .
Tham số cho các lớp dịch vụ si (i = 1, 2) . . . . . . . . . . . . . . . . . .
So sánh kết quả phân bố tài nguyên khi thay đổi tốc độ đến trung bình
So sánh kết quả phân bố tài nguyên khi thay đổi ngưỡng trễ . . . . . . .
So sánh kết quả phân bố tài nguyên khi thay đổi thừa số giá . . . . . .
Đánh giá sự ảnh hưởng của tham số Hurst đến hàm mục tiêu . . . . . .
So sánh kết quả phân bố tài nguyên của thuật toán MMAS-ĐVTN khi
thay đổi tốc độ đến trung bình α
¯ của các dịch vụ . . . . . . . . . . . . .
So sánh kết quả phân bố tài nguyên của thuật toán MMAS-ĐVTN khi
thay đổi tham số giá pi của các dịch vụ . . . . . . . . . . . . . . . . . .
Kết quả thực nghiệm so sánh giữa các thuật toán trên nhiều lớp dịch vụ
Các ký hiệu dùng trong tối ưu QoS cho các luồng đa phương tiện . . . .
Thiết đặt tham số cho các thuật toán . . . . . . . . . . . . . . . . . . .
Tập tham số yêu cầu và ràng buộc của các luồng dịch vụ AVC . . . . .
Tập tham số các luồng đa phương tiện thực nghiệm . . . . . . . . . . .
Tài nguyên yêu cầu và chi phí đáp ứng các luồng đa phương tiện . . . .
So sánh hàm mục tiêu và thời gian thực thi trên bộ dữ liệu chuẩn . . . .

Tham số về số lượng luồng theo hướng downlink và uplink thực nghiệm
So sánh kết quả thực thi giữa các qui tắc cập nhật vết mùi . . . . . . .

3.1
3.2

Thiết lập tham số các đối tượng thực nghiệm . . . . . . . . . . . . . . . . 103
Thiết lập chính sách bảo mật riêng cho các máy chủ . . . . . . . . . . . . 103

2.3
2.4
2.5
2.6
2.7
2.8
2.9
2.10
2.11
2.12
2.13
2.14
2.15
2.16
2.17
2.18
2.19

vii

. . .

. . .
hợp
. . .

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.

.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.

.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

11
11
17
23

. 35
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

46
47
48
49
49
50
51
51
51
56
64
64
69
69
69
69

. 70

.
.
.
.
.
.
.
.
.
.

70
70
73
82
84
84
84
85
85
85


Danh mục hình vẽ
1.1
1.2
1.3

Kiến trúc mạng NGN của ITU-T Y.2012 . . . . . . . . . . . . . . . . . . . 7
Quá trình thực hiện cam kết chất lượng dịch vụ . . . . . . . . . . . . . . . 13

Thí nghiệm trên cây cầu đôi và thí nghiệm bổ sung . . . . . . . . . . . . . 19

2.1
2.2
2.3
2.4
2.5
2.6

Kiến trúc hạ tầng mạng di động không dây . . . . . . . . . . . . . . . .
Mô hình mở rộng dung lượng mạng không dây . . . . . . . . . . . . . .
Đồ thị cấu trúc của bài toán đặt trạm BSC . . . . . . . . . . . . . . . .
Đồ thị khởi tạo và đồ thị đầy đủ . . . . . . . . . . . . . . . . . . . . . .
So sánh thời gian thi trung bình của GA-MRDL và ACO-MRDL . . . .
So sánh phương án tối ưu trong bài toán #2 của thuật toán GA-MRDL
và ACO-MRDL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.7 Ảnh hưởng của số kiến (a) và số vòng lặp (b) đến thời gian thực thi của
ACO-MRDL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.8 Mô hình phân bố tối ưu tài nguyên dựa vào độ đo (MBORA) . . . . . .
2.9 Quan hệ giữa hàm chi phí với ngưỡng trễ với βi = 10, di = 4 . . . . . .
2.10 Quan hệ giữa kích thước hàng đợi và các tham số lưu lượng . . . . . . .
2.11 Mặt phẳng mô phỏng hàm mục tiêu theo phân bố (s1 , s2 ) . . . . . . . .

.
.
.
.
.

33

35
39
44
50

. 52
.
.
.
.
.

53
54
57
59
65

2.12 Ảnh hưởng của (¯
α1 , α
¯ 2 ) đến hàm mục tiêu . . . . . . . . . . . . . . . . . . 65
2.13 Ảnh hưởng của ngưỡng trễ đến hàm mục tiêu . . . . . . . . . . . . . . . . 66
2.14 Ảnh hưởng của hệ số giá cả đến hàm mục tiêu của MMAS-ĐVTN . . . . 66
2.15
2.16
2.17
2.18
2.19
2.20
2.21

2.22
2.23
2.24

Ảnh hưởng của độ lêch |∆Hi | hàm mục tiêu của MMAS-ĐVTN . . .
So sánh thời gian thực thi của PSO, ACO-ĐVTN và MMAS-ĐVTN
So sánh thời gian thực thi của PSO, ACO-ĐVTN và MMAS-ĐVTN
Q-MOF trong kiến trúc mạng NGN . . . . . . . . . . . . . . . . . .
Các thành phần chức năng của Q-MOF . . . . . . . . . . . . . . . .
Mô hình giám sát QoSM . . . . . . . . . . . . . . . . . . . . . . . . .
Giám sát QoS online và offline . . . . . . . . . . . . . . . . . . . . .
Đồ thị cấu trúc mô tả luồng đa phương tiện fi . . . . . . . . . . . .
Mô hình giám sát và tối ưu QoS cho các luồng đa phương tiện . . .
So sánh thời gian thực thi giữa các thuật toán trên các luồng . . . .

.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
3.10
3.11


Kiến trúc bảo mật và biện pháp an ninh của ITU-T X.805 .
Các mô hình tấn công dựa từ chối dịch vụ . . . . . . . . . .
Các phương pháp và hình thức tấn công DDoS . . . . . . .
Các kỹ thuật phòng chống tấn công DDoS . . . . . . . . . .
Chính sách bảo mật riêng . . . . . . . . . . . . . . . . . . .
Quá trình điều khiển đường truyền . . . . . . . . . . . . . .
Kiến trúc mạng mô phỏng DDoS . . . . . . . . . . . . . . .
Kết quả kiểm soát băng thông gói tin UDP của kịch bản 1 .
Kết quả kiểm soát băng thông trên NS2 trong kịch bản 1 .
Kết quả kiểm soát băng thông gói tin UDP của kịch bản 2 .
Kết quả kiểm soát băng thông trên NS2 trong kịch bản 2 .

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.

. 88
. 92
. 93
. 96
. 100
. 101
. 102
. 104
. 104
. 104
. 105

viii

.
.
.
.
.
.
.
.
.
.

.

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

67
67
68
72
72
75
76
78
81
83



- Kiểu tấn công làm cạn kiệt tài nguyên và các biện pháp đối phó trên cũng
có vấn đề khi các gói tin của người sử dụng thường xuyên trộn lẫn với các
gói tin tấn công cũng có thể bị loại bỏ.
Gần đây, xu hướng sử dụng Proxy trung gian [1, 72] và Moving Firewall [16,
17] để phòng thủ, bảo vệ trước các cuộc tấn công DoS mà không đòi hỏi thay đổi
cơ sở hạ tầng nên rất thuận lợi cho việc sử dụng ở quy mô lớn trong thực tế. Phòng
thủ DoS sử dụng mạng Proxy thực hiện được hai ý tưởng. Thứ nhất, Proxy cách
ly giữa tấn công và ứng dụng, ngăn chặn trực tiếp những cuộc tấn công DoS mức
cơ sở hạ tầng lên ứng dụng. Thứ hai, dùng số lượng lớn Proxy biên ngoài để phân
tán lưu lượng, làm giảm ảnh hưởng của tấn công. Phòng thủ DoS dựa trên mạng
Proxy cho thấy được khả năng, sự hứa hẹn bởi vì khi một ứng dụng đã được bảo
vệ bởi một loạt các Proxy vô hướng, chỉ khi tất cả đều phải bị những kẻ tấn công
làm tổn thương thì mới để lộ ra ứng dụng để bị tấn công trực tiếp (có thể điều
chỉnh số lượng các Proxy vô hướng bằng cách cấu hình mạng Proxy để cung cấp
một cấu trúc linh hoạt, chống lại sự thâm nhập của những kẻ tấn công và bảo vệ
ứng dụng trước những cuộc tấn công trực tiếp). Dễ dàng phân tán rộng rãi các
Proxy ở biên để khó bị những kẻ tấn công làm tràn gây gián đoạn dịch vụ. Điều
này cho phép các mạng Proxy có thể chịu được những cuộc tấn công DoS bằng lưu
lượng tấn công phân tán (dùng các truy cập ứng dụng trung gian để ngăn chặn
những cuộc tấn công trực tiếp và cung cấp hệ thống phòng thủ mềm dẻo cho ứng
dụng để làm loãng tác động của các cuộc tấn công). Đây là một mạng Proxy có
tiềm năng để bảo vệ ứng dụng từ những cuộc tấn công DoS. Hệ thống phòng thủ
DoS dựa trên mạng Proxy cũng có tiềm năng phát triển trên quy mô rộng lớn vì
các mạng Proxy mức ứng dụng được xây dựng ở mức cao của Internet sẽ không
đòi hỏi bất kỳ thay đổi nào đối với cơ sở hạ tầng Internet hiện có. Một số mạng
Proxy quy mô lớn thành công (như Content Delivery Networks với mạng Proxy
Akamai có tới hơn 15,000 Proxy phát triển trong hơn 1,200 mạng trên 65 quốc
gia), chứng minh tính thực tế khả thi của việc phát triển những mạng Proxy quy

mô lớn [72].

3.4

Giải pháp phòng chống tấn công dựa trên chính sách

Bảo vệ ứng dụng dịch vụ Internet trước các cuộc tấn công đang là một câu
hỏi còn để mở cho các đề tài nghiên cứu. Các cơ chế phòng thủ hiện tại đang cố
gắng chặn tấn công DoS bằng cách lọc lưu lượng tấn công (đưa lọc bổ sung trong
bộ định tuyến, kiểm tra tất cả các gói dữ liệu đến trên cơ sở đặc tính hóa lưu
lượng, loại bỏ những gói tin bị nghi ngờ) tại mức định tuyến của Cisco 1 . Tuy
nhiên, khó xác định, phân biệt chính xác một cuộc tấn công nào đó với những gói
tin bình thường khi tấn công ngày càng tinh vi. Điều đó đòi hỏi hệ thống phòng
thủ dựa trên các bộ lọc phải được điển hình hóa chi tiết theo mỗi cuộc tấn công.
1



99


Giả thiết kiến trúc mạng NGN được xây dựng từ các ISP cho phép cung cấp
các dịch vụ cá nhân mở rộng, các nút Router trong mạng có thể điều khiển được
và ISP có thể phát hiện được các địa chỉ IP bất thường. Như đã phân tích ở trên,
mục tiêu của các biện pháp phòng chống tấn công DDoS hướng đến là giảm thiểu
thiệt hại tài nguyên của máy chủ. Nhưng tấn công DoS sử dụng UDP lại làm tăng
băng thông các gói tin trên mạng được gửi đến máy chủ từ mạng LAN nên rất
khó để chống lại. Các biện pháp phòng chống DoS sử dụng UDP hiệu nay vẫn
chưa thực sự hiệu quả. Vì vậy mục tiêu phương pháp được đề xuất trong bài báo
này hướng đến kiểm soát và ngăn chặn tấn công DoS dùng UDP. Đa số giao thức

truyền thông trên mạng là TCP được sử dụng trong Web Servers và Mail Servers.
Còn giao thức UDP được sử dụng bởi DNS và NTP truyền thông với lượng băng
thông nhỏ. Giao thức báo hiệu điều khiển lớp ứng dụng SIP sử dụng băng thông
rộng để thiết lập, duy trì, kết thúc các phiên truyền thông đa phương tiện sử dụng
UDP và RTP. Tuy nhiên, đối với các dịch vụ UDP chúng ta rất khó đánh giá sự
bình thường băng thông của mạng từ phía ISP.
Hướng tiếp cận của luận án là dùng chính sách an ninh riêng để phát hiện
tấn công DoS bằng cách kiểm soát số lượng gói tin UDP phát sinh trong mạng
NGN có vượt quá một giới hạn nhất định trong một đơn vị thời gian với băng
thông sẵn có hay không? Giới hạn này được xác định dựa trên chính sách an ninh
riêng trên mạng LAN và được thiết lập trước khi tấn công DoS xảy ra.
1) Thiết lập chính sách an ninh riêng: Băng thông của Server dành cho các
gói tin UDP trong một đơn vị thời gian được thiết lập thành tham số để điều
khiển tấn công DoS. Giá trị này bằng số lượng các gói tin UDP trong 1 giây mà
băng thông cho phép, nội dung chính sách an ninh được thể hiện trong Hình 3.5.
Trong đó, địa chỉ IP của Server sẽ mô tả địa chỉ máy chủ cần kiểm soát, ngưỡng
phát hiện tấn công và lượng băng thông dành cho UDP sẽ kiểm soát sự bất thường
của các gói tin.

Hình 3.5: Chính sách bảo mật riêng

2) Phát hiện gói tin IP bất thường: Số lượng gói tin UDP đến Server có thể
kiểm soát nhờ các Router trong mạng NGN. Tấn công DoS được phát hiện khi
khi số lượng các gói tin UDP trong một giây vượt quá số lượng gói tin đã được
thiết lập trong chính sách bảo mật riêng. Việc kiểm tra được thực hiện trên kiểu
gói tin UDP, địa chỉ IP và số hiệu cổng đích.
3) Truyền thông báo cho các thiết bị: Sau khi phát hiện bị tấn công DoS,
Router đó sẽ gửi cảnh báo đến tất cả các Router khác thông qua giao thức SIP.
Giao thức SIP này được xem là phần mở rộng của chính sách an ninh riêng. Các
100



thông của truyền đi bao gồm kiểu gói tin tấn công, địa chỉ IP, số hiệu cổng của
máy bị tấn công và độ trễ yêu cầu. Các thông tin này được sử dụng để đánh dấu
các gói tin. Thời gian trễ này được sử dụng để điều khiển đường truyền.
4) Đánh dấu các gói tin: các nút Router trong mạng NGN sẽ kiểm tra tất
cả thông tin của các gói tin dựa vào thông báo được gửi đến qua giao thức SIP.
Các gói tin trước khi thông qua sẽ được ghi lại nhãn thời gian trong tiêu đề mở
rộng của gói tin IP (Hiện nay giao thức SIP chưa có chức năng này và đang được
đề xuất xây dựng). Trong trường hợp các gói tin IP có kích thước lớn thì ta tiến
hành phân mảnh trước khi ghi nhãn thời gian lên các phân mảnh đó.
Quá trình kiểm soát được thực hiện bằng lượng băng thông tối thiểu cho
phép chuyển tiếp các gói tin UDP từ mạng NGN đến mạng LAN, dựa vào đó ta
sẽ ngăn chặn được các tấn công DoS bằng cách hạn chế số lượng gói tin UDP như
Hình 3.6.

Hình 3.6: Quá trình điều khiển đường truyền

Việc điều khiển đường truyền trong mạng NGN sẽ thực hiện dựa trên thời
gian trễ được đánh dấu trong các gói tin IP được chuyển tiếp lặp lại quay vòng tại
đầu vào các nút Router. Khi nhận một gói tin IP, nhãn thời gian được đánh dấu
sẽ được so sánh với thời gian hiện thời để đảm bảo rằng thời gian trễ yêu cầu đã
được thêm vào. Ví dụ, tốc độ truyền thông trung bình trong mạng là 30Mbps, ta
thiết lập chính sách an ninh riêng với ngưỡng phát hiện tấn công DoS có tỉ lệ gói
tin UDP được phép lưu thông là 10% và băng thông tối đa dành cho gói tin UDP
là 10 Mbps (>3Mbps). Giả sử cần kiểm soát các gói tin 1500 byte được gửi đến
địa chỉ “X” qua cổng số "Y" với chính sách như trên thì hệ thống sẽ đếm số gói
tin UDP trong một đơn vị thời gian, nếu tỉ lệ gói tin UDP chiếm trên 10% (chẳng
hạn 4 Mbps) thì các gói tin đó được xem là bất thường. Nếu các gói tin có cùng
địa chỉ “X”, số hiệu cổng “Y”, và kích thước trung bình là 1500 byte thì xem đó là

các gói tin tấn công. Với băng thông cho phép tối đa đối với gói tin UDP là 10
Mbps, ta cần kiểm soát sao cho bằng thông giới hạn ở mức 7 Mbps thì thời gian
trễ gói tin có thể tính được là 2 ms. Khi một gói tin IP đã đánh dấu trên đường
truyền đến đầu vào của một router. Router đó sẽ quyết định chuyển gói tin đó hay
không bằng cách lấy thời gian hiện tại trừ đi thời gian được đánh dấu trong gói
tin và so sánh với thời gian trễ qui định (2 ms). Nếu lớn hơn thì gói tin đó được
xem là an toàn và được truyền đến địa chỉ IP đích thông qua các router lõi trong
101


mạng NGN nhằm giảm tốc độ bit trên đường truyền xuống 7 Mbps. Ngược lại
các gói tin có thời gian trễ nhỏ hơn sẽ được gửi lại đến router đó. Vì thế, phương
pháp đề xuất sẽ làm giảm số lượng các gói tin trong một đơn vị thời gian bằng
cách kiểm soát độ trễ của các gói tin. Đồng nghĩa với việc các cuộc tấn công DoS
sẽ được kiểm soát nhờ việc tăng độ trễ của các gói tin tấn công. Tuy nhiên, các
gói tin hợp lệ từ phía người dùng cũng bị ảnh hưởng bởi độ trễ nhưng là rất nhỏ.

3.5

Thực nghiệm và đánh giá

Kiến trúc mạng mô phỏng là sự kết hợp của mạng LAN, NGN và Internet
được thể hiện trong Hình 3.7. Trong đó, luận án sử dụng 2 nguồn phát sinh gói
tin UDP chính từ Internet. Một nguồn được sinh ra bởi 2 người dùng là A và B ,
nguồn còn lại là do kẻ tấn công DoS tạo ra. Giả sử rằng tất cả các gói tin UDP
đều được truyền qua mạng NGN từ mạng Internet đến mạng LAN, băng thông
truy cập được truyền giữa mạng NGN và LAN là 10 Mbps, băng thông giữa mạng
Internet và NGN là lớn hơn 10 Mbps, băng thông giữa các Router điều khiển được
với các Router lõi là 100 Mbps.


Hình 3.7: Kiến trúc mạng mô phỏng DDoS

Để kiểm chứng giải pháp đề xuất, luận án đã tiến hành thực nghiệm mô
phỏng trên phần mềm NS2 phiên bản 2.33 [7] với cấu trúc mạng mô phỏng tấn
công gồm 20 nút (ni , i = 1..20) như sau:
Nút
Nút
Nút
Nút
Nút
Nút

n1 , n2 , n3 , n4 , n5 biểu diễn các Router lõi.
n6 , n7 , n8 , n9 , n10 biểu diễn các nút Router có thể điều khiển được.
n12 , n13 , n14 , n15 , n16 biểu diễn người dùng.
n17 , n18 , n19 , n20 lần lượt là các máy chủ NTP , HTTP , DNS1 , DNS2 .
n11 là kẻ tấn công.
n19 , n20 là đích tấn công.
102


Kịch bản mô phỏng được thực hiện với thời gian tấn công kéo dài 30 giây,
thời điểm bắt đầu tấn công là giây thứ 5. Thông số đánh giá là tỷ lệ băng thông
truy cập đường truyền ở mức thông thường và khi được điều khiển với chính sách
an ninh riêng. Tham số chi tiết cho các đối tượng thực nghiệm được thể hiện trong
Bảng 3.1 với tốc độ truyền không đổi.
Bảng 3.1: Thiết lập tham số các đối tượng thực nghiệm
Đối tượng
Kẻ tấn công n11


Người dùng n12 , n15

Người dùng n13 , n14 , n16

DNS: n17 , NTP: n18

Tham số

Giá trị

Giao thức
Kích thước gói tin
Băng thông truyền
Giao thức
Kích thước gói tin
Băng thông truyền
Giao thức
Kích thước gói tin
Băng thông truyền
Giao thức
Kích thước gói tin
Băng thông truyền

UDP
64 Byte
10 Mbps
TCP
64/512/1500 Byte
1.3 Mbps
TCP

64/512/1500 Byte
5 Mbps
UDP
64/512 Byte
0.7 Mbps (0.35Mbps x 2)

Chính sách bảo mật được thiết lập bảo vệ đối với n19 và n20 được thể hiện
trong Bảng 3.2.
Bảng 3.2: Thiết lập chính sách bảo mật riêng cho các máy chủ
Tên Server

HTTP Server(n19 )

DNS2 Server(n20 )

Chính sách bảo mật riêng
Băng thông tối đa
Cổng TCP
Cổng UDP
Ngưỡng phát hiện tấn công
Băng thông dành cho UDP
Băng thông tối đa
Ngưỡng phát hiện tấn công
Cổng UDP
Băng thông dành cho UDP
Cổng UDP
Băng thông dành cho UDP

Giá trị
10 Mbps

80
123
10% (= 1 Mbps)
1.75 Mbps
10 Mbps
10% (= 1 Mbps)
53
3.5 Mbps
123
1.75 Mbps

Kịch bản 1: Nút n11 tấn công vào n19 , các người dùng n12 , n14 cùng lúc
truy cập đến n19 . Ban đầu, trong khoảng thời gian từ 0 đến 5 giây, lưu lượng gói
tin UDP trong mạng của cả người dùng thông thường và kẻ tấn công đều là 1.15
Mbps. Khi kẻ tấn công thực hiện lệnh tấn công sẽ chiếm toàn bộ băng thông đường
truyền từ giây thứ 5. Lúc này hệ thống mạng sẽ rơi vào tình trạng tắc nghẽn tạm
thời. Nhưng khi áp dụng phương pháp kiểm soát sau 5 giây khi phát hiện tấn công
DoS thì băng thông của mạng bị tấn công DoS đã giảm xuống gần với băng thông
của người dùng thông thường và nằm dưới ngưỡng cho phép 1.75 Mbps. Kết quả
theo quá trình kiểm soát và điều khiển lưu lượng hệ thống được minh họa trong
Hình 3.8 và Hình 3.9.
103



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×