-1MỞ ĐẦU Phân bổ lưu lượng Internet vấn đề ngày trở nên cấp thiết nhà cung cấp dịch vụ mạng phát triển không ngừng lớp ứng dụng hội tụ IP dẫn đến lưu lượng dịch vụ viễn thông tăng lên có tính đột biến phát triển mở rộng băng thông bị hạn chế nhiều lý khác Đa số công trình nghiên cứu trước liên quan đến đặc tính hóa luồng lưu lượng đưa đề xuất cải tiến lớp kiến trúc riêng rẽ, kèm theo trang thiết bị cần thiết theo nhu cầu “thời gian thực” Điều đòi hỏi đề xuất nhà quản lý cung cấp dịch vụ chưa có điều kiện trang bị thiết bị chuyên dụng phải đảm bảo hoạt động ổn định quản trị, cung cấp dịch vụ Giải pháp dựa đặc tính luồng lưu lượng IP Internet để định danh lưu lượng “phi truyền thống” phục vụ an ninh mạng giải pháp xử lý, phân bổ lưu lượng IP Internet minh chứng có khả hỗ trợ chất lượng dịch vụ ứng dụng thời gian thực môi trường hỗn tạp Để giải vấn đề nắm bắt, phân tích liệu theo thời gian thực phục vụ hỗ trợ việc phân bổ lưu lượng IP Internet theo chất lượng dịch vụ tương thích phục vụ nhiệm vụ bảo đảm an ninh mạng, chống lại “tấn công mạng”, cần khai thác phần mềm mã nguồn mở sử dụng thời gian thực hạ tầng sở mạng nhà quản lý, cung cấp dịch vụ cụ thể có tính đại diện -2Luận án tập trung vào nghiên cứu vấn đề sau: 1) Nghiên cứu tổng quát đặc tính hoá lưu lượng IP Internet mã nguồn mở liên quan yêu cầu liên quan tới việc đảm bảo QoS 2) Nghiên cứu phương pháp điều khiển có mức ưu tiên tương ứng với chất lượng dịch vụ đòi hỏi lớp dịch vụ khác môi trường truyền thông đa chiều, đa dịch vụ để đề xuất chiến lược định tuyến theo thời gian thực phù hợp 3) Nghiên cứu giải pháp chống công mạng nhằm bảo đảm an ninh mạng trì chất lượng dịch vụ 4) Dùng liệu Viễn thông Thừa Thiên Huế, nhà cung cấp dịch vụ mạng viễn thông thời gian thực để tiến hành thu thập liệu, phân tích, thử nghiệm kết nghiên cứu tính đại diện môi trường tích hợp loại hình dịch vụ “an toàn mạng”, “an ninh thông tin” Các kết nghiên cứu lý luận thực tiễn nêu trình bày chương luận án với tiêu đề sau: Chương 1: “Tổng quát đặc tính hóa lưu lượng IP” Chương 2: “Đặc tính thống kê điều kiện giới hạn phân bố lưu lượng IP Internet” Chương 3: “Các điều kiện giới hạn phân bố luồng lưu lượng IP Internet theo chất lượng dịch vụ (QoS) tương thích” Chương 4: “Nghiên cứu giới hạn chống công từ chối dịch vụ (DoS) sâu Internet” -3CHƯƠNG TỔNG QUÁT VỀ ĐẶC TÍNH HÓA LƯU LƯỢNG IP 1.1 Giới thiệu Nghiên cứu sinh dựa sở lý thuyết sử dụng mã nguồn mở có uy tín để tiến hành điều tra mạng viễn thông đơn vị cung cấp dịch vụ nhằm tổng hợp số liệu lưu lượng đóng góp vào hiểu biết hành vi mạng quy mô lớn Những kết nghiên cứu tổng quát đặc tính hóa lưu lượng IP nghiên cứu sinh trình bày theo kiểu tài liệu hướng dẫn nhà quản lý mạng, cung cấp dịch vụ mạng chương 1.2 Lưu lượng đặc tính phân loại Có nhiều loại lưu lượng khác mạng phân ứng dụng thành loại theo thời gian thực không theo thời gian thực Các loại lưu lượng ứng với ứng dụng khác nhau, chúng có điểm xuất phát, điểm đến cách thức truyền thông, có đặc tính ngẫu nhiên nhu cầu QoS (các tham số thể băng thông, tỷ lệ gói, v.v…) khác phân tích yêu cầu QoS dựa mức thời gian mức truyền dịch vụ (mức gói, gọi) khác Mô hình lưu lượng dịch vụ dựa lý thuyết Erlang, gồm hai tham số (tốc độ xuất gọi thời gian chiếm giữ trung bình) để xác định lưu lượng ứng với thời gian sử dụng tài nguyên Nếu phân bố Poisson phù hợp với thống kê xuất gọi hệ thống có N kênh, tổng lưu lượng A, thời gian giữ trung bình τ, độ trễ lớn cho phép trước gọi bị khóa T Xác suất server (hệ thống bận, gọi bị -4khóa) GOS theo mô hình Erlang B chế trễ T xác suất server có trễ lớn T tuân theo mô hình Erlang C : AN N! Erlang B: GOS = N ; Ak ∑ k=0 k! AN GOS= e k Erlang C:  A  N-1 A N A +N!1- ÷∑  N  k=0 k! (N-A)T τ (1.1) Để hiểu chế hoạt động phức tạp mạng, đặc tính hoá lưu lượng xem hàm nhiều tham số Thống kê lưu lượng phục vụ mục đích đặc tính hoá nghiên cứu sinh sử dụng phương pháp gộp chi tiết (Aggregation granularity, AG); phân tích hệ thống sở chia hệ thành phân hệ khác để hiểu biết chi tiết tổng hợp đặc tính phân hệ để có đặc tính toàn hệ 1.3 Về phần mềm mã nguồn mở sử dụng Nghiên cứu sinh chọn hai phần mềm mã nguồn mở vào việc triển khai giám sát, phân tích đặc tính lưu lượng mạng viễn thông Thừa thiên Huế - Ứng dụng phần mềm NTOP để quan sát, giám sát, thống kê khu vực (nhóm người dùng) tỉ lệ sử dụng loại giao thức mạng (tập trung lớp 4) để đề xuất việc thiết lập QoS cho loại giao thức để tăng chất lượng phục vụ người dùng -5- Ứng dụng phần mềm mã nguồn mở Observium để quan sát, giám sát thống kê lưu lượng tổng quát, chủ yếu lưu lượng lớp mạng (lớp 3) mạng cung cấp dịch vụ MAN-E nhằm mục đích phân tích, đưa đề xuất tối ưu quy hoạch băng thông đường truyền, định tuyến cho mạng MAN-E dịch Internet IPTV Bằng cách quan sát chung nhóm người dùng, NTOP cung cấp cho nhà quản trị mạng tỉ lệ loại dịch vụ Internet mà người dùng sử dụng Phần mềm Observium phát triển thành công cụ dễ cấu hình dùng giám sát tình trạng hoạt động mạng máy tính Trong ứng dụng Observium thực tế triển khai VNPT Thừa Thiên Huế thay đổi giá trị tham số cho phù hợp với yêu cầu giám sát thống kê số liệu 1.4 Kết luận chương Luồng lưu lượng IP truyền thông môi trường phân tán, không đồng đối tượng nghiên cứu nằm khuôn khổ toán phân tích lưu lượng nói chung nhằm tham số hóa hay đặc tính hóa để nhận biết lớp ứng dụng lưu lượng nói riêng Khi gắn với chức nhà quản trị mạng, việc đảm bảo QoS, khai thác tiềm mạng nhiệm vụ đảm bảo an ninh mạng, an ninh thông tin đòi hỏi phát dạng lưu lượng có đặc tính khác đặc tính “tấn công” “tin tặc” “tin rác” Điều đòi hỏi việc phân tích tín hiệu theo không gian nhiều chiều, áp dụng phân bố ngẫu nhiên nhiều chiều tương ứng để phát thêm tham số trình đặc tính hóa luồng tín hiệu IP -6- CHƯƠNG 2: ĐẶC TÍNH THỐNG KÊ VÀ ĐIỀU KIỆN GIỚI HẠN PHÂN BỐ LƯU LƯỢNG IP INTERNE 2.1 Giới thiệu chương Trong chương này, nghiên cứu sinh trình bày đặc tính lưu lượng IP Internet dịch vụ khác (tương tác đa phương tiện thời gian thực, …) môi trường mạng (Web Client-Server, di động mạng không dây, …) khác nhau, giới hạn xét QoS điển hình tắc nghẽn Ngoài ra, chương đề xuất phân tích điều kiện giới hạn việc phân bổ lưu lượng dựa theo QoS ngưỡng tắc nghẽn 2.2 Đặc tính lưu lượng mô hình khác 2.2.1 Tương tác đa phương tiện lưu lượng thời gian thực Những kết lưu lượng thời gian thực đa phương tiện thu từ mã hóa-giả mã tốc độ Bit lưu lượng âm PCM hình ảnh MPEG-1 mô tả cách bao quát nhiều kĩ thuật, mô hình phân tích cấu trúc tự tương quan đếm trình điểm Sự phát sinh dịch vụ tương tác môi trường đa phương tiện Internet di động dẫn đến xuất phương pháp mô tả kĩ thuật mã hóa-giải mã thích ứng mã hóa-giải mã đa tốc độ thích ứng UMTS (AMR) MPEG-4 Trước hết, đòi hỏi chất lượng dịch vụ dịch vụ trội (hội nghị truyền hình phương tiện di động) trình bày làm sở để thông qua nghiên cứu, thu thập số liệu , nghiên cứu sinh đề xuất khuyến nghị khả cho phép QoS dịch vụ Audio Video 2.2.2 Đối với lưu lượng Web Client-Server -7Do xuất liên tục ứng dụng, dịch vụ mới, kể công nghệ truy cập mạng băng rộng nên mô tả lưu lượng truy cập Internet trở thành vấn đề quan trọng nhà cung cấp dịch vụ Internet (ISPs) nhà khai thác mạng truy cập Sự thay đổi nhanh đặc tính lưu lượng đòi hỏi phép đo lưu lượng cách thường xuyên phải đáp ứng tiêu chí kỹ thuật; phép đo lưu lượng thực mức phân giải khác phù hợp với nhiệm vụ chọn làm mục tiêu phép đo thực nhiều loại khác đối tượng Nghiên cứu sinh thực phép đo hai ISP khác biệt ký hiệu ISP1 ISP2 với mạng CATV làm ISP1 ADSL làm ISP2 để có kết luận cụ thể 2.2.3 Đối với di động môi trường mạng không dây Nghiên cứu sinh trình bày phép đo, mô hình phân tích luồng lưu lượng mạng GPRS Trong đó, gồm “Các phép biến đổi Radon công cụ tương tự” liên quan đến đặc tính Up-link (mã hóa kênh, số lượng kênh liệu gói Up-link (PDCHs) dùng kết nối GSM/GPRS) “chương trình Tstat”, dùng để phân tích luồng TCP/IP/GPRS từ dấu vết luồng TCP 2.3 Điều kiện giới hạn sử dụng mô hình, phương pháp Trong phần trình bày vấn đề liên quan đến kết luận tình trạng hay giới hạn mạng lưới dựa vào phép đo (chẳng hạn kết luận băng thông tắc nghẽn, băng thông sẵn có, lưu lượng chéo v v.) cách sử dụng số liệu thống kê lưu lượng (xác định suy giảm QoS End-to-End) -82.3.1 Những đồ thị biểu đồ thông lượng khác ( Dạng biểu đồ thông lượng vào H H {R } out n S S =1 ) ({ R } in n S S =1 ) , ∆R, ∆T , ∆W , ∆R, ∆T , ∆W thường dùng với độ phân giải thông lượng ΔR Những nghiên cứu thực nghiệm việc so sánh hoạt động tốt cho khoảng thời gian ⌈Rmax/ΔR +1⌉≃ 20 n ≥ 600 Hình 2-3 cho thấy biểu đồ thông lượng từ phép đo với ứng dụng truyền hình hội nghị theo mức nhiễu loạn lưu lượng truyền qua khác tượng tắc nghẽn cục khác Hình 2-3.Biểu đồ thông lượng từ phép đo ứng dụng truyền hình hội nghị 2.3.2 Định hình phân chia giới hạn tắc nghẽn Nghiên cứu sinh trình bày vấn đề liên quan đến định hình phân chia giới hạn tắc nghẽn 2.4 Kết luận chương Các kết đặc tính hóa lưu lượng trình bày chương phân tích dùng làm sở để bàn chất lượng dịch vụ QoS tương thích trình bày chương bảo vệ chống công, an ninh mạng trình bày chương -9- CHƯƠNG 3: CÁC ĐIỀU KIỆN GIỚI HẠN VỀ PHÂN BỐ LUỒNG LƯU LƯỢNG IP INTERNET THEO CHẤT LƯỢNG DỊCH VỤ (QoS) TƯƠNG THÍCH 3.1 Giới thiệu chương Chương trình bày phương pháp điều khiển tương thích xác lập quan điểm lý thuyết truyền thông nhằm mục tiêu phân bố lưu lượng, đảm bảo chất lượng dịch vụ dựa vào kiến trúc middleware trình bày sau đôi nét chất lượng dịch vụ mạng (QoS) tương thích Tiếp đến trình bày phương pháp giải chế ưu tiên lưu lượng ưu tiên mạng hàng đợi node mạng nhằm vào tính tương thích chất lượng dịch vụ sở phương pháp điều khiển đại 3.2 Về tương thích QoS môi trường Internet Nghiên cứu sinh sử dụng chế gọi QoSSpace để tạo QoSReport khả QoS mạng giá trị trạng thái luồng ứng dụng qua “giá trị trạng thái tương ứng” (SCV) luồng 3.3 Điều kiện để tương thích QoS Middleware 3.3.1 Kiến trúc middleware đảm bảo QoS Hình 3-2 Kiến trúc middleware tương thích QoS theo ứng dụng 3.3.2 Các chế điều kiện tương thích hệ thống QoS middleware: -10Xác định đặc điểm QoS ứng dụng ; Biên dịch QoS ; Thiết lập QoS; Các chế điều kiện tương thích QoS 3.3.3 Áp dụng mô hình điều khiển truyền thống Hình 3-5 Mô hình điều khiển tác vụ Phương trình mô tả biến đổi tài nguyên cấp phép có dạng (3.7) với, x(k) tổng số yêu cầu tài nguyên có hàng đợi thực tất tác vụ ứng dụng thời điểm k, u(k) tốc độ yêu cầu điều khiển điều khiển (công việc điều khiển tương thích) M(k) tổng số tác vụ ứng dụng hành, c tốc độ cấp phép yêu cầu 3.3.4 Các điều kiện mô hình điều khiển tác vụ Mục đích điều khiển tác vụ trì tổng yêu cầu tài nguyên hàng đợi x(k) ứng dụng nằm xung quanh giá trị tham chiếu xc(k) Tác vụ tương thích thực thuật toán điều khiển dựa yêu cầu tài nguyên hàng đợi x(k) giá trị tham chiếu xc(k) để hiệu chỉnh yêu cầu tài nguyên ui(k) Yêu cầu hiệu chỉnh tài nguyên ui(k) tác vụ tương thích T i thỏa mãn x(k) mô tả phương trình sau: -11ui (k) = ui (k −1) + α[xc (k) − x(k)]+ β {[xc (k) − x(k)]− [xc (k −1) − x(k −1)]} (3.8) với, α β hệ số cấu hình tác vụ tương thích 3.3.5 Ứng dụng mô hình điều khiển tác vụ kiến trúc middleware Nghiên cứu sinh đề xuất sử dụng mô hình điều khiển tác vụ theo chế phân cấp để tương thích QoS kiến trúc middleware cho thấy middleware có khả tương thích QoS trường hợp có thay đổi nhỏ thay đổi lớn độ sẵn sàng tài nguyên Phương trình mô tả tổng lượng yêu cầu tài nguyên toàn hệ thống sau : s(k+1) = Ψ amax {s(k) + l(k) C (k) + SN(k) - a}, (3.9) amax lượng yêu cầu tài nguyên cấp phép cực đại hệ thống đầu cuối Phương trình mô tả luật điều khiển PID cho tác vụ tương thích sau: ci (k + 1) = ci (k ) + α [ sr (k + 1) − s(k + 1)] + + β { [ s r (k + 1) − s (k + 1)] − [ s r (k ) − s(k )]} , K T β = KTD hệ số tỷ lệ với α = TI T (3.10) 3.4 Giới hạn phân bổ lưu lượng ưu tiên mạng hàng đợi 3.4.1 Mô hình hóa chế ưu tiên lưu lượng mạng hàng đợi Minh họa quản lý hàng đợi lưu lượng theo lý thuyết điều khiển hình 3.9 -12-  Hình 3-9 Mô hình toán phân bố lưu lượng hàng đợi Với phương pháp tuyến tính hóa, hệ phương trình toán học mô tả động học toán quản lý hàng đợi: - Hệ thống hàng đợi hở: ˆ ˆ (t ) + Bu ˆ ˆ (t )  x&ˆ (t ) = Ax  ˆ ˆ (t )  yˆ (t ) = Cx (3.11) - Hệ thống hàng đợi kín: ˆ ˆ (t ) + Bu ˆ ˆ (t )  x&ˆ (t ) = Ax  ˆ ˆ (t )  yˆ (t ) = Cx uˆ (t ) = − Kxˆ (t )  (3.12) đó, yˆ (t ) ∈ R q×1 , uˆ (t ) ∈ R p×1 , xˆ (t ) ∈ R m×1 , m ≥ min(p, q); K ∈ R p×n M ∈ R m× p tổ hợp tuyến tính tín hiệu kích thích đáp ứng; Aˆ ∈ R m× m , Bˆ ∈ R m x p , Cˆ ∈ R q× m ma trận tham số cần xác định theo tham số hệ thống {A, B, C}, gồm đại lượng đặc trưng độ trễ, thời gian chờ, độ dài hàng đợi, xác suất nghẽn hệ thống 3.4.2 Giải toán ưu tiên lưu lượng mạng hàng đợi -13a> Giải toán mạng hàng đợi hở Phương trình cân xác suất chuyển trạng thái : K K k =1 k =1 ∑  ( λ i + µ k min(ik , Sk ) ) p(i1 , , ik , , il , , iK ) = ∑ λ i p(i1, , ik − 1, il , iK ) + K K K k =1 k =1 l =1 ∑ µ k min(ik + 1, Sk ) p(i1, , ik + 1, il , iK ) pk ,K + + ∑ ∑ µ k min(ik + 1, Sk ) pkl p(i1, , ik + 1, il − 1, iK ) (3.21) b/ Giải toán mạng hàng đợi kín Phương trình cân xác suất chuyển trạng thái toàn mạng là: K K K k =1 k =1 l =1 ∑ µ k min(ik , Sk ) p(i1, , ik , , il , , iK ) = ∑ ∑ µ k min(ik + 1, Sk ) pkl p(i1, , ik + 1, il − 1, iK ) (3.29) c.) Giải toán hàng đợi lưu lượng nhiều chiều 3.4.3 Bàn luận điều kiện giới hạn liên quan đến xử lý mạng hàng đợi Nghiên cứu sinh trình bày số vấn đề liên quan : - Hạn chế chất lượng mạng viễn thông qua mô hình toán học - Giới hạn từ đặc tính ổn định mô hình hệ thống trễ - Giới hạn mô hình ngẫu nhiên sử dụng 3.5 Kết mô 3.5.1 Thiết lập hệ thống điều khiển Hệ thống điều khiển tương thích mô tả phương trình (3.9, 3.10) thể hình 3.19 môi trường Matlab Hình 3-19 Sơ đồ mô hệ thống điều khiển tương thích QoS -14- 3.5.2 Thiết lập tham số cấu hình Để thấy ảnh hưởng tham số cấu hình α β đến đặc tính ổn định, đặc tính cân hệ thống điều khiển cần thực mô hệ thống điều khiển trường hợp thiết lập tham số cấu hình α β khác hệ thống điều khiển không ổn định hệ thống điều khiển ổn định 3.5.3 Phân tích đặc điểm hệ thống theo mô hình lý thuyết Nghiên cứu sinh đưa số phân tích với hệ thống điều khiển tương thích, tham số cấu hình lựa chọn trên, theo đặc tính ổn định đặc tính cân 3.5.4 Kết mô Viễn thông Thừa Thiên Huế Nghiên cứu sinh trình bày kết mô hệ thống điều khiển tương thích trường hợp thiết lập tham số cấu hình α β khác 3.6 Kết luận chương Những kết nghiên cứu liên quan đến sử dụng kết đặc trưng hóa luồng lưu lượng (trong chương chương 2) để xem xét, phân bổ lưu lượng tương thích QoS phục vụ cho nhiệm vụ đảm bảo QoS theo nghĩa thích nghi sở áp dụng lý thuyết điều khiển trình bày -15- CHƯƠNG 4: NGHIÊN CỨU VỀ CÁC GIỚI HẠN TRONG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ (DoS) VÀ SÂU INTERNET 4.1 Giới thiệu chương Nhà quản trị mạng sử dụng tập tham số đặc trưng hóa luồng lưu lượng IP Internet (Chương 2) để cung cấp QoS dịch vụ theo mức ưu tiên khác (Chương 3) đảm bảo an ninh cho toàn hệ thống mạng khuôn khổ phát triển theo “ba bất kỳ”, (three any: any time, any where, any form” trước hành động xâm nhập mang tính “tặc thông tin” , “triệt hạ tầng mạng” (hay “tấn công” gọi chung) Các công thường phân tán mức độ cao phối hợp tốt (tấn công từ chối dịch vụ phân tán (DDoS), sâu Internet chẳng hạn) gây ảnh hưởng xã hội nghiêm trọng thông tin, làm gián đoạn dịch vụ quan trọng, tổn thất lớn kinh tế, v.v trở thành tội phạm nghiêm trọng bậc Bảo vệ hạ tầng mạng trước công trở thành vấn đề quan trọng cần khẩn trương giải Trong chương này, nghiên cứu sinh trình bày kết nghiên cứu phát hiện, đối phó trước công mạng kiểu phân tán (DDoS sâu Internet) trình bày đề xuất phản ứng chống lại công mạng phương pháp phân bổ lưu lượng IP sử dụng điều kiện giới hạn Proxy Nghiên cứu sinh sử dụng công cụ mô trực tuyến để xác định khả chống lại công theo lý thuyết thực tế (một mạng mô với kích cỡ so sánh với mạng ISP) 4.2 Một số vấn đề liên quan đến công mạng 4.2.1 Giới thiệu công mạng -16Những công mạng dựa chủ yếu vào lỗ hổng phần mềm, giao thức mạng sở hạ tầng Lỗ hổng phần mềm lỗi cài đặt phần mềm mạng (như DNS BIND, HTTP Apache, Telnet, SMTP ) Trong phần này, nghiên cứu sinh thảo luận hai kiểu công mạng nguy hiểm, phổ biến Internet Đó công từ chối dịch vụ công kiểu sâu internet 4.2.2 Cơ sở vấn đề liên quan đến DoS Trình bày vấn đề liên quan đến DoS : Các bước việc chuẩn bị tiến hành công Ddos , Các công DoS, phòng thủ DoS dựa mạng Proxy 4.2.3 Sâu Internet: Cơ sở vấn đề liên quan Trình bày vấn đề : Một số thông tin có tính loại sâu Internet đời vài năm qua, phương pháp quét sâu Internet, phòng chống sâu Internet 4.3 Chống công từ chối dịch vụ (DoS) giới hạn 4.3.1 Giới thiệu Sử dụng mô mạng lưới mức gói trực tuyến (đầy đủ ứng dụng, phần mềm thực thi chương trình công thực) cho phép nghiên cứu chi tiết mạng lưới, động học ứng dụng (rớt gói, định tuyến hàng đợi, thời gian thực), hành vi phản ứng mạng giao thức ứng dụng (tham số quan trọng ứng dụng, hiệu suất mạng Proxy trước công DoS) 4.3.2 Hệ thống phòng thủ DoS dựa mạng Proxy Dùng mạng mô quy mô lớn (dùng MicroGrid mô mức gói trực tuyến) , để nghiên cứu hiệu suất ứng dụng cung cấp mạng Proxy trước công DoS Sau sử dụng -17các ứng dụng, chương trình công thực để đưa thí nghiệm vào môi trường mạng mô Bộ công cụ để mô hành vi công DDoS thông dụng sử dụng Trinoo có sẵn Internet Nghiên cứu sinh thực ba thí nghiệm : nghiên cứu ảnh hưởng công DoS lên ứng dụng không bảo vệ mạng Proxy ; nghiên cứu hiệu suất ứng dụng trước hai công DoS quy mô lớn kiểu dàn trải tập trung để tìm hiểu khả chống lại trước công mạng Proxy; nghiên cứu hiệu suất chống lại công mạng Proxy có kích thước thay đổi tỷ lệ cường độ công kích thước mạng Proxy cố định để tìm hiểu khả mở rộng tính đối kháng mạng Proxy trước công DoS 4.3.3 Nhận xét điều kiện giới hạn Sử dụng mô mạng trực tuyến có quy mô lớn, chi tiết (MicroGrid) để nghiên cứu mạng Proxy với ứng dụng công DoS thực cho thấy mạng Proxy cung cấp hiệu với khả mở rộng tính phục hồi trước công DoS mức sở hạ tầng bảo vệ ứng dụng 4.4 Ngăn chặn sâu Internet điều kiện 4.4.1 Mô hình lây truyền phát tín hiệu virus/sâu Một vài mô hình toán học sử dụng để mô tả lây truyền phân tán sâu Các mô hình lây truyền virus : Mô hình Staniford: Mô hình định lượng lan truyền sâu Staniford cộng đề xuất để xác định tỷ lệ máy bị nhiễm a Mô hình Kephart White: Trên sở sử dụng hệ thống kiểu nút đồ thị phương trình vi phân mô tả phát triển tỷ lệ máy i(t) bị lây nhiễm theo thời gian -18Thuật toán vết chân (Footprint) Rabin sử dụng nút mạng để tính khối nội dung phần tải gói tin 4.4.2 Phòng chống ngăn chặn sâu Internet điều kiện Nghiên cứu sinh dùng hệ thống mô quy mô lớn với thuật toán Rabin để tính số lượng sâu phục vụ thăm dò Mạng mô thiết lập với số lượng lớn máy có nguy bị công mạng cục Chọn nút mạng cục để thiết lập nút mạng phòng thủ kết hợp Kết mô cho thấy lan truyền sâu nút ngăn chặn độc lập kết hợp trường hợp nút riêng lẻ thu thập 100 tín hiệu sâu mẫu trước lọc gói tin với nút ngăn chặn độc lập, hành vi lan truyền sâu không bị hạn chế (so sánh với việc ngăn chặn nào) nhưng, phòng thủ mạng kết hợp, hành vi lan truyền phần lớn bị hạn chế 4.5 Kết luận chương Trong chương này, nghiên cứu sinh nghiên cứu khả chống lại công mạng Proxy, đồng thời nghiên cứu đặc tính hệ thống phòng thủ DoS dựa mạng Proxy trước công để nắm tính đối kháng sử dụng, xem xét khả mạng Proxy chống lại công thiết kế hệ thống dựa mạng Proxy để việc phòng thủ cách hiệu Nghiên cứu sinh nghiên cứu mô hình chung để thu giữ dải rộng hệ thống phòng thủ DoS dựa mạng Proxy Mô hình xác định yếu tố phù hợp với tiêu chuẩn hệ thống dựa mạng Proxy tương tác chúng Chương trình bày kỹ thuật phòng chống công hợp tác phân cấp để bảo vệ hạ tầng mạng chống lại công mạng -19KẾT LUẬN VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TIẾP Luận án trình bày kết nghiên cứu đặc tính hóa luồng lưu lượng IP nhằm mục đích xử lý, phân bổ lưu lượng Internet, bảo vệ an ninh thông tin mạng chống công mạng diện rộng; vấn đề ngày trở nên cấp thiết nhà cung cấp dịch vụ mạng phát triển không ngừng lớp ứng dụng hội tụ IP Qua đó, nghiên cứu sinh rút kinh nghiệm thực tiễn thu thực đề tài nghiên cứu khoa học sở đóng góp thể công trình công bố tạp chí sau: 1) Tổng quát, hệ thống hóa đặc tính hóa lưu lượng IP phát triển, phân loại đặc tính theo dịch vụ luồng lưu lượng trường hợp nhà quản lý, cung cấp dịch vụ viễn thông cụ thể 2) Đề xuất áp dụng lý thuyết hệ thống vào toán phân bổ lưu lượngsử dụng kết ưu tiên cung cấp đặc trưng hóa luồng lưu lượng IP internet nút mạng nhà quản lý, cung cấp dịch vụ viễn thông 3) Hệ thống hóa giải pháp chống công từ chối dịch vụ ngăn chặn sâu Internet sở đặc trưng hóa luồng lưu lượng IP để đề xuất việc xác định giới hạn mô hình sử dụng Proxy nhằm mục tiêu bảo đảm an ninh mạng 4) Đề xuất giải pháp sử dụng tài nguyên thời gian thực (nhà quản lý, cung cấp dịch vụ viễn thông phần mềm mã nguồn mở) để thực minh chứng tính đắn mặt lý luận Những vấn đề cần nghiên cứu tiếp : -201.) Đối với “đặc tính hóa luồng lưu lượng IP Internet”, nghiên cứu sinh thấy cần thiết tiến hành nghiên cứu bổ sung thêm chiều hữu ích khác việc biểu diễn luồng lưu lượng để phát xác khác biệt đặc tính thể luồng tin “phá hoại”, “dịch vụ chuyên dụng” với luồng tin “dịch vụ truyền thống” bổ sung thích hợp vào phần mềm mã nguồn mở 2.) Xác định mức ưu tiên dịch vụ qua đặc tính hóa lưu lượng nhiều chiều để tìm hệ điều kiện ràng buộc đồng thời theo không gian (trong miền tần số, miền thời gian lọc tương thích, điều khiển công suất, phân bổ tần số thông qua điều chế tương thích, v.v…) nhằm vào nhiệm vụ đảm bảo cung cấp chất lượng dịch vụ (QoS) công nghệ truyền thông hệ môi trường phân tán diện rộng 3.) Nghiên cứu áp dụng định mềm (Soft decision) vào nhiệm vụ bảo đảm an toàn thông tin an ninh mạng để thu giới hạn ràng buộc làm sở lý luận đề xuất mô hình bảo vệ thích hợp [...]... ở các công trình công bố trên các tạp chí như sau: 1) Tổng quát, hệ thống hóa về đặc tính hóa lưu lượng IP và phát triển, phân loại các đặc tính theo dịch vụ đối với luồng lưu lượng trong trường hợp của một nhà quản lý, cung cấp dịch vụ viễn thông cụ thể 2) Đề xuất áp dụng lý thuyết hệ thống vào bài toán phân bổ lưu lượngsử dụng kết quả ưu tiên được cung cấp bởi đặc trưng hóa luồng lưu lượng IP internet. .. đợi đối với lưu lượng nhiều chiều 3.4.3 Bàn luận về những điều kiện giới hạn liên quan đến xử lý mạng hàng đợi Nghiên cứu sinh trình bày một số vấn đề liên quan : - Hạn chế về chất lượng mạng viễn thông qua mô hình toán học - Giới hạn từ đặc tính ổn định của các mô hình hệ thống trễ - Giới hạn do các mô hình ngẫu nhiên sử dụng 3.5 Kết quả mô phỏng 3.5.1 Thiết lập hệ thống điều khiển Hệ thống điều khiển... dịch vụ qua đặc tính hóa lưu lượng nhiều chiều để tìm ra hệ các điều kiện ràng buộc đồng thời theo không gian (trong cả miền tần số, miền thời gian đối với lọc tương thích, đối với điều khiển công suất, và phân bổ tần số thông qua điều chế tương thích, v.v…) nhằm vào nhiệm vụ đảm bảo cung cấp chất lượng dịch vụ (QoS) của các công nghệ truyền thông thế hệ tiếp theo trong môi trường phân tán diện rộng 3.)... = TI T (3.10) 3.4 Giới hạn phân bổ lưu lượng ưu tiên trong mạng hàng đợi 3.4.1 Mô hình hóa cơ chế ưu tiên lưu lượng trong mạng hàng đợi Minh họa quản lý hàng đợi lưu lượng theo lý thuyết điều khiển như trong hình 3.9 -12-  Hình 3-9 Mô hình bài toán phân bố lưu lượng hàng đợi Với phương pháp tuyến tính hóa, hệ phương trình toán học mô tả động học của bài toán quản lý hàng đợi: - Hệ thống hàng đợi... điều khiển đã được trình bày -15- CHƯƠNG 4: NGHIÊN CỨU VỀ CÁC GIỚI HẠN TRONG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ (DoS) VÀ SÂU INTERNET 4.1 Giới thiệu chương Nhà quản trị mạng sử dụng tập các tham số đặc trưng hóa luồng lưu lượng IP Internet (Chương 1 và 2) để cung cấp QoS dịch vụ theo các mức ưu tiên khác nhau (Chương 3) và đảm bảo an ninh cho toàn hệ thống mạng trong khuôn khổ phát triển theo “ba bất kỳ”,... trước các cuộc tấn công DoS 4.3.3 Nhận xét về các điều kiện giới hạn Sử dụng mô phỏng mạng trực tuyến có quy mô lớn, chi tiết (MicroGrid) để nghiên cứu các mạng Proxy với các ứng dụng và các cuộc tấn công DoS thực cho thấy rằng các mạng Proxy có thể cung cấp hiệu quả với khả năng mở rộng tính phục hồi trước các cuộc tấn công DoS mức cơ sở hạ tầng và bảo vệ ứng dụng 4.4 Ngăn chặn sâu Internet và các điều. .. mạng của nhà quản lý, cung cấp dịch vụ viễn thông 3) Hệ thống hóa về giải pháp chống tấn công từ chối dịch vụ và ngăn chặn sâu Internet trên cơ sở đặc trưng hóa luồng lưu lượng IP để đề xuất việc xác định giới hạn của mô hình sử dụng Proxy nhằm mục tiêu bảo đảm an ninh mạng 4) Đề xuất giải pháp sử dụng tài nguyên thời gian thực (nhà quản lý, cung cấp dịch vụ viễn thông và các phần mềm mã nguồn mở) để... trương giải quyết Trong chương này, nghiên cứu sinh trình bày các kết quả nghiên cứu về phát hiện, đối phó trước các cuộc tấn công mạng kiểu phân tán (DDoS và sâu Internet) và trình bày đề xuất phản ứng chống lại các cuộc tấn công mạng đó bằng phương pháp phân bổ lưu lượng IP sử dụng điều kiện giới hạn Proxy Nghiên cứu sinh cũng sử dụng các công cụ mô phỏng trực tuyến để xác định khả năng chống lại... với hệ thống điều khiển không ổn định và hệ thống điều khiển ổn định 3.5.3 Phân tích đặc điểm của hệ thống theo mô hình lý thuyết Nghiên cứu sinh đưa ra một số phân tích với hệ thống điều khiển tương thích, các tham số cấu hình được lựa chọn như trên, theo các đặc tính ổn định và đặc tính cân bằng 3.5.4 Kết quả mô phỏng tại Viễn thông Thừa Thiên Huế Nghiên cứu sinh trình bày các kết quả mô phỏng hệ. .. luồng lưu lượng IP Internet , nghiên cứu sinh thấy cần thiết tiến hành nghiên cứu bổ sung thêm những chiều hữu ích khác trong việc biểu diễn luồng lưu lượng để phát hiện chính xác hơn sự khác biệt giữa đặc tính thể hiện ở những luồng tin “phá hoại”, dịch vụ chuyên dụng” với những luồng tin dịch vụ truyền thống” và bổ sung thích hợp vào những phần mềm mã nguồn mở 2.) Xác định mức ưu tiên của dịch vụ ... lưu lượng IP Internet Chương 3: Các điều kiện giới hạn phân bố luồng lưu lượng IP Internet theo chất lượng dịch vụ (QoS) tương thích” Chương 4: “Nghiên cứu giới hạn chống công từ chối dịch vụ. .. ĐẶC TÍNH THỐNG KÊ VÀ ĐIỀU KIỆN GIỚI HẠN PHÂN BỐ LƯU LƯỢNG IP INTERNE 2.1 Giới thiệu chương Trong chương này, nghiên cứu sinh trình bày đặc tính lưu lượng IP Internet dịch vụ khác (tương tác đa... chất lượng dịch vụ QoS tương thích trình bày chương bảo vệ chống công, an ninh mạng trình bày chương -9- CHƯƠNG 3: CÁC ĐIỀU KIỆN GIỚI HẠN VỀ PHÂN BỐ LUỒNG LƯU LƯỢNG IP INTERNET THEO CHẤT LƯỢNG DỊCH