Đề tài : XÂY DỰNG HỆ CÁC ĐIỀU KIỆN GIỚI HẠN PHỤC VỤ PHÂN BỐ LƯU LƯỢNG DỊCH VỤ IP INTERNET Phân bổ lưu lượng Internet là vấn đề ngày càng trở nên cấp thiết đối với các nhà cung cấp dịch vụ mạng do sự phát triển không ngừng của các lớp ứng dụng mới hội tụ trên nền IP dẫn đến lưu lượng của các dịch vụ viễn thông luôn thay đổi, tăng lên có tính đột biến trong khi sự phát triển hạ tầng nhằm mở rộng băng thông bị hạn chế bởi nhiều lý do khác nhau.
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
**************************
DƯƠNG TUẤN ANH
XÂY DỰNG HỆ CÁC ĐIỀU KIỆN GIỚI HẠN PHỤC VỤ PHÂN BỐ LƯU LƯỢNG
DỊCH VỤ IP INTERNET
Chuyên ngành: Kỹ thuật viễn thông
Mã số : 62.52.70.05
TÓM TẮT LUẬN ÁN TIẾN SỸ KỸ THUẬT
HÀ NỘI - 2013
Trang 2Công trình được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học:
1 TS Bùi Thiện Minh
2 PGS.TS Hoàng Minh
Phản biện 1:
Phản biện 2:
Phản biện 3:
Luận án được bảo vệ trước Hội đồng chấm luận án cấp Học viện họp tại:
………
………
………
vào hồi: ngày tháng năm 2013
Có thể tìm hiểu luận án tại:
1 Thư viện Quốc gia
2 Thư viện Học viện Công nghệ Bưu chính Viễn thông
DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ
[1] Vũ Hoàng Hiếu, Dương Tuấn Anh, "Đảm bảo chất lượng dịch vụ cho các ứng dụng bằng phương pháp tương thích động", Tạp chí Công nghệ thông tin & Truyền thông năm 2007, Vol 9, No 1, trang 34-37
[2] Vũ Hoàng Hiếu, Dương Tuấn Anh, “Kết quả mô phỏng phương pháp điều khiển tương thích chất lượng dịch vụ cho kiến trúc middleware nhận biết ứng dụng”, Chuyên san “Các công trình nghiên cứu khoa học, nghiên cứu triển khai Công nghệ thông tin“, Tạp chí Khoa học và Công Nghệ, năm 2010, số
75, trang 12-19
[3] Dương Tuấn Anh, Hoàng Minh, “Tổng quan về đặc tính hoá luồng lưu lượng IP”, Tạp chí Khoa học và Công nghệ, năm 2011, tập 49, số 3, trang 1-23
[4] Dương Tuấn Anh, Nguyễn Hoàng Linh, “Nghiên cứu về bảo vệ và chống tấn công mạng”, Tạp chí Khoa học và Công nghệ, năm 2012, tập 50, số 2A,
trang 87-108
Trang 3Những vấn đề cần nghiên cứu tiếp :
1.) Đối với “đặc tính hóa luồng lưu lượng IP Internet”, nghiên
cứu sinh thấy cần thiết tiến hành nghiên cứu bổ sung thêm những
chiều hữu ích khác trong việc biểu diễn luồng lưu lượng để phát hiện
chính xác hơn sự khác biệt giữa đặc tính thể hiện ở những luồng tin
“phá hoại”,“dịch vụ chuyên dụng” với những luồng tin “dịch vụ
truyền thống” và bổ sung thích hợp vào những phần mềm mã nguồn
mở
2.) Xác định mức ưu tiên của dịch vụ qua đặc tính hóa lưu
lượng nhiều chiều để tìm ra hệ các điều kiện ràng buộc đồng thời
theo không gian (trong cả miền tần số, miền thời gian đối với lọc
tương thích, đối với điều khiển công suất, và phân bổ tần số thông
qua điều chế tương thích, v.v…) nhằm vào nhiệm vụ đảm bảo cung
cấp chất lượng dịch vụ (QoS) của các công nghệ truyền thông thế hệ
tiếp theo trong môi trường phân tán diện rộng
3.) Nghiên cứu áp dụng quyết định mềm (Soft decision) vào
nhiệm vụ bảo đảm an toàn thông tin và an ninh mạng để thu được
những giới hạn ràng buộc làm cơ sở lý luận đề xuất mô hình bảo vệ
thích hợp
MỞ ĐẦU
Phân bổ lưu lượng Internet là vấn đề ngày càng trở nên cấp thiết đối với các nhà cung cấp dịch vụ mạng do sự phát triển không ngừng của các lớp ứng dụng mới hội tụ trên nền IP dẫn đến lưu lượng của các dịch vụ viễn thông luôn thay đổi, tăng lên có tính đột biến trong khi sự phát triển hạ tầng nhằm mở rộng băng thông bị hạn chế bởi nhiều lý do khác nhau
Đa số công trình nghiên cứu trước đây liên quan đến áp dụng đặc tính hóa luồng lưu lượng mới chỉ đưa ra những đề xuất cải tiến đối với các lớp kiến trúc riêng rẽ, kèm theo các trang, thiết bị cần thiết theo nhu cầu “thời gian thực” Điều đó đòi hỏi những đề xuất mới đối với nhà quản lý cung cấp dịch vụ chưa có điều kiện trang bị những thiết bị chuyên dụng trong khi phải đảm bảo sự hoạt động ổn định về quản trị, cung cấp dịch vụ
Giải pháp dựa trên những đặc tính của luồng lưu lượng IP Internet để định danh lưu lượng “phi truyền thống” phục vụ an ninh mạng và phục vụ giải pháp xử lý, phân bổ lưu lượng IP Internet sẽ được minh chứng là có khả năng hỗ trợ chất lượng dịch vụ đối với các ứng dụng thời gian thực trong môi trường hỗn tạp Để giải quyết vấn đề nắm bắt, phân tích dữ liệu theo thời gian thực phục vụ hỗ trợ việc phân bổ lưu lượng IP Internet theo chất lượng dịch vụ tương thích và phục vụ nhiệm vụ bảo đảm an ninh mạng, chống lại những cuộc “tấn công mạng”, cần khai thác các phần mềm mã nguồn mở và
sử dụng thời gian thực hạ tầng cơ sở mạng của một nhà quản lý, cung cấp dịch vụ cụ thể có tính đại diện
Luận án tập trung vào các vấn đề sau:
Trang 41) Nghiên cứu tổng quát về đặc tính hoá lưu lượng của IP
Internet và mã nguồn mở liên quan, gồm các đặc tính lưu lượng, nhu
cầu về dung lượng và các yêu cầu liên quan tới việc đảm bảo QoS
2) Nghiên cứu phương pháp điều khiển có các mức ưu tiên
tương ứng với chất lượng dịch vụ đòi hỏi bởi các lớp dịch vụ khác
nhau trong môi trường truyền thông đa chiều, đa dịch vụ để đề xuất
chiến lược định tuyến theo thời gian thực phù hợp
3) Nghiên cứu các giải pháp chống tấn công áp dụng cho các
nhà quản lý, cung cấp dịch vụ mạng nhằm bảo đảm an ninh mạng
cũng như duy trì chất lượng dịch vụ
4) Dùng Viễn thông Thừa Thiên Huế, đơn vị thành viên thuộc
VNPT, nhà cung cấp dịch vụ mạng viễn thông thời gian thực để tiến
hành thu thập dữ liệu, phân tích, thử nghiệm các kết quả nghiên cứu
do tính đại diện về môi trường tích hợp các loại hình dịch vụ và “an
toàn mạng”, “an ninh thông tin”
Các kết quả nghiên cứu về lý luận và thực tiễn đã nêu ở trên
được trình bày trong 4 chương của luận án ngoài phần mở đầu và
kết luận như sau: Chương 1 với tiêu đề “Tổng quát về đặc tính hóa
lưu lượng IP” Chương 2 có tiêu đề “Đặc tính thống kê và điều kiện
giới hạn phân bố lưu lượng IP Internet” Chương 3 với tiêu đề “Các
điều kiện giới hạn về phân bố luồng lưu lượng IP Internet theo chất
lượng dịch vụ (QoS) tương thích” Chương 4 có tiêu đề “Nghiên cứu
về các giới hạn trong chống tấn công từ chối dịch vụ (DoS) và sâu
Internet”
KẾT LUẬN VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TIẾP
Luận án đã trình bày các kết quả nghiên cứu về đặc tính hóa luồng lưu lượng IP nhằm mục đích xử lý, phân bổ lưu lượng Internet, bảo vệ an ninh thông tin mạng và chống tấn công mạng diện rộng; những vấn đề này ngày càng trở nên cấp thiết đối với các nhà cung cấp dịch vụ mạng do sự phát triển không ngừng các lớp ứng dụng mới hội tụ trên nền IP Các đóng góp mới của quá trình nghiên cứu thể hiện trong luận án như sau:
1) Tổng quát, hệ thống hóa về đặc tính hóa lưu lượng IP và phát triển, phân loại các đặc tính theo dịch vụ đối với luồng lưu lượng trong trường hợp của một nhà quản lý, cung cấp dịch vụ viễn thông cụ thể
2) Đề xuất áp dụng lý thuyết hệ thống vào bài toán phân bổ lưu lượngsử dụng kết quả ưu tiên được cung cấp bởi đặc trưng hóa luồng lưu lượng IP internet tại một nút mạng của nhà quản lý, cung cấp dịch vụ viễn thông
3) Hệ thống hóa về giải pháp chống tấn công từ chối dịch vụ
và ngăn chặn sâu Internet trên cơ sở đặc trưng hóa luồng lưu lượng
IP để đề xuất việc xác định giới hạn của mô hình sử dụng Proxy nhằm mục tiêu bảo đảm an ninh mạng
4) Đề xuất giải pháp sử dụng tài nguyên thời gian thực (nhà quản lý, cung cấp dịch vụ viễn thông và các phần mềm mã nguồn mở) để thực hiện minh chứng tính đúng đắn về mặt lý luận
Trang 5Nghiên cứu sinh đã dùng hệ thống mô phỏng quy mô lớn sử
dụng phương pháp tương tự như Zou và đồng nghiệp, với thuật toán
Rabin để tính số lượng sâu phục vụ thăm dò Mạng mô phỏng thiết
lập với số lượng lớn máy có nguy cơ bị tấn công (máy nằm trong
trạng thái dễ bị tổn thương, dễ lây nhiễm hay đã miễn dịch) và mạng
cục bộ Chọn một nút của các mạng cục bộ để thiết lập nút của mạng
phòng thủ kết hợp
Kết quả mô phỏng cho thấy lan truyền sâu khi các nút ngăn
chặn độc lập và kết hợp trong trường hợp các nút riêng lẻ thu thập
100 tín hiệu sâu cùng mẫu trước khi nó lọc gói tin chỉ ra rằng với các
nút ngăn chặn độc lập, hành vi lan truyền sâu không bị hạn chế (so
sánh với không có bất kỳ việc ngăn chặn nào) nhưng, đối với phòng
thủ trong mạng kết hợp, các hành vi lan truyền phần lớn bị hạn chế
4.5 Kết luận chương
Trong chương này, nghiên cứu sinh đã nghiên cứu khả năng
chống lại các cuộc tấn công của một mạng Proxy, đồng thời nghiên
cứu các đặc tính của hệ thống phòng thủ DoS dựa trên mạng Proxy
trước những cuộc tấn công này để nắm chắc rằng khi nào tính đối
kháng là có thể sử dụng, xem xét khả năng một mạng Proxy có thể
chống lại những cuộc tấn công như thế nào và thiết kế một hệ thống
dựa trên mạng Proxy để việc phòng thủ một cách hiệu quả
Nghiên cứu sinh đã nghiên cứu về mô hình chung để thu giữ
một dải rộng hệ thống phòng thủ DoS dựa trên mạng Proxy Mô hình
này xác định một bộ yếu tố phù hợp với tiêu chuẩn trong hệ thống
dựa trên mạng Proxy và sự tương tác của chúng
Chương này cũng trình bày một kỹ thuật phòng chống tấn công
hợp tác phân cấp để bảo vệ hạ tầng mạng chống lại tấn công mạng
CHƯƠNG 1 TỔNG QUÁT VỀ ĐẶC TÍNH HÓA
LƯU LƯỌNG IP 1.1 Giới thiệu
Nghiên cứu sinh dựa trên cơ sở lý thuyết và sử dụng các mã nguồn mở có uy tín để tiến hành điều tra mạng viễn thông tại đơn vị cung cấp dịch vụ nhằm tổng hợp các số liệu lưu lượng và đóng góp vào sự hiểu biết về hành vi mạng ở quy mô lớn Những kết quả nghiên cứu tổng quát về đặc tính hóa lưu lượng IP sẽ được nghiên cứu sinh trình bày theo kiểu một tài liệu hướng dẫn đối với các nhà quản lý mạng, cung cấp dịch vụ mạng trong chương này
1.2 Lưu lượng và các đặc tính phân loại
Có nhiều loại lưu lượng khác nhau trên mạng và có thể phân các ứng dụng thành loại theo thời gian thực và không theo thời gian thực Các loại lưu lượng ứng với ứng dụng khác nhau, ngay cả khi chúng có cùng điểm xuất phát, cùng điểm đến và cùng cách thức truyền thông, thì đã có các đặc tính ngẫu nhiên và nhu cầu về QoS (các tham số thể hiện băng thông, tỷ lệ mất gói, v.v…) khác nhau và
có thể phân tích các yêu cầu về QoS dựa trên mức thời gian và mức truyền dịch vụ (mức gói, cuộc gọi) khác nhau Mô hình lưu lượng đối với các dịch vụ cơ bản dựa trên lý thuyết Erlang, gồm hai tham số chính (tốc độ xuất hiện cuộc gọi và thời gian chiếm giữ trung bình)
để xác định lưu lượng ra ứng với thời gian sử dụng tài nguyên Nếu phân bố Poisson phù hợp với thống kê xuất hiện các cuộc gọi thì đối với hệ thống có N kênh, tổng lưu lượng A, thời gian giữ cuộc trung bình τ, độ trễ lớn nhất cho phép trước khi cuộc gọi mới bị
khóa T Xác suất không có server (hệ thống bận, cuộc gọi mới bị
Trang 6khóa) GOS theo mô hình Erlang B khi không có cơ chế trễ T và xác
suất không có server khi có cơ trễ lớn hơn T tuân theo mô hình
Erlang C :
Erlang B:
N
k N
k=0
A N!
GOS
A k!
;
Erlang C:
(N-A)T N
τ k N-1 N
k=0
A
A +N!
(1.1)
Để hiểu cơ chế hoạt động phức tạp của mạng, đặc tính hoá lưu
lượng được xem như một hàm nhiều tham số Thống kê lưu lượng
phục vụ mục đích đặc tính hoá được nghiên cứu sinh sử dụng ở đây
là phương pháp gộp chi tiết (Aggregation granularity, AG); phân tích
hệ thống trên cơ sở chia hệ thành các phân hệ khác nhau để hiểu biết
chi tiết hơn và tổng hợp đặc tính của các phân hệ để có những đặc
tính của toàn bộ hệ đó
1.3 Về các phần mềm mã nguồn mở sử dụng
Nghiên cứu sinh chọn hai phần mềm mã nguồn mở vào việc
triển khai giám sát, phân tích đặc tính lưu lượng tại mạng viễn thông
Thừa thiên Huế
- Ứng dụng phần mềm NTOP để quan sát, giám sát, thống kê
một khu vực (nhóm người dùng) về tỉ lệ sử dụng các loại giao thức
mạng (tập trung ở lớp 4) để đề xuất về việc thiết lập các QoS cho
từng loại giao thức để tăng chất lượng phục vụ người dùng
định để tìm hiểu khả năng mở rộng tính đối kháng của mạng Proxy trước các cuộc tấn công DoS
4.3.3 Nhận xét về các điều kiện giới hạn
Sử dụng mô phỏng mạng trực tuyến có quy mô lớn, chi tiết (MicroGrid) để nghiên cứu các mạng Proxy với các ứng dụng và các cuộc tấn công DoS thực cho thấy rằng các mạng Proxy có thể cung cấp hiệu quả với khả năng mở rộng tính phục hồi trước các cuộc tấn công DoS mức cơ sở hạ tầng và bảo vệ ứng dụng
4.4 Ngăn chặn sâu Internet và các điều kiện 4.4.1 Mô hình lây truyền và phát hiện tín hiệu virus/sâu
Một vài mô hình toán học được sử dụng để mô tả sự lây truyền
phân tán sâu Các mô hình lây truyền virus :
Mô hình Staniford: Mô hình định lượng lan truyền sâu do Staniford cùng cộng sự đề xuất để xác định tỷ lệ máy đã bị nhiễm a
được xác định như sau:
exp( ( )) / 1 exp( ( ))
a K t T K t T
(4.1)
Mô hình Kephart và White: Trên cơ sở sử dụng hệ thống kiểu nút trong đồ thị phương trình vi phân mô tả sự phát triển tỷ lệ máy i(t) bị lây nhiễm theo thời gian như sau:
( )
1
di t
a bi i
Thuật toán vết chân (Footprint) Rabin được sử dụng tại mỗi nút mạng để tính các khối nội dung trong các phần tải của gói tin
4.4.2 Phòng chống và ngăn chặn sâu Internet và các điều kiện
Trang 7Về tính đối kháng của mạng Proxy trước sự tấn công DoS, mô
phỏng được tiến hành theo các tình huống giả định và thấy rằng:
Trước các kịch bản tấn công quy mô lớn, cường độ thay đổi và phân
tán trong vùng tài nguyên mạng lớn thì một mạng Proxy có thể chống
lại một cách có hiệu quả các cuộc tấn công DoS Và, trước các kịch
bản về tỷ lệ không đổi giữa cường độ tấn công và kích thước mạng
Proxy thì rõ ràng, kích thước mạng Proxy càng lớn, khả năng chống
lại cường độ tấn công DoS càng cao Các kết quả này khẳng định
rằng mạng Proxy có hiệu quả và có thể mở rộng khả năng phục hồi
trước những cuộc tấn công DoS
4.3.2 Hệ thống phòng thủ DoS dựa trên mạng Proxy
Dùng một mạng mô phỏng ở quy mô lớn (dùng MicroGrid mô
phỏng mức gói trực tuyến) , để nghiên cứu hiệu suất ứng dụng cung
cấp bởi mạng Proxy trước các cuộc tấn công DoS Sau đó sử dụng
các ứng dụng, chương trình tấn công thực để đưa những thí nghiệm
đó vào trong môi trường mạng đã mô phỏng
Bộ công cụ để mô phỏng hành vi tấn công DDoS thông dụng
sử dụng Trinoo có sẵn trên Internet Nghiên cứu sinh đã thực hiện ba
bộ thí nghiệm Đầu tiên, nghiên cứu ảnh hưởng của các cuộc tấn
công DoS lên ứng dụng không được bảo vệ bởi mạng Proxy (hiệu
suất ứng dụng khi có và không có các cuộc tấn công DoS) Thứ hai,
nghiên cứu hiệu suất ứng dụng trước hai cuộc tấn công DoS quy mô
lớn kiểu dàn trải và tập trung để tìm hiểu khả năng chống lại trước
các cuộc tấn công này của mạng Proxy Thứ ba, nghiên cứu hiệu suất
chống lại các cuộc tấn công của một mạng Proxy có kích thước thay
đổi khi tỷ lệ giữa cường độ tấn công và kích thước mạng Proxy cố
- Ứng dụng phần mềm mã nguồn mở Observium để quan sát,
giám sát và thống kê lưu lượng tổng quát, chủ yếu lưu lượng lớp mạng (lớp 3) của mạng cung cấp dịch vụ MAN-E nhằm mục đích phân tích, đưa ra các đề xuất tối ưu về quy hoạch băng thông đường truyền, định tuyến cho mạng MAN-E đối với dịch Internet và IPTV Bằng cách quan sát chung nhóm người dùng, NTOP có thể cung cấp cho nhà quản trị mạng về tỉ lệ các loại dịch vụ Internet mà người dùng sử dụng như thế nào
Phần mềm Observium được phát triển thành một công cụ dễ cấu hình dùng giám sát tình trạng hoạt động của mạng máy tính Trong ứng dụng Observium thực tế triển khai ở VNPT Thừa Thiên Huế đã thay đổi các giá trị tham số cho phù hợp với yêu cầu giám sát
và thống kê số liệu
1.4 Kết luận chương
Luồng lưu lượng IP truyền thông trên môi trường phân tán, không đồng nhất ở đây là đối tượng nghiên cứu nằm trong khuôn khổ của bài toán phân tích lưu lượng nói chung nhằm tham số hóa hay đặc tính hóa để nhận biết lớp ứng dụng của lưu lượng nói riêng Khi gắn với chức năng của một nhà quản trị mạng, ngoài việc đảm bảo QoS, khai thác tiềm năng mạng thì nhiệm vụ đảm bảo an ninh mạng,
an ninh thông tin đòi hỏi về các phát hiện dạng lưu lượng có đặc tính khác như đặc tính “tấn công” của “tin tặc” và “tin rác” Điều này đòi hỏi việc phân tích tín hiệu theo không gian nhiều chiều, áp dụng phân
bố ngẫu nhiên nhiều chiều tương ứng để phát hiện thêm các tham số trong quá trình đặc tính hóa luồng tín hiệuIP
Trang 8CHƯƠNG 2 ĐẶC TÍNH THỐNG KÊ VÀ ĐIỀU KIỆN
GIỚI HẠN PHÂN BỐ LƯU LƯỢNG IP INTERNE
2.1 Giới thiệu chương
Trong chương này, nghiên cứu sinh trình bày đặc tính lưu
lượng IP Internet của các dịch vụ khác nhau (tương tác đa phương tiện
thời gian thực, …) đối với môi trường mạng (Web và Client-Server, di
động và mạng không dây, …) khác nhau, giới hạn xét ở đây là QoS và
điển hình là tắc nghẽn Ngoài ra, chương này cũng đề xuất và phân tích
các điều kiện giới hạn trong việc phân bổ lưu lượng dựa theo QoS và
ngưỡng tắc nghẽn
2.2 Đặc tính lưu lượng của những mô hình khác nhau
2.2.1 Tương tác đa phương tiện và lưu lượng thời gian thực
Những kết quả về lưu lượng thời gian thực và đa phương tiện thu
được từ các mã hóa-giả mã tốc độ Bit như lưu lượng âm thanh PCM và
hình ảnh MPEG-1 được mô tả một cách bao quát bởi nhiều kĩ thuật, mô
hình trong các phân tích cấu trúc tự tương quan của bộ đếm cơ bản và
các quá trình điểm Sự phát sinh của những dịch vụ tương tác mới trong
môi trường đa phương tiện và Internet di động dẫn đến sự xuất hiện của
các phương pháp mô tả mới như kĩ thuật mã hóa-giải mã thích ứng như
bộ mã hóa-giải mã đa tốc độ thích ứng UMTS (AMR) và MPEG-4
Trước hết, các đòi hỏi về chất lượng dịch vụ của những dịch vụ
nổi trội nhất (hội nghị truyền hình và phương tiện di động) được trình
bày làm cơ sở để thông qua nghiên cứu, thu thập số liệu , nghiên cứu
sinh đề xuất khuyến nghị và khả năng cho phép đối với QoS của các
dịch vụ Audio và Video
2.2.2 Đối với lưu lượng Web và Client-Server
4.2.1 Giới thiệu về tấn công mạng
Những cuộc tấn công mạng dựa chủ yếu vào các lỗ hổng của phần mềm, của giao thức mạng và của cơ sở hạ tầng Lỗ hổng phần mềm là do lỗi trong cài đặt các phần mềm mạng (như DNS BIND, HTTP Apache, Telnet, SMTP ) Trong phần này, nghiên cứu sinh thảo luận hai kiểu tấn công mạng nguy hiểm, phổ biến trên Internet hiện nay Đó là tấn công từ chối dịch vụ và tấn công kiểu sâu internet
4.2.2 Cơ sở và các vấn đề liên quan đến DoS
Trình bày các vấn đề liên quan đến DoS như : Các bước cơ bản trong việc chuẩn bị và tiến hành một cuộc tấn công Ddos, Các cuộc tấn công DoS, phòng thủ DoS dựa trên mạng Proxy
4.2.3 Sâu Internet: Cơ sở và các vấn đề liên quan
Trình bày các vấn đề : Một số thông tin có tính cơ bản về các loại sâu Internet đã ra đời trong vài năm qua, các phương pháp quét của sâu Internet, phòng chống sâu Internet
4.3 Chống tấn công từ chối dịch vụ (DoS) và các giới hạn 4.3.1 Giới thiệu
Sử dụng mô phỏng mạng lưới ở mức gói trực tuyến (đầy đủ ứng dụng, phần mềm thực thi và các chương trình tấn công thực) cho phép nghiên cứu chi tiết mạng lưới, động học ứng dụng (rớt gói, định tuyến hàng đợi, thời gian thực), hành vi phản ứng của mạng và giao thức ứng dụng (tham số quan trọng đối với ứng dụng, hiệu suất mạng Proxy trước các cuộc tấn công DoS)
Trang 9CHƯƠNG 4 NGHIÊN CỨU VỀ CÁC GIỚI HẠN
TRONG CHỐNG TẤN CÔNG
TỪ CHỐI DỊCH VỤ (DoS) VÀ SÂU INTERNET
4.1 Giới thiệu chương
Nhà quản trị mạng sử dụng tập các tham số đặc trưng hóa
luồng lưu lượng IP Internet (Chương 1 và 2) để cung cấp QoS dịch
vụ theo các mức ưu tiên khác nhau (Chương 3) và đảm bảo an ninh
cho toàn hệ thống mạng trong khuôn khổ phát triển theo “ba bất kỳ”,
(three any - any time, any where, any form” trước những hành động
xâm nhập mang tính “tặc thông tin” , “triệt hạ tầng mạng” (hay “tấn
công” gọi chung) Các cuộc tấn công hiện nay thường được phân tán
ở mức độ cao và phối hợp tốt (tấn công từ chối dịch vụ phân tán
(DDoS), sâu Internet chẳng hạn) gây những ảnh hưởng xã hội
nghiêm trọng về thông tin, làm gián đoạn dịch vụ quan trọng, tổn thất
lớn về kinh tế, v.v và trở thành một trong các tội phạm nghiêm
trọng bậc nhất Bảo vệ hạ tầng mạng trước các cuộc tấn công đã trở
thành một vấn đề quan trọng cần được khẩn trương giải quyết
Trong chương này, nghiên cứu sinh trình bày các kết quả
nghiên cứu về phát hiện, đối phó trước các cuộc tấn công mạng kiểu
phân tán (DDoS và sâu Internet) và trình bày đề xuất phản ứng chống
lại các cuộc tấn công mạng đó bằng phương pháp phân bổ lưu lượng
IP sử dụng điều kiện giới hạn Proxy Nghiên cứu sinh cũng sử dụng
các công cụ mô phỏng trực tuyến để xác định khả năng chống lại
những của cuộc tấn công theo lý thuyết và trong thực tế (một mạng
mô phỏng với một kích cỡ có thể so sánh được với mạng ISP)
4.2 Một số vấn đề liên quan đến tấn công mạng
Do sự xuất hiện liên tục các ứng dụng, dịch vụ mới, kể cả công nghệ truy cập mạng băng rộng nên mô tả lưu lượng truy cập Internet trở thành vấn đề quan trọng đối với cả nhà cung cấp dịch vụ Internet (ISPs)
và các nhà khai thác mạng truy cập Sự thay đổi nhanh về các đặc tính lưu lượng đòi hỏi các phép đo lưu lượng một cách thường xuyên và phải đáp ứng tiêu chí kĩ thuật; các phép đo lưu lượng thực hiện ở các mức phân giải khác nhau phù hợp với nhiệm vụ đã chọn làm mục tiêu
và các phép đo được thực hiện trên nhiều loại khác nhau của đối tượng Nghiên cứu sinh đã thực hiện các phép đo tại hai ISP khác biệt ký hiệu là ISP1 và ISP2 với một mạng CATV làm ISP1 và ADSL làm ISP2
để có được những kết luận cụ thể
2.2.3 Đối với di động trong môi trường mạng không dây
Nghiên cứu sinh trình bày về các phép đo, mô hình và phân tích
các luồng lưu lượng trong mạng GPRS Trong đó, gồm “Các phép
biến đổi Radon và công cụ tương tự” liên quan đến những đặc tính Up-link (mã hóa kênh, số lượng các kênh dữ liệu gói Up-link (PDCHs)
dùng trong kết nối GSM/GPRS) và “chương trình Tstat”, dùng để phân
tích các luồng TCP/IP/GPRS từ dấu vết luồng TCP
2.3 Điều kiện giới hạn sử dụng mô hình, phương pháp
Trong phần này sẽ trình bày những vấn đề liên quan đến các kết luận về tình trạng hay giới hạn mạng lưới dựa vào các phép đo (chẳng hạn như kết luận về băng thông tắc nghẽn, băng thông sẵn có, về lưu
lượng chéo nhau v v.) bằng cách sử dụng số liệu thống kê lưu lượng
(xác định suy giảm QoS của End-to-End)
Trang 102.3.1 Những đồ thị biểu đồ thông lượng khác nhau
Dạng biểu đồ thông lượng vào S in n 1, , ,
S
S
thường được dùng với độ phân giải
thông lượng ΔR Những nghiên cứu thực nghiệm đã chỉ ra rằng việc so
sánh hoạt động tốt cho những khoảng thời gian ⌈Rmax/ΔR +1⌉≃ 20
đối với n ≥ 600
Hình 2-3 cho thấy những biểu đồ thông lượng từ các phép đo với
ứng dụng truyền hình hội nghị theo những mức nhiễu loạn lưu lượng
truyền qua khác nhau và các hiện tượng tắc nghẽn cục bộ khác nhau
Hình 2-3.Biểu đồ thông lượng từ các phép đo đối với ứng dụng
truyền hình hội nghị
2.3.2 Định hình và phân chia giới hạn tắc nghẽn
Nghiên cứu sinh trình bày những vấn đề liên quan đến định
hình và phân chia giới hạn tắc nghẽn
2.4 Kết luận chương
Các kết quả về đặc tính hóa lưu lượng trình bày trong chương 1
và các phân tích ở đây được dùng làm cơ sở để bàn về chất lượng
dịch vụ QoS tương thích trình bày trong chương 3 và về bảo vệ
chống tấn công, an ninh mạng trình bày trong chương 4
thực hiện mô phỏng hệ thống điều khiển trong các trường hợp thiết lập tham số cấu hình và khác nhau như sau:
- Hệ thống điều khiển không ổn định: Chọn các tham số cấu
hình và không thỏa mãn điều kiện ổn định + 2 < 4 0
- Hệ thống điều khiển ổn định: Chọn các tham số cấu hình và
đảm bảo + 2 < 4 0 và thực hiện mô phỏng với và khác nhau
để đáp ứng mức độ của hệ thống điều khiển
3.5.3 Phân tích đặc điểm của hệ thống theo mô hình lý thuyết
Nghiên cứu sinh đưa ra một số phân tích với hệ thống điều khiển tương thích, các tham số cấu hình được lựa chọn như trên, theo
các đặc tính ổn định và đặc tính cân bằng
3.5.4 Kết quả mô phỏng tại Viễn thông Thừa Thiên Huế
Với mô hình mô phỏng và lựa chọn các tham số cấu hình được trình bày trong phần trên, thực hiện mô phỏng hệ thống trong khoảng
thời gian t = 1÷1500s và ghi lại kết quả mô phỏng trong tất cả các
trường hợp
Nghiên cứu sinh trình bày các kết quả mô phỏng hệ thống điều khiển tương thích trong trường hợp thiết lập các tham số cấu hình
và khác nhau
3.6 Kết luận chương
Trong chương này, những kết quả nghiên cứu liên quan đến sử dụng kết quả về đặc trưng hóa luồng lưu lượng (trong chương 1 và chương 2) để xem xét, phân bổ lưu lượng tương thích QoS phục vụ cho nhiệm vụ đảm bảo QoS theo nghĩa thích nghi trên cơ sở áp dụng
lý thuyết điều khiển đã được trình bày
