Nghiên cứu một số vấn đề nâng cao chất lượng dịch vụ trong mạng thế hệ mới

Lời cam đoanTôi xin cam đoan luận án "Nghiên cứu một số vấn đề nâng cao chất lượng dịch vụ trong mạng thế hệ mới" là công trình nghiên cứu của riêng tôi.. Trong các công trình khoa học đ

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

Lê Đắc Nhường

NGHIÊN CỨU MỘT SỐ VẤN ĐỀ NÂNG CAO CHẤT LƯỢNG DỊCH VỤ

TRONG MẠNG THẾ HỆ MỚI

LUẬN ÁN TIẾN SỸ TOÁN HỌC

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN

Lê Đắc Nhường

NGHIÊN CỨU MỘT SỐ VẤN ĐỀ NÂNG CAO CHẤT LƯỢNG DỊCH VỤ

TRONG MẠNG THẾ HỆ MỚI

Chuyên ngành: Cơ sở toán cho Tin học

Mã số: 62460110

LUẬN ÁN TIẾN SỸ TOÁN HỌC

NGƯỜI HƯỚNG DẪN KHOA HỌC:

1 PGS.TS Lê Trọng Vĩnh

2 PGS.TS Ngô Hồng Sơn

Lời cam đoan

Tôi xin cam đoan luận án "Nghiên cứu một số vấn đề nâng cao chất lượng dịch vụ trong mạng thế hệ mới" là công trình nghiên cứu của riêng tôi Các số liệu, kết quả được trình bày trong luận án là hoàn toàn trung thực và chưa từng được công bố trong bất kỳ một công trình nào khác

 Tôi đã trích dẫn đầy đủ các tài liệu tham khảo, công trình nghiên cứu liên quan ở trong nước và quốc tế Ngoại trừ các tài liệu tham khảo này, luận án hoàn toàn là công trình của riêng tôi

 Trong các công trình khoa học được công bố trong luận án, tôi đã thể hiện

rõ ràng và chính xác đóng góp của các đồng tác giả và những gì do tôi đã đóng góp Các kết quả được viết chung với các tác giả khác đều được sự đồng ý của đồng tác giả trước khi đưa vào luận án

 Luận án được hoàn thành trong thời gian tôi làm nghiên cứu sinh tại Bộ môn Tin học, Khoa Toán-Cơ-Tin học, Trường Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội

Tác giả:

Hà Nội:

Lời cảm ơn

Trước hết, tôi muốn cảm ơn PGS.TS Lê Trọng Vĩnh, PGS.TS Ngô Hồng Sơn

- những người đã trực tiếp giảng dạy và hướng dẫn tôi trong suốt thời gian học tập và thực hiện luận án này Một vinh dự lớn cho tôi được học tập, nghiên cứu dưới sự hướng dẫn tận tình, khoa học của hai Thầy

Tôi xin gửi lời cám ơn đến các Thầy, Cô trong Bộ môn Tin học, Khoa Toán-Cơ-Tin học vì sự giúp đỡ và những đề xuất, trao đổi trong nghiên cứu rất hữu ích cho luận án Xin cảm ơn các Thầy, Cô và các anh chị em đã góp ý, cổ vũ động viên và sát cánh bên tôi trong suốt quá trình thực hiện luận án

Tôi trân trọng cảm ơn Ban Giám hiệu, Phòng Sau Đại học, Phòng Đào tạo, Phòng Chính trị và Công tác sinh viên trường Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội đã tạo điều kiện thuận lợi cho tôi trong suốt quá trình thực hiện luận án Tôi cũng bày tỏ sự cảm ơn đến Ban Giám hiệu, Khoa Công nghệ thông tin Trường Đại học Hải Phòng đã tạo điều kiện về thời gian và tài chính cho tôi hoàn thành luận án này

Cuối cùng, tôi xin bày tỏ lòng biết ơn vô hạn đối với cha mẹ, vợ con và gia đình đã luôn ủng hộ, giúp đỡ tôi Những người luôn chia sẻ, động viên tôi trong những lúc khó khăn và tôi luôn ghi nhớ điều đó

Mục lục

Danh mục từ viết tắt v

Danh mục hình vẽ viii

1 Một số hướng tiếp cận nâng cao QoS trong mạng NGN 6

1.1 Mạng thế hệ mới 6

1.2 Chất lượng dịch vụ 9

1.2.1 Các tham số phản ánh chất lượng dịch vụ 9

1.2.2 Phân lớp chất lượng dịch vụ 10

1.2.3 Mô hình và kỹ thuật đảm bảo QoS 12

1.2.4 Một số nghiên cứu về chất lượng dịch vụ 14

1.3 Bài toán tối ưu tổ hợp 16

1.3.1 Mô hình bài toán tổng quát 16

1.3.2 Các hướng tiếp cận giải bài toán tối ưu tổ hợp 16

1.4 Thuật toán tối ưu đàn kiến 19

1.4.1 Từ đàn kiến tự nhiên đến đàn kiến nhân tạo 19

1.4.2 Thuật toán ACO cho bài toán tối ưu tổ hợp 21

1.4.3 Các thuật toán đàn kiến và một số vấn đề liên quan 23

1.4.3.1 Thuật toán Ant System 23

1.4.3.2 Thuật toán Ant Colony System 25

1.4.3.3 Thuật toán Max-Min Ant System 26

1.4.4 Cơ sở sự hội tụ của thuật toán 27

1.5 Tấn công từ chối dịch vụ nguy cơ và thách thức 30

1.6 Kết chương 32

2 Tối ưu cấp phát tài nguyên cho các dịch vụ đảm bảo QoS 33 2.1 Mở rộng dung lượng mạng không dây 33

2.1.1 Mô hình bài toán 34

2.1.2 Các nghiên cứu liên quan 37

Danh mục ký hiệu vi

2.1.3 Đề xuất thuật toán ACO tối ưu mở rộng dung lượng 43

2.1.3.1 Xây dựng đồ thị có cấu trúc 43

2.1.3.2 Thủ tục xây dựng lời giải 44

2.1.3.3 Mô tả thuật toán 45

2.1.4 Kết quả thực nghiệm và đánh giá 46

2.2 Định vị tài nguyên cho các lớp dịch vụ 53

2.2.1 Mô hình bài toán 54

2.2.2 Các nghiên cứu liên quan 58

2.2.3 Tối ưu định vị tài nguyên tập trung cho các lớp dịch vụ 61

2.2.3.1 Đề xuất thuật toán ACO tối ưu định vị tài nguyên 61 2.2.3.2 Đề xuất thuật toán MMAS tối ưu định vị tài nguyên 62 2.2.4 Kết quả thực nghiệm và đánh giá 64

2.3 Cấp phát tài nguyên cho các luồng đa phương tiện 71

2.3.1 Mô hình bài toán 71

2.3.2 Các nghiên cứu liên quan 74

2.3.3 Đề xuất thuật toán MMAS tối ưu QoS luồng đa phương tiện 77 2.3.3.1 Xây dựng đồ thị cấu trúc 77

2.3.3.2 Thủ tục xây dựng lời giải 77

2.3.3.3 Mô tả thuật toán 80

2.3.4 Kết hợp qui tắc cập nhật vết mùi MLAS, SMMAS và 3LAS 80 2.3.5 Kết quả thực nghiệm và đánh giá 81

2.4 Kết chương 86

3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS 87 3.1 Mô hình đảm bảo ninh dịch vụ trong mạng NGN 88

3.1.1 Khuyến nghị ITU-T X.805 88

3.1.2 Phân tích ưu nhược điểm 90

3.2 Tấn công từ chối dịch vụ 91

3.2.1 Mô hình tấn công 92

3.2.2 Phương pháp tấn công và kỹ thuật phòng chống 93

3.3 Một số nghiên cứu liên quan 98

3.4 Giải pháp phòng chống tấn công dựa trên chính sách 99

3.5 Thực nghiệm và đánh giá 102

3.6 Kết chương 105

Danh mục công trình khoa học của tác giả liên quan đến luận án 109

Tài liệu tham khảo 110

Danh mục từ viết tắt

Viết tắt Dạng đầy đủ Diễn giải

DiffServ Differentiated Service Dịch vụ được phân biệt

TCA Traffic Condition Agreement Thỏa thuận điều kiện lưu lượng

Ký hiệu Ý nghĩa

∆τij Lượng vết mùi kiến k để lại trên cạnh (i , j ) khi đi từ i đến j

∆τbest

pijk Xác suất lựa chọn cạnh (i , j ) của kiến k

s = (s1, s2, , sn) Tập các dịch vụ được cung cấp tại mỗi nút mạng

Ds

ri(si) là lợi nhuận thu được từ dịch vụ si

ci(si) là chi phí để đáp ứng dịch vụ si

F = (f1, , fn) Tập các luồng đa phương tiện (N là số luồng)

R = (Rq+1, , Rm) Lượng tài nguyên giới hạn đối với tất cả các yêu cầu

Ri = (Ri 1, , Rim) Lượng tài nguyên tiêu thụ đối với mỗi luồng fi

ui(rij) Giá trị hữu dụng đối với điểm hoạt động pj và luồng fi

Danh mục ký hiệu

Danh mục bảng

1.1 Phân lớp chất lượng dịch vụ của ITU-T 11

1.2 Phân lớp chất lượng dịch vụ của ETSI 11

1.3 Các hướng tiếp cận giải bài toán tối ưu tổ hợp 17

1.4 Quá trình phát triển các thuật toán ACO 23

2.1 Các ký hiệu dùng trong bài toán mở rộng dung lượng mạng 35

2.2 So sánh kết quả của Greedy, GENEsYs, LibGA, GGA với ACO-BSC1, ACO-BSC2 46

2.3 So sánh kết quả của Hybrid I, Hybrid II, ACO-BSC1, ACO-BSC2 47

2.4 Thông tin về bộ dữ liệu thực nghiệm mở rộng dung lượng mạng 48

2.5 Thiết đặt tham số cho thuật toán GA-MRDL và ACO-MRDL 49

2.6 So sánh dung lượng được mở rộng của GA-MRDL và ACO-MRDL 49

2.7 So sánh hàm mục tiêu của thuật toán GA-MRDL và ACO-MRDL 50

2.8 Thông tin về tọa độ, dung lượng và loại BSC 51

2.9 Thông tin về tọa độ, dung lượng và loại BTS 51

2.10 Thông tin về tọa độ, dung lượng các trạm MS 51

2.11 Các ký hiệu trong bài toán định vị tài nguyên cho các lớp dịch vụ 56

2.12 Thiết đặt tham số cho thuật toán ACO và MMAS 64

2.13 Tham số cho các lớp dịch vụ si(i = 1, 2) 64

2.14 So sánh kết quả phân bố tài nguyên khi thay đổi tốc độ đến trung bình 69 2.15 So sánh kết quả phân bố tài nguyên khi thay đổi ngưỡng trễ 69

2.16 So sánh kết quả phân bố tài nguyên khi thay đổi thừa số giá 69

2.17 Đánh giá sự ảnh hưởng của tham số Hurst đến hàm mục tiêu 69

2.18 So sánh kết quả phân bố tài nguyên của thuật toán MMAS-ĐVTN khi thay đổi tốc độ đến trung bình ¯α của các dịch vụ 70

2.19 So sánh kết quả phân bố tài nguyên của thuật toán MMAS-ĐVTN khi thay đổi tham số giá pi của các dịch vụ 70

2.20 Kết quả thực nghiệm so sánh giữa các thuật toán trên nhiều lớp dịch vụ 70 2.21 Các ký hiệu dùng trong tối ưu QoS cho các luồng đa phương tiện 73

2.22 Thiết đặt tham số cho các thuật toán 82

2.23 Tập tham số yêu cầu và ràng buộc của các luồng dịch vụ AVC 84

2.24 Tập tham số các luồng đa phương tiện thực nghiệm 84

2.25 Tài nguyên yêu cầu và chi phí đáp ứng các luồng đa phương tiện 84

2.26 So sánh hàm mục tiêu và thời gian thực thi trên bộ dữ liệu chuẩn 85

2.27 Tham số về số lượng luồng theo hướng downlink và uplink thực nghiệm 85 2.28 So sánh kết quả thực thi giữa các qui tắc cập nhật vết mùi 85

3.1 Thiết lập tham số các đối tượng thực nghiệm 103

3.2 Thiết lập chính sách bảo mật riêng cho các máy chủ 103

Danh mục hình vẽ

1.1 Kiến trúc mạng NGN của ITU-T Y.2012 7

1.2 Quá trình thực hiện cam kết chất lượng dịch vụ 13

1.3 Thí nghiệm trên cây cầu đôi và thí nghiệm bổ sung 19

2.1 Kiến trúc hạ tầng mạng di động không dây 33

2.2 Mô hình mở rộng dung lượng mạng không dây 35

2.3 Đồ thị cấu trúc của bài toán đặt trạm BSC 39

2.4 Đồ thị khởi tạo và đồ thị đầy đủ 44

2.5 So sánh thời gian thi trung bình của GA-MRDL và ACO-MRDL 50

2.6 So sánh phương án tối ưu trong bài toán #2 của thuật toán GA-MRDL và ACO-MRDL 52

2.7 Ảnh hưởng của số kiến (a) và số vòng lặp (b) đến thời gian thực thi của ACO-MRDL 53

2.8 Mô hình phân bố tối ưu tài nguyên dựa vào độ đo (MBORA) 54

2.9 Quan hệ giữa hàm chi phí với ngưỡng trễ với βi = 10, di = 4 57

2.10 Quan hệ giữa kích thước hàng đợi và các tham số lưu lượng 59

2.11 Mặt phẳng mô phỏng hàm mục tiêu theo phân bố (s1, s2) 65

2.12 Ảnh hưởng của ( ¯α1, ¯α2) đến hàm mục tiêu 65

2.13 Ảnh hưởng của ngưỡng trễ đến hàm mục tiêu 66

2.14 Ảnh hưởng của hệ số giá cả đến hàm mục tiêu của MMAS-ĐVTN 66

2.15 Ảnh hưởng của độ lêch |∆Hi| hàm mục tiêu của MMAS-ĐVTN 67

2.16 So sánh thời gian thực thi của PSO, ACO-ĐVTN và MMAS-ĐVTN 67

2.17 So sánh thời gian thực thi của PSO, ACO-ĐVTN và MMAS-ĐVTN 68

2.18 Q-MOF trong kiến trúc mạng NGN 72

2.19 Các thành phần chức năng của Q-MOF 72

2.20 Mô hình giám sát QoSM 75

2.21 Giám sát QoS online và offline 76

2.22 Đồ thị cấu trúc mô tả luồng đa phương tiện fi 78

2.23 Mô hình giám sát và tối ưu QoS cho các luồng đa phương tiện 81

2.24 So sánh thời gian thực thi giữa các thuật toán trên các luồng 83

3.1 Kiến trúc bảo mật và biện pháp an ninh của ITU-T X.805 88

3.2 Các mô hình tấn công dựa từ chối dịch vụ 92

3.3 Các phương pháp và hình thức tấn công DDoS 93

3.4 Các kỹ thuật phòng chống tấn công DDoS 96

3.5 Chính sách bảo mật riêng 100

3.6 Quá trình điều khiển đường truyền 101

3.7 Kiến trúc mạng mô phỏng DDoS 102

3.8 Kết quả kiểm soát băng thông gói tin UDP của kịch bản 1 104

- Kiểu tấn công làm cạn kiệt tài nguyên và các biện pháp đối phó trên cũng

có vấn đề khi các gói tin của người sử dụng thường xuyên trộn lẫn với các gói tin tấn công cũng có thể bị loại bỏ

Gần đây, xu hướng sử dụng Proxy trung gian [1,72] và Moving Firewall [16,

17] để phòng thủ, bảo vệ trước các cuộc tấn công DoS mà không đòi hỏi thay đổi

cơ sở hạ tầng nên rất thuận lợi cho việc sử dụng ở quy mô lớn trong thực tế Phòng thủ DoS sử dụng mạng Proxy thực hiện được hai ý tưởng Thứ nhất, Proxy cách

ly giữa tấn công và ứng dụng, ngăn chặn trực tiếp những cuộc tấn công DoS mức

cơ sở hạ tầng lên ứng dụng Thứ hai, dùng số lượng lớn Proxy biên ngoài để phân tán lưu lượng, làm giảm ảnh hưởng của tấn công Phòng thủ DoS dựa trên mạng Proxy cho thấy được khả năng, sự hứa hẹn bởi vì khi một ứng dụng đã được bảo

vệ bởi một loạt các Proxy vô hướng, chỉ khi tất cả đều phải bị những kẻ tấn công làm tổn thương thì mới để lộ ra ứng dụng để bị tấn công trực tiếp (có thể điều chỉnh số lượng các Proxy vô hướng bằng cách cấu hình mạng Proxy để cung cấp một cấu trúc linh hoạt, chống lại sự thâm nhập của những kẻ tấn công và bảo vệ ứng dụng trước những cuộc tấn công trực tiếp) Dễ dàng phân tán rộng rãi các Proxy ở biên để khó bị những kẻ tấn công làm tràn gây gián đoạn dịch vụ Điều này cho phép các mạng Proxy có thể chịu được những cuộc tấn công DoS bằng lưu lượng tấn công phân tán (dùng các truy cập ứng dụng trung gian để ngăn chặn những cuộc tấn công trực tiếp và cung cấp hệ thống phòng thủ mềm dẻo cho ứng dụng để làm loãng tác động của các cuộc tấn công) Đây là một mạng Proxy có tiềm năng để bảo vệ ứng dụng từ những cuộc tấn công DoS Hệ thống phòng thủ DoS dựa trên mạng Proxy cũng có tiềm năng phát triển trên quy mô rộng lớn vì các mạng Proxy mức ứng dụng được xây dựng ở mức cao của Internet sẽ không đòi hỏi bất kỳ thay đổi nào đối với cơ sở hạ tầng Internet hiện có Một số mạng Proxy quy mô lớn thành công (như Content Delivery Networks với mạng Proxy Akamai có tới hơn 15,000 Proxy phát triển trong hơn 1,200 mạng trên 65 quốc gia), chứng minh tính thực tế khả thi của việc phát triển những mạng Proxy quy

mô lớn [72]

3.4 Giải pháp phòng chống tấn công dựa trên chính sách

Bảo vệ ứng dụng dịch vụ Internet trước các cuộc tấn công đang là một câu hỏi còn để mở cho các đề tài nghiên cứu Các cơ chế phòng thủ hiện tại đang cố gắng chặn tấn công DoS bằng cách lọc lưu lượng tấn công (đưa lọc bổ sung trong

bộ định tuyến, kiểm tra tất cả các gói dữ liệu đến trên cơ sở đặc tính hóa lưu lượng, loại bỏ những gói tin bị nghi ngờ) tại mức định tuyến của Cisco 1 Tuy nhiên, khó xác định, phân biệt chính xác một cuộc tấn công nào đó với những gói tin bình thường khi tấn công ngày càng tinh vi Điều đó đòi hỏi hệ thống phòng thủ dựa trên các bộ lọc phải được điển hình hóa chi tiết theo mỗi cuộc tấn công

1 http://www.cisco.com

Giả thiết kiến trúc mạng NGN được xây dựng từ các ISP cho phép cung cấp các dịch vụ cá nhân mở rộng, các nút Router trong mạng có thể điều khiển được

và ISP có thể phát hiện được các địa chỉ IP bất thường Như đã phân tích ở trên, mục tiêu của các biện pháp phòng chống tấn công DDoS hướng đến là giảm thiểu thiệt hại tài nguyên của máy chủ Nhưng tấn công DoS sử dụng UDP lại làm tăng băng thông các gói tin trên mạng được gửi đến máy chủ từ mạng LAN nên rất khó để chống lại Các biện pháp phòng chống DoS sử dụng UDP hiệu nay vẫn chưa thực sự hiệu quả Vì vậy mục tiêu phương pháp được đề xuất trong bài báo này hướng đến kiểm soát và ngăn chặn tấn công DoS dùng UDP Đa số giao thức truyền thông trên mạng là TCP được sử dụng trong Web Servers và Mail Servers Còn giao thức UDP được sử dụng bởi DNS và NTP truyền thông với lượng băng thông nhỏ Giao thức báo hiệu điều khiển lớp ứng dụng SIP sử dụng băng thông rộng để thiết lập, duy trì, kết thúc các phiên truyền thông đa phương tiện sử dụng UDP và RTP Tuy nhiên, đối với các dịch vụ UDP chúng ta rất khó đánh giá sự bình thường băng thông của mạng từ phía ISP

Hướng tiếp cận của luận án là dùng chính sách an ninh riêng để phát hiện tấn công DoS bằng cách kiểm soát số lượng gói tin UDP phát sinh trong mạng NGN có vượt quá một giới hạn nhất định trong một đơn vị thời gian với băng thông sẵn có hay không? Giới hạn này được xác định dựa trên chính sách an ninh riêng trên mạng LAN và được thiết lập trước khi tấn công DoS xảy ra

1) Thiết lập chính sách an ninh riêng: Băng thông của Server dành cho các gói tin UDP trong một đơn vị thời gian được thiết lập thành tham số để điều khiển tấn công DoS Giá trị này bằng số lượng các gói tin UDP trong 1 giây mà băng thông cho phép, nội dung chính sách an ninh được thể hiện trong Hình 3.5 Trong đó, địa chỉ IP của Server sẽ mô tả địa chỉ máy chủ cần kiểm soát, ngưỡng phát hiện tấn công và lượng băng thông dành cho UDP sẽ kiểm soát sự bất thường của các gói tin

Hình 3.5: Chính sách bảo mật riêng

2) Phát hiện gói tin IP bất thường: Số lượng gói tin UDP đến Server có thể kiểm soát nhờ các Router trong mạng NGN Tấn công DoS được phát hiện khi khi số lượng các gói tin UDP trong một giây vượt quá số lượng gói tin đã được thiết lập trong chính sách bảo mật riêng Việc kiểm tra được thực hiện trên kiểu gói tin UDP, địa chỉ IP và số hiệu cổng đích

3) Truyền thông báo cho các thiết bị : Sau khi phát hiện bị tấn công DoS,