26

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
**************************
DƯƠNG TUẤN ANH

XÂY DỰNG HỆ CÁC ĐIỀU KIỆN GIỚI
HẠN PHỤC VỤ PHÂN BỐ LƯU LƯỢNG
DỊCH VỤ IP INTERNET Chuyên ngành: Kỹ thuật viễn thông
Mã số : 62.52.70.05
TÓM TẮT LUẬN ÁN TIẾN SỸ KỸ THUẬT


…………………………………………………………………
…………………………………………………………………
…………………………………………………………………
vào hồi: ngày tháng năm 2013.

Có thể tìm hiểu luận án tại:
1. Thư viện Quốc gia.
2. Thư viện Học viện Công nghệ Bưu chính Viễn thông. 25

DANH MỤC CÁC CÔNG TRÌNH ĐÃ CÔNG BỐ
[1]. Vũ Hoàng Hiếu, Dương Tuấn Anh, "Đảm bảo chất
lượng dịch vụ cho các ứng dụng bằng phương pháp
tương thích động", Tạp chí Công nghệ thông tin &
Truyền thông năm 2007, Vol. 9, No. 1, trang 34-37.
[2]. Vũ Hoàng Hiếu, Dương Tuấn Anh, “Kết quả mô
phỏng phương pháp điều khiển tương thích chất
lượng dịch vụ cho kiến trúc middleware nhận biết
ứng dụng”, Chuyên san “Các công trình nghiên cứu
khoa học, nghiên cứu triển khai Công nghệ thông
tin“, Tạp chí Khoa học và Công Nghệ, năm 2010, số
75, trang 12-19 .
[3]. Dương Tuấn Anh, Hoàng Minh, “Tổng quan về đặc
tính hoá luồng lưu lượng IP”, Tạp chí Khoa học và
Công nghệ, năm 2011, tập 49, số 3, trang 1-23 .
[4]. Dương Tuấn Anh, Nguyễn Hoàng Linh, “Nghiên
cứu về bảo vệ và chống tấn công mạng”, Tạp chí
Khoa học và Công nghệ, năm 2012, tập 50, số 2A,

1

MỞ ĐẦU
Phân bổ lưu lượng Internet là vấn đề ngày càng trở nên cấp
thiết đối với các nhà cung cấp dịch vụ mạng do sự phát triển không
ngừng của các lớp ứng dụng mới hội tụ trên nền IP dẫn đến lưu lượng
của các dịch vụ viễn thông luôn thay đổi, tăng lên có tính đột biến
trong khi sự phát triển hạ tầng nhằm mở rộng băng thông bị hạn chế
bởi nhiều lý do khác nhau.
Đa số công trình nghiên cứu trước đây liên quan đến áp dụng
đặc tính hóa luồng lưu lượng mới chỉ đưa ra những đề xuất cải tiến
đối với các lớp kiến trúc riêng rẽ, kèm theo các trang, thiết bị cần
thiết theo nhu cầu “thời gian thực” . Điều đó đòi hỏi những đề xuất
mới đối với nhà quản lý cung cấp dịch vụ chưa có điều kiện trang bị
những thiết bị chuyên dụng trong khi phải đảm bảo sự hoạt động ổn
định về quản trị, cung cấp dịch vụ.
Giải pháp dựa trên những đặc tính của luồng lưu lượng IP
Internet để định danh lưu lượng “phi truyền thống” phục vụ an ninh
mạng và phục vụ giải pháp xử lý, phân bổ lưu lượng IP Internet sẽ
được minh chứng là có khả năng hỗ trợ chất lượng dịch vụ đối với
các ứng dụng thời gian thực trong môi trường hỗn tạp. Để giải quyết
vấn đề nắm bắt, phân tích dữ liệu theo thời gian thực phục vụ hỗ trợ
việc phân bổ lưu lượng IP Internet theo chất lượng dịch vụ tương
thích và phục vụ nhiệm vụ bảo đảm an ninh mạng, chống lại những
cuộc “tấn công mạng”, cần khai thác các phần mềm mã nguồn mở và
sử dụng thời gian thực hạ tầng cơ sở mạng của một nhà quản lý, cung
cấp dịch vụ cụ thể có tính đại diện.
Luận án tập trung vào các vấn đề sau:

2

KẾT LUẬN VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TIẾP
Luận án đã trình bày các kết quả nghiên cứu về đặc tính hóa
luồng lưu lượng IP nhằm mục đích xử lý, phân bổ lưu lượng Internet,
bảo vệ an ninh thông tin mạng và chống tấn công mạng diện rộng;
những vấn đề này ngày càng trở nên cấp thiết đối với các nhà cung
cấp dịch vụ mạng do sự phát triển không ngừng các lớp ứng dụng
mới hội tụ trên nền IP. Các đóng góp mới của quá trình nghiên cứu
thể hiện trong luận án như sau:
1). Tổng quát, hệ thống hóa về đặc tính hóa lưu lượng IP và
phát triển, phân loại các đặc tính theo dịch vụ đối với luồng lưu
lượng trong trường hợp của một nhà quản lý, cung cấp dịch vụ viễn
thông cụ thể.
2). Đề xuất áp dụng lý thuyết hệ thống vào bài toán phân bổ
lưu lượngsử dụng kết quả ưu tiên được cung cấp bởi đặc trưng hóa
luồng lưu lượng IP internet tại một nút mạng của nhà quản lý, cung
cấp dịch vụ viễn thông.
3). Hệ thống hóa về giải pháp chống tấn công từ chối dịch vụ
và ngăn chặn sâu Internet trên cơ sở đặc trưng hóa luồng lưu lượng
IP để đề xuất việc xác định giới hạn của mô hình sử dụng Proxy
nhằm mục tiêu bảo đảm an ninh mạng.
4). Đề xuất giải pháp sử dụng tài nguyên thời gian thực (nhà
quản lý, cung cấp dịch vụ viễn thông và các phần mềm mã nguồn
mở) để thực hiện minh chứng tính đúng đắn về mặt lý luận.
22

Nghiên cứu sinh đã dùng hệ thống mô phỏng quy mô lớn sử
dụng phương pháp tương tự như Zou và đồng nghiệp, với thuật toán

1.1. Giới thiệu
Nghiên cứu sinh dựa trên cơ sở lý thuyết và sử dụng các mã
nguồn mở có uy tín để tiến hành điều tra mạng viễn thông tại đơn vị
cung cấp dịch vụ nhằm tổng hợp các số liệu lưu lượng và đóng góp
vào sự hiểu biết về hành vi mạng ở quy mô lớn. Những kết quả
nghiên cứu tổng quát về đặc tính hóa lưu lượng IP sẽ được nghiên
cứu sinh trình bày theo kiểu một tài liệu hướng dẫn đối với các nhà
quản lý mạng, cung cấp dịch vụ mạng trong chương này.
1.2. Lưu lượng và các đặc tính phân loại
Có nhiều loại lưu lượng khác nhau trên mạng và có thể phân
các ứng dụng thành loại theo thời gian thực và không theo thời gian
thực. Các loại lưu lượng ứng với ứng dụng khác nhau, ngay cả khi
chúng có cùng điểm xuất phát, cùng điểm đến và cùng cách thức
truyền thông, thì đã có các đặc tính ngẫu nhiên và nhu cầu về QoS
(các tham số thể hiện băng thông, tỷ lệ mất gói, v.v…) khác nhau và
có thể phân tích các yêu cầu về QoS dựa trên mức thời gian và mức
truyền dịch vụ (mức gói, cuộc gọi) khác nhau. Mô hình lưu lượng đối
với các dịch vụ cơ bản dựa trên lý thuyết Erlang, gồm hai tham số
chính (tốc độ xuất hiện cuộc gọi và thời gian chiếm giữ trung bình)
để xác định lưu lượng ra ứng với thời gian sử dụng tài nguyên.
Nếu phân bố Poisson phù hợp với thống kê xuất hiện các cuộc
gọi thì đối với hệ thống có N kênh, tổng lưu lượng A, thời gian giữ
cuộc trung bình τ, độ trễ lớn nhất cho phép trước khi cuộc gọi mới bị
khóa T. Xác suất không có server (hệ thống bận, cuộc gọi mới bị

4

khóa) GOS theo mô hình Erlang B khi không có cơ chế trễ T và xác
suất không có server khi có cơ trễ lớn hơn T tuân theo mô hình
Erlang C :

(1.1)
Để hiểu cơ chế hoạt động phức tạp của mạng, đặc tính hoá lưu
lượng được xem như một hàm nhiều tham số. Thống kê lưu lượng
phục vụ mục đích đặc tính hoá được nghiên cứu sinh sử dụng ở đây
là phương pháp gộp chi tiết (Aggregation granularity, AG); phân tích
hệ thống trên cơ sở chia hệ thành các phân hệ khác nhau để hiểu biết
chi tiết hơn và tổng hợp đặc tính của các phân hệ để có những đặc
tính của toàn bộ hệ đó.
1.3. Về các phần mềm mã nguồn mở sử dụng
Nghiên cứu sinh chọn hai phần mềm mã nguồn mở vào việc
triển khai giám sát, phân tích đặc tính lưu lượng tại mạng viễn thông
Thừa thiên Huế.
- Ứng dụng phần mềm NTOP để quan sát, giám sát, thống kê
một khu vực (nhóm người dùng) về tỉ lệ sử dụng các loại giao thức
mạng (tập trung ở lớp 4) để đề xuất về việc thiết lập các QoS cho
từng loại giao thức để tăng chất lượng phục vụ người dùng.

21

định để tìm hiểu khả năng mở rộng tính đối kháng của mạng Proxy
trước các cuộc tấn công DoS.
4.3.3 Nhận xét về các điều kiện giới hạn
Sử dụng mô phỏng mạng trực tuyến có quy mô lớn, chi tiết
(MicroGrid) để nghiên cứu các mạng Proxy với các ứng dụng và các
cuộc tấn công DoS thực cho thấy rằng các mạng Proxy có thể cung
cấp hiệu quả với khả năng mở rộng tính phục hồi trước các cuộc tấn
công DoS mức cơ sở hạ tầng và bảo vệ ứng dụng.
4.4 Ngăn chặn sâu Internet và các điều kiện
4.4.1. Mô hình lây truyền và phát hiện tín hiệu virus/sâu
Một vài mô hình toán học được sử dụng để mô tả sự lây truyền

phỏng được tiến hành theo các tình huống giả định và thấy rằng:
Trước các kịch bản tấn công quy mô lớn, cường độ thay đổi và phân
tán trong vùng tài nguyên mạng lớn thì một mạng Proxy có thể chống
lại một cách có hiệu quả các cuộc tấn công DoS. Và, trước các kịch
bản về tỷ lệ không đổi giữa cường độ tấn công và kích thước mạng
Proxy thì rõ ràng, kích thước mạng Proxy càng lớn, khả năng chống
lại cường độ tấn công DoS càng cao. Các kết quả này khẳng định
rằng mạng Proxy có hiệu quả và có thể mở rộng khả năng phục hồi
trước những cuộc tấn công DoS
4.3.2 Hệ thống phòng thủ DoS dựa trên mạng Proxy
Dùng một mạng mô phỏng ở quy mô lớn (dùng MicroGrid mô
phỏng mức gói trực tuyến) , để nghiên cứu hiệu suất ứng dụng cung
cấp bởi mạng Proxy trước các cuộc tấn công DoS . Sau đó sử dụng
các ứng dụng, chương trình tấn công thực để đưa những thí nghiệm
đó vào trong môi trường mạng đã mô phỏng.
Bộ công cụ để mô phỏng hành vi tấn công DDoS thông dụng
sử dụng Trinoo có sẵn trên Internet . Nghiên cứu sinh đã thực hiện ba
bộ thí nghiệm . Đầu tiên, nghiên cứu ảnh hưởng của các cuộc tấn
công DoS lên ứng dụng không được bảo vệ bởi mạng Proxy (hiệu
suất ứng dụng khi có và không có các cuộc tấn công DoS). Thứ hai,
nghiên cứu hiệu suất ứng dụng trước hai cuộc tấn công DoS quy mô
lớn kiểu dàn trải và tập trung để tìm hiểu khả năng chống lại trước
các cuộc tấn công này của mạng Proxy. Thứ ba, nghiên cứu hiệu suất
chống lại các cuộc tấn công của một mạng Proxy có kích thước thay
đổi khi tỷ lệ giữa cường độ tấn công và kích thước mạng Proxy cố

5

- Ứng dụng phần mềm mã nguồn mở Observium để quan sát,
giám sát và thống kê lưu lượng tổng quát, chủ yếu lưu lượng lớp

2.1. Giới thiệu chương
Trong chương này, nghiên cứu sinh trình bày đặc tính lưu
lượng IP Internet của các dịch vụ khác nhau (tương tác đa phương tiện
thời gian thực, …) đối với môi trường mạng (Web và Client-Server, di
động và mạng không dây, …) khác nhau, giới hạn xét ở đây là QoS và
điển hình là tắc nghẽn. Ngoài ra, chương này cũng đề xuất và phân tích
các điều kiện giới hạn trong việc phân bổ lưu lượng dựa theo QoS và
ngưỡng tắc nghẽn.
2.2. Đặc tính lưu lượng của những mô hình khác nhau
2.2.1. Tương tác đa phương tiện và lưu lượng thời gian thực
Những kết quả về lưu lượng thời gian thực và đa phương tiện thu
được từ các mã hóa-giả mã tốc độ Bit như lưu lượng âm thanh PCM và
hình ảnh MPEG-1 được mô tả một cách bao quát bởi nhiều kĩ thuật, mô
hình trong các phân tích cấu trúc tự tương quan của bộ đếm cơ bản và
các quá trình điểm. Sự phát sinh của những dịch vụ tương tác mới trong
môi trường đa phương tiện và Internet di động dẫn đến sự xuất hiện của
các phương pháp mô tả mới như kĩ thuật mã hóa-giải mã thích ứng như
bộ mã hóa-giải mã đa tốc độ thích ứng UMTS (AMR) và MPEG-4.
Trước hết, các đòi hỏi về chất lượng dịch vụ của những dịch vụ
nổi trội nhất (hội nghị truyền hình và phương tiện di động) được trình
bày làm cơ sở để thông qua nghiên cứu, thu thập số liệu , nghiên cứu
sinh đề xuất khuyến nghị và khả năng cho phép đối với QoS của các
dịch vụ Audio và Video.
2.2.2. Đối với l
ưu lượng Web và Client-Server19

4.2.1 Giới thiệu về tấn công mạng

Nhà quản trị mạng sử dụng tập các tham số đặc trưng hóa
luồng lưu lượng IP Internet (Chương 1 và 2) để cung cấp QoS dịch
vụ theo các mức ưu tiên khác nhau (Chương 3) và đảm bảo an ninh
cho toàn hệ thống mạng trong khuôn khổ phát triển theo “ba bất kỳ”,
(three any - any time, any where, any form” trước những hành động
xâm nhập mang tính “tặc thông tin” , “triệt hạ tầng mạng” (hay “tấn
công” gọi chung). Các cuộc tấn công hiện nay thường được phân tán
ở mức độ cao và phối hợp tốt (tấn công từ chối dịch vụ phân tán
(DDoS), sâu Internet chẳng hạn) gây những ảnh hưởng xã hội
nghiêm trọng về thông tin, làm gián đoạn dịch vụ quan trọng, tổn thất
lớn về kinh tế, v.v và trở thành một trong các tội phạm nghiêm
trọng bậc nhất. Bảo vệ hạ tầng mạng trước các cuộc tấn công đã trở
thành một vấn đề quan trọng cần được khẩn trương giải quyết.
Trong chương này, nghiên cứu sinh trình bày các kết quả
nghiên cứu về phát hiện, đối phó trước các cuộc tấn công mạng kiểu
phân tán (DDoS và sâu Internet) và trình bày đề xuất phản ứng chống
lại các cuộc tấn công mạng đó bằng phương pháp phân bổ lưu lượng
IP sử dụng điều kiện giới hạn Proxy. Nghiên cứu sinh cũng sử dụng
các công cụ mô phỏng trực tuyến để xác định khả năng chống lại
những của cuộc tấn công theo lý thuyết và trong thực tế (một mạng
mô phỏng với một kích cỡ có thể so sánh được với mạng ISP).
4.2 Một số vấn đề liên quan đến tấn công mạng

7

Do sự xuất hiện liên tục các ứng dụng, dịch vụ mới, kể cả công
nghệ truy cập mạng băng rộng nên mô tả lưu lượng truy cập Internet trở
thành vấn đề quan trọng đối với cả nhà cung cấp dịch vụ Internet (ISPs)
và các nhà khai thác mạng truy cập. Sự thay đổi nhanh về các đặc tính
lưu lượng đòi hỏi các phép đo lưu lượng một cách thường xuyên và

, , ,
n
in
S
S
H R R T W

  
và ra
 


1
, , ,
n
out
S
S
H R R T W

  
thường được dùng với độ phân giải
thông lượng ΔR. Những nghiên cứu thực nghiệm đã chỉ ra rằng việc so
sánh hoạt động tốt cho những khoảng thời gian ⌈Rmax/ΔR +1⌉≃ 20
đối với n ≥ 600.
Hình 2-3 cho thấy những biểu đồ thông lượng từ các phép đo với
ứng dụng truyền hình hội nghị theo những mức nhiễu loạn lưu lượng
truyền qua khác nhau và các hiện tượng tắc nghẽn cục bộ khác nhau

Hình 2-3.Biểu đồ thông lượng từ các phép đo đối với ứng dụng

.
- Hệ thống điều khiển ổn định: Chọn các tham số cấu hình

và

đảm bảo

+ 2

< 4

0
và thực hiện mô phỏng với

và

khác nhau
để đáp ứng mức độ của hệ thống điều khiển.
3.5.3 Phân tích đặc điểm của hệ thống theo mô hình lý thuyết
Nghiên cứu sinh đưa ra một số phân tích với hệ thống điều
khiển tương thích, các tham số cấu hình được lựa chọn như trên, theo
các đặc tính ổn định và đặc tính cân bằng.
3.5.4. Kết quả mô phỏng tại Viễn thông Thừa Thiên Huế
Với mô hình mô phỏng và lựa chọn các tham số cấu hình được
trình bày trong phần trên, thực hiện mô phỏng hệ thống trong khoảng
thời gian t = 1÷1500s và ghi lại kết quả mô phỏng trong tất cả các
trường hợp.
Nghiên cứu sinh trình bày các kết quả mô phỏng hệ thống điều
khiển tương thích trong trường hợp thiết lập các tham số cấu hình 
và  khác nhau .

các đặc tính ổn định, đặc tính cân bằng của hệ thống điều khiển cần

9

CHƯƠNG 3 CÁC ĐIỀU KIỆN GIỚI HẠN VỀ PHÂN BỐ
LUỒNG LƯU LƯỢNG IP INTERNET
THEO CHẤT LƯỢNG DỊCH VỤ (QoS) TƯƠNG THÍCH
3.1 Giới thiệu chương
Trong chương này, phương pháp điều khiển tương thích xác
lập trên quan điểm của lý thuyết truyền thông nhằm mục tiêu phân bố
lưu lượng, đảm bảo chất lượng dịch vụ dựa vào kiến trúc middleware
được trình bày sau khi đôi nét về chất lượng dịch vụ của mạng (QoS)
tương thích được trình bày.
Tiếp đến, phương pháp giải quyết cơ chế ưu tiên lưu lượng ưu
tiên trong mạng hàng đợi ở tại một node mạng nhằm vào tính tương
thích của chất lượng dịch vụ trên cơ sở của phương pháp điều khiển
hiện đại được trình bày.
3.2 Về tương thích QoS trong môi trường Internet
Nghiên cứu sinh sử dụng một cơ chế gọi là QoSSpace để tạo ra
một QoSReport về các khả năng giữa QoS của mạng và giá trị trạng
thái luồng của ứng dụng qua “giá trị trạng thái tương ứng” (SCV) của
mỗi luồng.
Quyết định phân bố lưu lượng hay trạng thái luồng nào được sử
dụng phụ thuộc vào QoS của mạng, khả năng của ứng dụng và các
tham chiếu của người sử dụng do cơ chế tương thích ứng dụng
(Application Adaptation Function - AAF) cung cấp thông tin tham
chiếu (người sử dụng, trạng thái luồng của ứng dụng và QoSReport)
và chọn tự động trạng thái luồng phù hợp nhất khi người sử dụng yêu
cầu “sử dụng dịch vụ giá thấp nhất” ở thời điểm khởi động
3.3 Điều kiện để tương thích QoS đối với Middleware

= 0,…, i
K
= 0). Ta có :

1
1
1
1
( , , )
( , )
k
k
i
K
k
K
i
k
k
j
A
p i i G
min j S






(3.24)

  
   
 
(3.29)
Từ đó, tính được xác suất trạng thái của mạng với số nút mạng
K, số phần tử lưu lượng (trung bình) trong mạng N và số server S
k
tại
nút k như sau:
1
1
1
1
1
1
1
1
( , ) ( / /1)
( , , ) ( , )
( , )
( , ) ( / / )
!
k
k
k
k
K
i
k
k

 

 
 

 


 

 






(3.30)
với A
k
=

k
/

k
là tải lưu lượng tương đối tại nút k, G(N,K) là hệ số
chuẩn hóa xác suất.

14

trong đó,
1 2
[ ]
K
   

là vector tốc độ trung bình của các
luồng lưu lượng đến từ bên ngoài,
1 2
[ ]
K
   

là vector tốc
độ trung bình của lưu lượng tổng đến mỗi nút mạng, Q = {p
ij
}
(K x K)
là
ma trận định tuyến xác suất có tổng số hạng trên hàng nhỏ hơn hoặc
bằng một, trong đó ít nhất có một hàng có tổng nhỏ hơn một.
Phương trình cân bằng xác suất chuyển trạng thái trong toàn
mạng:
 
1 1
1 1
1 , 1 1
1 1 1
( , ) ( , , , , , , ) ( , , 1, , )
( 1, ) ( , , 1, , ) ( 1, ) ( , , 1, 1,




 
     
 
1
0
1
1 1
1
M k
i
i
x k x k
x k x k u k c
k k


 
     
 

(3.7)
với, x(k) là tổng số các yêu cầu tài nguyên có trong hàng đợi được
thực hiện bởi tất cả các tác vụ ứng dụng ở thời điểm k, u(k) là tốc độ
yêu cầu được điều khiển bởi bộ điều khiển (công việc điều khiển
tương thích) và M(k) là tổng số các tác vụ của ứng dụng hiện hành, c
là tốc độ cấp phép yêu cầu.
3.3.4. Các điều kiện về mô hình điều khiển tác vụ

(k −1) −
x(k −1)]} (3.8)
với, α và β là các hệ số cấu hình của tác vụ tương thích.
3.3.5. Ứng dụng mô hình điều khiển tác vụ trong kiến trúc
middleware
Nghiên cứu sinh đề xuất sử dụng mô hình điều khiển tác vụ
theo cơ chế phân cấp để tương thích QoS trong kiến trúc middleware
cho thấy middleware có khả năng tương thích QoS cả trong trường
hợp khi có những thay đổi nhỏ và thay đổi lớn về độ sẵn sàng của tài
nguyên.
Phương trình mô tả tổng lượng yêu cầu tài nguyên trong toàn
bộ hệ thống như sau :
s(k+1) =

a
max
{s(k) + l(k)
C
(k) + S
N
(k) - a}, (3.9)
trong đó a
max
là lượng yêu cầu tài nguyên được cấp phép cực đại của
hệ thống đầu cuối.
Phương trình mô tả luật điều khiển PID cho mỗi tác vụ tương
thích như sau:




D
KT
T


là các hệ số tỷ lệ.
3.4 Giới hạn phân bổ lưu lượng ưu tiên trong mạng hàng đợi

13

3.4.1 Mô hình hóa cơ chế ưu tiên lưu lượng trong mạng hàng đợi
Minh họa quản lý hàng đợi lưu lượng theo lý thuyết điều khiển
như trong hình 3.9.

ˆ
B

ˆ
C
ˆ
x
ˆ
x

K
ˆ
A
( )
y t
( )

x t Ax t Bu t
y t Cx t
u t Kx t

 



  


(3.12)
trong đó,
q 1
ˆ
( )y t



,
1
ˆ
( )
p
u t



,
1

m x p
B


,
ˆ
q m
C



là các ma trận
tham số cần xác định theo tham số hệ thống {A, B, C}, có thể gồm