MỞ ĐẦU
Phân bổ lưu lượng Internet là vấn đề ngày càng trở nên cấp thiết đối với các nhà cung cấp dịch vụ
mạng do sự phát triển không ngừng của các lớp ứng dụng mới hội tụ trên nền IP dẫn đến lưu lượng của các
dịch vụ viễn thông luôn tăng lên có tính đột biến trong khi sự phát triển mở rộng băng thông bị hạn chế bởi
nhiều lý do khác nhau.
Đa số công trình nghiên cứu trước đây liên quan đến đặc tính hóa luồng lưu lượng mới chỉ đưa ra
những đề xuất cải tiến đối với các lớp kiến trúc riêng rẽ, kèm theo các trang thiết bị cần thiết theo nhu cầu
“thời gian thực”. Điều đó đòi hỏi những đề xuất mới đối với nhà quản lý cung cấp dịch vụ chưa có điều kiện
trang bị những thiết bị chuyên dụng trong khi phải đảm bảo sự hoạt động ổn định về quản trị, cung cấp dịch
vụ.
Giải pháp dựa trên những đặc tính của luồng lưu lượng IP Internet để định danh lưu lượng “phi truyền
thống” phục vụ an ninh mạng và giải pháp xử lý, phân bổ lưu lượng IP Internet sẽ được minh chứng là có
khả năng hỗ trợ chất lượng dịch vụ đối với các ứng dụng thời gian thực trong môi trường hỗn tạp. Để giải
quyết vấn đề nắm bắt, phân tích dữ liệu theo thời gian thực phục vụ hỗ trợ việc phân bổ lưu lượng IP Internet
theo chất lượng dịch vụ tương thích và phục vụ nhiệm vụ bảo đảm an ninh mạng, chống lại những cuộc “tấn
công mạng”, cần khai thác các phần mềm mã nguồn mở và sử dụng thời gian thực hạ tầng cơ sở mạng của
một nhà quản lý, cung cấp dịch vụ cụ thể có tính đại diện.
-1-
Luận án tập trung vào nghiên cứu các vấn đề sau:
1). Nghiên cứu tổng quát về đặc tính hoá lưu lượng của IP Internet và mã nguồn mở liên quan và các
yêu cầu liên quan tới việc đảm bảo QoS.
2). Nghiên cứu phương pháp điều khiển có các mức ưu tiên tương ứng với chất lượng dịch vụ đòi hỏi
bởi các lớp dịch vụ khác nhau trong môi trường truyền thông đa chiều, đa dịch vụ để đề xuất chiến lược định
tuyến theo thời gian thực phù hợp.
3). Nghiên cứu các giải pháp chống tấn công mạng nhằm bảo đảm an ninh mạng cũng như duy trì chất
lượng dịch vụ.
4). Dùng dữ liệu của Viễn thông Thừa Thiên Huế, nhà cung cấp dịch vụ mạng viễn thông thời gian
thực để tiến hành thu thập dữ liệu, phân tích, thử nghiệm các kết quả nghiên cứu do tính đại diện về môi
trường tích hợp các loại hình dịch vụ và “an toàn mạng”, “an ninh thông tin”.
Các kết quả nghiên cứu về lý luận và thực tiễn đã nêu ở trên được trình bày trong 4 chương của luận
án với các tiêu đề như sau: Chương 1: “Tổng quát về đặc tính hóa lưu lượng IP”. Chương 2: “Đặc tính

A
N!
GOS
A
k!
=
∑
;
-4-
Erlang C:
(N-A)T
N
τ
k
N-1
N
k=0
A
GOS= e
A A
A +N! 1-
N k!
 
 ÷
 
∑
(1.1)
Để hiểu cơ chế hoạt động phức tạp của mạng, đặc tính hoá lưu lượng được xem như một hàm nhiều
tham số. Thống kê lưu lượng phục vụ mục đích đặc tính hoá được nghiên cứu sinh sử dụng ở đây là phương
pháp gộp chi tiết (Aggregation granularity, AG); phân tích hệ thống trên cơ sở chia hệ thành các phân hệ

Trong chương này, nghiên cứu sinh trình bày đặc tính lưu lượng IP Internet của các dịch vụ khác nhau
(tương tác đa phương tiện thời gian thực, …) đối với môi trường mạng (Web và Client-Server, di động và
mạng không dây, …) khác nhau, giới hạn xét ở đây là QoS và điển hình là tắc nghẽn. Ngoài ra, chương này
cũng đề xuất và phân tích các điều kiện giới hạn trong việc phân bổ lưu lượng dựa theo QoS và ngưỡng tắc
nghẽn.
2.2.Đặc tính lưu lượng của những mô hình khác nhau
2.2.1. Tương tác đa phương tiện và lưu lượng thời gian thực
Những kết quả về lưu lượng thời gian thực và đa phương tiện thu được từ các mã hóa-giả mã tốc độ Bit
như lưu lượng âm thanh PCM và hình ảnh MPEG-1 được mô tả một cách bao quát bởi nhiều kĩ thuật, mô hình
trong các phân tích cấu trúc tự tương quan của bộ đếm cơ bản và các quá trình điểm. Sự phát sinh của những
dịch vụ tương tác mới trong môi trường đa phương tiện và Internet di động dẫn đến sự xuất hiện của các phương
pháp mô tả mới như kĩ thuật mã hóa-giải mã thích ứng như bộ mã hóa-giải mã đa tốc độ thích ứng UMTS
(AMR) và MPEG-4.
-7-
Trước hết, các đòi hỏi về chất lượng dịch vụ của những dịch vụ nổi trội nhất (hội nghị truyền hình và
phương tiện di động) được trình bày làm cơ sở để thông qua nghiên cứu, thu thập số liệu , nghiên cứu sinh đề
xuất khuyến nghị và khả năng cho phép đối với QoS của các dịch vụ Audio và Video.
2.2.2. Đối với l
ưu lượng Web và Client-Server
Do sự xuất hiện liên tục các ứng dụng, dịch vụ mới, kể cả công nghệ truy cập mạng băng rộng nên mô tả
lưu lượng truy cập Internet trở thành vấn đề quan trọng đối với cả nhà cung cấp dịch vụ Internet (ISPs) và các
nhà khai thác mạng truy cập. Sự thay đổi nhanh về các đặc tính lưu lượng đòi hỏi các phép đo lưu lượng một
cách thường xuyên và phải đáp ứng tiêu chí kỹ thuật; các phép đo lưu lượng thực hiện ở các mức phân giải khác
nhau phù hợp với nhiệm vụ đã chọn làm mục tiêu và các phép đo được thực hiện trên nhiều loại khác nhau của
đối tượng.
Nghiên cứu sinh đã thực hiện các phép đo tại hai ISP khác biệt ký hiệu là ISP1 và ISP2 với một mạng
CATV làm ISP1 và ADSL làm ISP2 để có được những kết luận cụ thể.
2.2.3. Đối với di động trong môi trường mạng không dây
Nghiên cứu sinh trình bày về các phép đo, mô hình và phân tích các luồng lưu lượng trong mạng GPRS.
Trong đó, gồm “Các phép biến đổi Radon và công cụ tương tự” liên quan đến những đặc tính Up-link (mã hóa

S
S
H R R T W
=
∆ ∆ ∆
thường
được dùng với độ phân giải thông lượng ΔR. Những nghiên cứu thực nghiệm đã chỉ ra rằng việc so sánh hoạt
động tốt cho những khoảng thời gian ⌈Rmax/ΔR +1⌉≃ 20 đối với n ≥ 600.
Hình 2-3 cho thấy những biểu đồ thông lượng từ các phép đo với ứng dụng truyền hình hội nghị theo
những mức nhiễu loạn lưu lượng truyền qua khác nhau và các hiện tượng tắc nghẽn cục bộ khác nhau
-9-
Hình 2-3.Biểu đồ thông lượng từ các phép đo đối với ứng dụng truyền hình hội nghị
2.3.2. Định hình và phân chia giới hạn tắc nghẽn
Nghiên cứu sinh trình bày những vấn đề liên quan đến định hình và phân chia giới hạn tắc nghẽn.
2.4. Kết luận chương
Các kết quả về đặc tính hóa lưu lượng trình bày trong chương 1 và các phân tích ở đây được dùng làm
cơ sở để bàn về chất lượng dịch vụ QoS tương thích trình bày trong chương 3 và về bảo vệ chống tấn công,
an ninh mạng trình bày trong chương 4.
-10-
CHƯƠNG 3: CÁC ĐIỀU KIỆN GIỚI HẠN VỀ PHÂN BỐ LUỒNG LƯU LƯỢNG IP
INTERNET
THEO CHẤT LƯỢNG DỊCH VỤ (QoS) TƯƠNG THÍCH
3.1 Giới thiệu chương
Chương này trình bày phương pháp điều khiển tương thích xác lập trên quan điểm của lý thuyết truyền
thông nhằm mục tiêu phân bố lưu lượng, đảm bảo chất lượng dịch vụ dựa vào kiến trúc middleware được
trình bày sau khi đôi nét về chất lượng dịch vụ của mạng (QoS) tương thích. Tiếp đến trình bày phương pháp
giải quyết cơ chế ưu tiên lưu lượng ưu tiên trong mạng hàng đợi ở tại một node mạng nhằm vào tính tương
thích của chất lượng dịch vụ trên cơ sở của phương pháp điều khiển hiện đại .
3.2 Về tương thích QoS trong môi trường Internet
Nghiên cứu sinh sử dụng một cơ chế gọi là QoSSpace để tạo ra một QoSReport về các khả năng giữa

(k) của tác vụ tương thích T
i
thỏa mãn x(k) được mô tả bởi phương
trình sau:
u
i
(k) = u
i
(k −1) + α[x
c
(k) − x(k)]+ β {[x
c
(k) − x(k)]− [x
c
(k −1) − x(k −1)]} (3.8)
với, α và β là các hệ số cấu hình của tác vụ tương thích.
3.3.5. Ứng dụng mô hình điều khiển tác vụ trong kiến trúc middleware
Nghiên cứu sinh đề xuất sử dụng mô hình điều khiển tác vụ theo cơ chế phân cấp để tương thích QoS
trong kiến trúc middleware cho thấy middleware có khả năng tương thích QoS cả trong trường hợp khi có
những thay đổi nhỏ và thay đổi lớn về độ sẵn sàng của tài nguyên.
Phương trình mô tả tổng lượng yêu cầu tài nguyên trong toàn bộ hệ thống như sau :
s(k+1) =
Ψ
a
max
{s(k) + l(k)
C
(k) + S
N
(k) - a}, (3.9)

=
là các hệ số tỷ lệ.
3.4 Giới hạn phân bổ lưu lượng ưu tiên trong mạng hàng đợi
3.4.1 Mô hình hóa cơ chế ưu tiên lưu lượng trong mạng hàng đợi
Minh họa quản lý hàng đợi lưu lượng theo lý thuyết điều khiển như trong hình 3.9.

Hình 3-9. Mô hình bài toán phân
bố lưu lượng hàng đợi
-15-
Với phương pháp tuyến tính hóa, hệ phương trình toán học mô tả động học của bài toán quản lý hàng
đợi:
- Hệ thống hàng đợi hở:
ˆ
ˆ
ˆ ˆ ˆ
( ) ( ) ( )
ˆ
ˆ ˆ
( ) ( )
x t Ax t Bu t
y t Cx t

= +

=

&
(3.11)
- Hệ thống hàng đợi kín:
ˆ

1
ˆ
( )
p
R
u t
×
∈
,
1
ˆ
( )
m
R
x t
×
∈
, m ≥ min(p, q);
p n
K R
×
∈
và
m p
M R
×
∈
là các tổ hợp
tuyến tính của tín hiệu kích thích và đáp ứng;
ˆ

( , ) ( , , , , , , ) ( , , 1, , )
( 1, ) ( , , 1, , ) ( 1, ) ( , , 1, 1, )
K K
i k k k k l K i k l K
k k
K K K
k k k k l K k K k k k kl k l K
k k l
min i S p i i i i p i i i i
min i S p i i i i p min i S p p i i i i
λ µ λ
µ µ
= =
+
= = =
 
+ = − +
 
+ + + + + −
∑ ∑
∑ ∑ ∑
(3.21)
b/ Giải quyết bài toán mạng hàng đợi kín
Phương trình cân bằng xác suất chuyển trạng thái trong toàn mạng là:
1 1
1 1 1
( , ) ( , , , , , , ) ( 1, ) ( , , 1, 1, )
K K K
k k k k l K k k k kl k l K
k k l

khác nhau đối với hệ thống điều khiển không ổn định và hệ thống điều khiển ổn định.
3.5.3 Phân tích đặc điểm của hệ thống theo mô hình lý thuyết
-18-
Nghiên cứu sinh đưa ra một số phân tích với hệ thống điều khiển tương thích, các tham số cấu hình
được lựa chọn như trên, theo các đặc tính ổn định và đặc tính cân bằng.
3.5.4. Kết quả mô phỏng tại Viễn thông Thừa Thiên Huế
Nghiên cứu sinh trình bày các kết quả mô phỏng hệ thống điều khiển tương thích trong trường hợp
thiết lập các tham số cấu hình α và β khác nhau .
3.6 Kết luận chương
Những kết quả nghiên cứu liên quan đến sử dụng kết quả về đặc trưng hóa luồng lưu lượng (trong
chương 1 và chương 2) để xem xét, phân bổ lưu lượng tương thích QoS phục vụ cho nhiệm vụ đảm bảo QoS
theo nghĩa thích nghi trên cơ sở áp dụng lý thuyết điều khiển đã được trình bày.
CHƯƠNG 4: NGHIÊN CỨU VỀ CÁC GIỚI HẠN TRONG CHỐNG TẤN CÔNG
TỪ CHỐI DỊCH VỤ (DoS) VÀ SÂU INTERNET
4.1 Giới thiệu chương
Nhà quản trị mạng sử dụng tập các tham số đặc trưng hóa luồng lưu lượng IP Internet (Chương 1 và 2)
để cung cấp QoS dịch vụ theo các mức ưu tiên khác nhau (Chương 3) và đảm bảo an ninh cho toàn hệ thống
mạng trong khuôn khổ phát triển theo “ba bất kỳ”, (three any: any time, any where, any form” trước những
hành động xâm nhập mang tính “tặc thông tin” , “triệt hạ tầng mạng” (hay “tấn công” gọi chung). Các cuộc
tấn công hiện nay thường được phân tán ở mức độ cao và phối hợp tốt (tấn công từ chối dịch vụ phân tán
(DDoS), sâu Internet chẳng hạn) gây những ảnh hưởng xã hội nghiêm trọng về thông tin, làm gián đoạn dịch
-19-
vụ quan trọng, tổn thất lớn về kinh tế, v.v và trở thành một trong các tội phạm nghiêm trọng bậc nhất. Bảo
vệ hạ tầng mạng trước các cuộc tấn công đã trở thành một vấn đề quan trọng cần được khẩn trương giải
quyết.
Trong chương này, nghiên cứu sinh trình bày các kết quả nghiên cứu về phát hiện, đối phó trước các
cuộc tấn công mạng kiểu phân tán (DDoS và sâu Internet) và trình bày đề xuất phản ứng chống lại các cuộc
tấn công mạng đó bằng phương pháp phân bổ lưu lượng IP sử dụng điều kiện giới hạn Proxy. Nghiên cứu
sinh cũng sử dụng các công cụ mô phỏng trực tuyến để xác định khả năng chống lại những của cuộc tấn công
theo lý thuyết và trong thực tế (một mạng mô phỏng với một kích cỡ có thể so sánh được với mạng ISP).

của mạng Proxy trước các cuộc tấn công DoS.
4.3.3 Nhận xét về các điều kiện giới hạn
Sử dụng mô phỏng mạng trực tuyến có quy mô lớn, chi tiết (MicroGrid) để nghiên cứu các mạng
Proxy với các ứng dụng và các cuộc tấn công DoS thực cho thấy rằng các mạng Proxy có thể cung cấp hiệu
quả với khả năng mở rộng tính phục hồi trước các cuộc tấn công DoS mức cơ sở hạ tầng và bảo vệ ứng dụng.
4.4 Ngăn chặn sâu Internet và các điều kiện
4.4.1. Mô hình lây truyền và phát hiện tín hiệu virus/sâu
Một vài mô hình toán học được sử dụng để mô tả sự lây truyền phân tán sâu. Các mô hình lây truyền
virus :
Mô hình Staniford: Mô hình định lượng lan truyền sâu do Staniford cùng cộng sự đề xuất để xác định
tỷ lệ máy đã bị nhiễm a.
Mô hình Kephart và White: Trên cơ sở sử dụng hệ thống kiểu nút trong đồ thị phương trình vi phân mô
tả sự phát triển tỷ lệ máy i(t) bị lây nhiễm theo thời gian .
Thuật toán vết chân (Footprint) Rabin được sử dụng tại mỗi nút mạng để tính các khối nội dung trong
các phần tải của gói tin.
4.4.2. Phòng chống và ngăn chặn sâu Internet và các điều kiện
-22-
Nghiên cứu sinh đã dùng hệ thống mô phỏng quy mô lớn với thuật toán Rabin để tính số lượng sâu
phục vụ thăm dò. Mạng mô phỏng thiết lập với số lượng lớn máy có nguy cơ bị tấn công và mạng cục bộ.
Chọn một nút của các mạng cục bộ để thiết lập nút của mạng phòng thủ kết hợp.
Kết quả mô phỏng cho thấy lan truyền sâu khi các nút ngăn chặn độc lập và kết hợp trong trường hợp
các nút riêng lẻ thu thập 100 tín hiệu sâu cùng mẫu trước khi nó lọc gói tin chỉ ra rằng với các nút ngăn chặn
độc lập, hành vi lan truyền sâu không bị hạn chế (so sánh với không có bất kỳ việc ngăn chặn nào) nhưng,
đối với phòng thủ trong mạng kết hợp, các hành vi lan truyền phần lớn bị hạn chế.
4.5 Kết luận chương
Trong chương này, nghiên cứu sinh đã nghiên cứu khả năng chống lại các cuộc tấn công của một
mạng Proxy, đồng thời nghiên cứu các đặc tính của hệ thống phòng thủ DoS dựa trên mạng Proxy trước
những cuộc tấn công này để nắm chắc rằng khi nào tính đối kháng là có thể sử dụng, xem xét khả năng một
mạng Proxy có thể chống lại những cuộc tấn công như thế nào và thiết kế một hệ thống dựa trên mạng Proxy
để việc phòng thủ một cách hiệu quả.

ràng buộc đồng thời theo không gian (trong cả miền tần số, miền thời gian đối với lọc tương thích, đối với
điều khiển công suất, và phân bổ tần số thông qua điều chế tương thích, v.v…) nhằm vào nhiệm vụ đảm bảo
cung cấp chất lượng dịch vụ (QoS) của các công nghệ truyền thông thế hệ tiếp theo trong môi trường phân
tán diện rộng.
3.) Nghiên cứu áp dụng quyết định mềm (Soft decision) vào nhiệm vụ bảo đảm an toàn thông tin và an
ninh mạng để thu được những giới hạn ràng buộc làm cơ sở lý luận đề xuất mô hình bảo vệ thích hợp.
-25-