-1MỞ ĐẦU
Phân bổ lưu lượng Internet là vấn đề ngày càng trở nên cấp
thiết đối với các nhà cung cấp dịch vụ mạng do sự phát triển không
ngừng của các lớp ứng dụng mới hội tụ trên nền IP dẫn đến lưu lượng
của các dịch vụ viễn thông luôn tăng lên có tính đột biến trong khi sự
phát triển mở rộng băng thông bị hạn chế bởi nhiều lý do khác nhau.
Đa số công trình nghiên cứu trước đây liên quan đến đặc tính
hóa luồng lưu lượng mới chỉ đưa ra những đề xuất cải tiến đối với
các lớp kiến trúc riêng rẽ, kèm theo các trang thiết bị cần thiết theo
nhu cầu “thời gian thực”. Điều đó đòi hỏi những đề xuất mới đối với
nhà quản lý cung cấp dịch vụ chưa có điều kiện trang bị những thiết
bị chuyên dụng trong khi phải đảm bảo sự hoạt động ổn định về quản
trị, cung cấp dịch vụ.
Giải pháp dựa trên những đặc tính của luồng lưu lượng IP
Internet để định danh lưu lượng “phi truyền thống” phục vụ an ninh
mạng và giải pháp xử lý, phân bổ lưu lượng IP Internet sẽ được minh
chứng là có khả năng hỗ trợ chất lượng dịch vụ đối với các ứng dụng
thời gian thực trong môi trường hỗn tạp. Để giải quyết vấn đề nắm
bắt, phân tích dữ liệu theo thời gian thực phục vụ hỗ trợ việc phân bổ
lưu lượng IP Internet theo chất lượng dịch vụ tương thích và phục vụ
nhiệm vụ bảo đảm an ninh mạng, chống lại những cuộc “tấn công
mạng”, cần khai thác các phần mềm mã nguồn mở và sử dụng thời
gian thực hạ tầng cơ sở mạng của một nhà quản lý, cung cấp dịch vụ
cụ thể có tính đại diện.


-2Luận án tập trung vào nghiên cứu các vấn đề sau:
1). Nghiên cứu tổng quát về đặc tính hoá lưu lượng của IP
Internet và mã nguồn mở liên quan và các yêu cầu liên quan tới việc
đảm bảo QoS.
2). Nghiên cứu phương pháp điều khiển có các mức ưu tiên

1.2. Lưu lượng và các đặc tính phân loại
Có nhiều loại lưu lượng khác nhau trên mạng và có thể phân
các ứng dụng thành loại theo thời gian thực và không theo thời gian
thực. Các loại lưu lượng ứng với ứng dụng khác nhau, ngay cả khi
chúng có cùng điểm xuất phát, cùng điểm đến và cùng cách thức
truyền thông, thì đã có các đặc tính ngẫu nhiên và nhu cầu về QoS
(các tham số thể hiện băng thông, tỷ lệ mất gói, v.v…) khác nhau và
có thể phân tích các yêu cầu về QoS dựa trên mức thời gian và mức
truyền dịch vụ (mức gói, cuộc gọi) khác nhau. Mô hình lưu lượng đối
với các dịch vụ cơ bản dựa trên lý thuyết Erlang, gồm hai tham số
chính (tốc độ xuất hiện cuộc gọi và thời gian chiếm giữ trung bình)
để xác định lưu lượng ra ứng với thời gian sử dụng tài nguyên.
Nếu phân bố Poisson phù hợp với thống kê xuất hiện các cuộc
gọi thì đối với hệ thống có N kênh, tổng lưu lượng A, thời gian giữ
cuộc trung bình τ, độ trễ lớn nhất cho phép trước khi cuộc gọi mới bị
khóa T. Xác suất không có server (hệ thống bận, cuộc gọi mới bị


-4khóa) GOS theo mô hình Erlang B khi không có cơ chế trễ T và xác
suất không có server khi có cơ trễ lớn hơn T tuân theo mô hình
Erlang C :

AN
N!
Erlang B: GOS = N
;
Ak
∑
k=0 k!
AN


-5- Ứng dụng phần mềm mã nguồn mở Observium để quan sát,
giám sát và thống kê lưu lượng tổng quát, chủ yếu lưu lượng lớp
mạng (lớp 3) của mạng cung cấp dịch vụ MAN-E nhằm mục đích
phân tích, đưa ra các đề xuất tối ưu về quy hoạch băng thông đường
truyền, định tuyến cho mạng MAN-E đối với dịch Internet và IPTV.
Bằng cách quan sát chung nhóm người dùng, NTOP có thể
cung cấp cho nhà quản trị mạng về tỉ lệ các loại dịch vụ Internet mà
người dùng sử dụng như thế nào.
Phần mềm Observium được phát triển thành một công cụ dễ
cấu hình dùng giám sát tình trạng hoạt động của mạng máy tính.
Trong ứng dụng Observium thực tế triển khai ở VNPT Thừa Thiên
Huế đã thay đổi các giá trị tham số cho phù hợp với yêu cầu giám sát
và thống kê số liệu .
1.4. Kết luận chương
Luồng lưu lượng IP truyền thông trên môi trường phân tán,
không đồng nhất ở đây là đối tượng nghiên cứu nằm trong khuôn khổ
của bài toán phân tích lưu lượng nói chung nhằm tham số hóa hay
đặc tính hóa để nhận biết lớp ứng dụng của lưu lượng nói riêng. Khi
gắn với chức năng của một nhà quản trị mạng, ngoài việc đảm bảo
QoS, khai thác tiềm năng mạng thì nhiệm vụ đảm bảo an ninh mạng,
an ninh thông tin đòi hỏi về các phát hiện dạng lưu lượng có đặc tính
khác như đặc tính “tấn công” của “tin tặc” và “tin rác”. Điều này đòi
hỏi việc phân tích tín hiệu theo không gian nhiều chiều, áp dụng phân
bố ngẫu nhiên nhiều chiều tương ứng để phát hiện thêm các tham số
trong quá trình đặc tính hóa luồng tín hiệu IP


-6-


thành vấn đề quan trọng đối với cả nhà cung cấp dịch vụ Internet (ISPs)
và các nhà khai thác mạng truy cập. Sự thay đổi nhanh về các đặc tính
lưu lượng đòi hỏi các phép đo lưu lượng một cách thường xuyên và
phải đáp ứng tiêu chí kỹ thuật; các phép đo lưu lượng thực hiện ở các
mức phân giải khác nhau phù hợp với nhiệm vụ đã chọn làm mục tiêu
và các phép đo được thực hiện trên nhiều loại khác nhau của đối tượng.
Nghiên cứu sinh đã thực hiện các phép đo tại hai ISP khác biệt ký
hiệu là ISP1 và ISP2 với một mạng CATV làm ISP1 và ADSL làm ISP2
để có được những kết luận cụ thể.
2.2.3. Đối với di động trong môi trường mạng không dây
Nghiên cứu sinh trình bày về các phép đo, mô hình và phân tích
các luồng lưu lượng trong mạng GPRS. Trong đó, gồm “Các phép
biến đổi Radon và công cụ tương tự” liên quan đến những đặc tính
Up-link (mã hóa kênh, số lượng các kênh dữ liệu gói Up-link (PDCHs)
dùng trong kết nối GSM/GPRS) và “chương trình Tstat”, dùng để phân
tích các luồng TCP/IP/GPRS từ dấu vết luồng TCP.
2.3. Điều kiện giới hạn sử dụng mô hình, phương pháp
Trong phần này sẽ trình bày những vấn đề liên quan đến các kết
luận về tình trạng hay giới hạn mạng lưới dựa vào các phép đo (chẳng
hạn như kết luận về băng thông tắc nghẽn, băng thông sẵn có, về lưu
lượng chéo nhau v..v.) bằng cách sử dụng số liệu thống kê lưu lượng
(xác định suy giảm QoS của End-to-End).


-82.3.1. Những đồ thị biểu đồ thông lượng khác nhau

(

Dạng biểu đồ thông lượng vào H


2.3.2. Định hình và phân chia giới hạn tắc nghẽn
Nghiên cứu sinh trình bày những vấn đề liên quan đến định
hình và phân chia giới hạn tắc nghẽn.
2.4. Kết luận chương
Các kết quả về đặc tính hóa lưu lượng trình bày trong chương 1
và các phân tích ở đây được dùng làm cơ sở để bàn về chất lượng
dịch vụ QoS tương thích trình bày trong chương 3 và về bảo vệ
chống tấn công, an ninh mạng trình bày trong chương 4.


-9-

CHƯƠNG 3: CÁC ĐIỀU KIỆN GIỚI HẠN VỀ PHÂN BỐ
LUỒNG LƯU LƯỢNG IP INTERNET
THEO CHẤT LƯỢNG DỊCH VỤ (QoS) TƯƠNG THÍCH
3.1 Giới thiệu chương
Chương này trình bày phương pháp điều khiển tương thích xác
lập trên quan điểm của lý thuyết truyền thông nhằm mục tiêu phân bố
lưu lượng, đảm bảo chất lượng dịch vụ dựa vào kiến trúc middleware
được trình bày sau khi đôi nét về chất lượng dịch vụ của mạng (QoS)
tương thích. Tiếp đến trình bày phương pháp giải quyết cơ chế ưu
tiên lưu lượng ưu tiên trong mạng hàng đợi ở tại một node mạng
nhằm vào tính tương thích của chất lượng dịch vụ trên cơ sở của
phương pháp điều khiển hiện đại .
3.2 Về tương thích QoS trong môi trường Internet
Nghiên cứu sinh sử dụng một cơ chế gọi là QoSSpace để tạo ra
một QoSReport về các khả năng giữa QoS của mạng và giá trị trạng
thái luồng của ứng dụng qua “giá trị trạng thái tương ứng” (SCV) của
mỗi luồng.
3.3 Điều kiện để tương thích QoS đối với Middleware

-11ui (k) = ui (k −1) + α[xc (k) − x(k)]+ β {[xc (k) − x(k)]− [xc (k −1) −
x(k −1)]}

(3.8)

với, α và β là các hệ số cấu hình của tác vụ tương thích.
3.3.5. Ứng dụng mô hình điều khiển tác vụ trong kiến trúc
middleware
Nghiên cứu sinh đề xuất sử dụng mô hình điều khiển tác vụ
theo cơ chế phân cấp để tương thích QoS trong kiến trúc middleware
cho thấy middleware có khả năng tương thích QoS cả trong trường
hợp khi có những thay đổi nhỏ và thay đổi lớn về độ sẵn sàng của tài
nguyên.
Phương trình mô tả tổng lượng yêu cầu tài nguyên trong toàn
bộ hệ thống như sau :
s(k+1) = Ψ amax {s(k) + l(k) C (k) + SN(k) - a},

(3.9)

trong đó amax là lượng yêu cầu tài nguyên được cấp phép cực đại của
hệ thống đầu cuối.
Phương trình mô tả luật điều khiển PID cho mỗi tác vụ tương
thích như sau:

ci (k + 1) = ci (k ) + α [ sr (k + 1) − s(k + 1)] +
+ β { [ s r (k + 1) − s (k + 1)] − [ s r (k ) − s(k )]} ,
K
T và β = KTD là các hệ số tỷ lệ.
với α =
TI

ˆ ˆ (t ) + Bu
ˆ ˆ (t )
 x&ˆ (t ) = Ax

ˆ ˆ (t )
 yˆ (t ) = Cx
uˆ (t ) = − Kxˆ (t )


(3.12)

trong đó, yˆ (t ) ∈ R q×1 , uˆ (t ) ∈ R p×1 , xˆ (t ) ∈ R m×1 , m ≥ min(p, q);

K ∈ R p×n và M ∈ R m× p là các tổ hợp tuyến tính của tín hiệu kích
thích và đáp ứng; Aˆ ∈ R m× m , Bˆ ∈ R m x p , Cˆ ∈ R q× m là các ma trận tham

số cần xác định theo tham số hệ thống {A, B, C}, có thể gồm đại
lượng đặc trưng độ trễ, thời gian chờ, độ dài hàng đợi, xác suất nghẽn
trong hệ thống.
3.4.2 Giải quyết bài toán ưu tiên lưu lượng trong mạng hàng đợi


-13a> Giải quyết bài toán mạng hàng đợi hở
Phương trình cân bằng xác suất chuyển trạng thái :
K

K

k =1


- Hạn chế về chất lượng mạng viễn thông qua mô hình toán học
- Giới hạn từ đặc tính ổn định của các mô hình hệ thống trễ
- Giới hạn do các mô hình ngẫu nhiên sử dụng
3.5 Kết quả mô phỏng
3.5.1 Thiết lập hệ thống điều khiển
Hệ thống điều khiển tương thích mô tả bởi các phương trình
(3.9, 3.10) và được thể hiện trong hình 3.19 trong môi trường Matlab.
Hình 3-19. Sơ đồ mô phỏng hệ thống điều khiển tương thích QoS.


-14-

3.5.2. Thiết lập tham số cấu hình
Để thấy được ảnh hưởng của các tham số cấu hình α và β đến
các đặc tính ổn định, đặc tính cân bằng của hệ thống điều khiển cần
thực hiện mô phỏng hệ thống điều khiển trong các trường hợp thiết
lập tham số cấu hình α và β khác nhau đối với hệ thống điều khiển
không ổn định và hệ thống điều khiển ổn định.
3.5.3 Phân tích đặc điểm của hệ thống theo mô hình lý thuyết
Nghiên cứu sinh đưa ra một số phân tích với hệ thống điều
khiển tương thích, các tham số cấu hình được lựa chọn như trên, theo
các đặc tính ổn định và đặc tính cân bằng.
3.5.4. Kết quả mô phỏng tại Viễn thông Thừa Thiên Huế
Nghiên cứu sinh trình bày các kết quả mô phỏng hệ thống điều
khiển tương thích trong trường hợp thiết lập các tham số cấu hình α
và β khác nhau .
3.6 Kết luận chương
Những kết quả nghiên cứu liên quan đến sử dụng kết quả về
đặc trưng hóa luồng lưu lượng (trong chương 1 và chương 2) để xem
xét, phân bổ lưu lượng tương thích QoS phục vụ cho nhiệm vụ đảm

mô phỏng với một kích cỡ có thể so sánh được với mạng ISP).
4.2 Một số vấn đề liên quan đến tấn công mạng
4.2.1 Giới thiệu về tấn công mạng


-16Những cuộc tấn công mạng dựa chủ yếu vào các lỗ hổng của
phần mềm, của giao thức mạng và của cơ sở hạ tầng. Lỗ hổng phần
mềm là do lỗi trong cài đặt các phần mềm mạng (như DNS BIND,
HTTP Apache, Telnet, SMTP...). Trong phần này, nghiên cứu sinh
thảo luận hai kiểu tấn công mạng nguy hiểm, phổ biến trên Internet
hiện nay. Đó là tấn công từ chối dịch vụ và tấn công kiểu sâu
internet.
4.2.2 Cơ sở và các vấn đề liên quan đến DoS
Trình bày các vấn đề liên quan đến DoS như : Các bước cơ bản
trong việc chuẩn bị và tiến hành một cuộc tấn công Ddos , Các cuộc
tấn công DoS, phòng thủ DoS dựa trên mạng Proxy.
4.2.3 Sâu Internet: Cơ sở và các vấn đề liên quan
Trình bày các vấn đề : Một số thông tin có tính cơ bản về các
loại sâu Internet đã ra đời trong vài năm qua, các phương pháp quét
của sâu Internet, phòng chống sâu Internet.
4.3 Chống tấn công từ chối dịch vụ (DoS) và các giới hạn
4.3.1 Giới thiệu
Sử dụng mô phỏng mạng lưới ở mức gói trực tuyến (đầy đủ
ứng dụng, phần mềm thực thi và các chương trình tấn công thực) cho
phép nghiên cứu chi tiết mạng lưới, động học ứng dụng (rớt gói, định
tuyến hàng đợi, thời gian thực), hành vi phản ứng của mạng và giao
thức ứng dụng (tham số quan trọng đối với ứng dụng, hiệu suất mạng
Proxy trước các cuộc tấn công DoS).
4.3.2 Hệ thống phòng thủ DoS dựa trên mạng Proxy
Dùng một mạng mô phỏng ở quy mô lớn (dùng MicroGrid mô

i(t) bị lây nhiễm theo thời gian .


-18Thuật toán vết chân (Footprint) Rabin được sử dụng tại mỗi nút
mạng để tính các khối nội dung trong các phần tải của gói tin.
4.4.2. Phòng chống và ngăn chặn sâu Internet và các điều kiện
Nghiên cứu sinh đã dùng hệ thống mô phỏng quy mô lớn với
thuật toán Rabin để tính số lượng sâu phục vụ thăm dò. Mạng mô
phỏng thiết lập với số lượng lớn máy có nguy cơ bị tấn công và mạng
cục bộ. Chọn một nút của các mạng cục bộ để thiết lập nút của mạng
phòng thủ kết hợp.
Kết quả mô phỏng cho thấy lan truyền sâu khi các nút ngăn
chặn độc lập và kết hợp trong trường hợp các nút riêng lẻ thu thập
100 tín hiệu sâu cùng mẫu trước khi nó lọc gói tin chỉ ra rằng với các
nút ngăn chặn độc lập, hành vi lan truyền sâu không bị hạn chế (so
sánh với không có bất kỳ việc ngăn chặn nào) nhưng, đối với phòng
thủ trong mạng kết hợp, các hành vi lan truyền phần lớn bị hạn chế.
4.5 Kết luận chương
Trong chương này, nghiên cứu sinh đã nghiên cứu khả năng
chống lại các cuộc tấn công của một mạng Proxy, đồng thời nghiên
cứu các đặc tính của hệ thống phòng thủ DoS dựa trên mạng Proxy
trước những cuộc tấn công này để nắm chắc rằng khi nào tính đối
kháng là có thể sử dụng, xem xét khả năng một mạng Proxy có thể
chống lại những cuộc tấn công như thế nào và thiết kế một hệ thống
dựa trên mạng Proxy để việc phòng thủ một cách hiệu quả.
Nghiên cứu sinh đã nghiên cứu về mô hình chung để thu giữ
một dải rộng hệ thống phòng thủ DoS dựa trên mạng Proxy. Mô hình
này xác định một bộ yếu tố phù hợp với tiêu chuẩn trong hệ thống
dựa trên mạng Proxy và sự tương tác của chúng.
Chương này cũng trình bày một kỹ thuật phòng chống tấn công


-201.) Đối với “đặc tính hóa luồng lưu lượng IP Internet”, nghiên
cứu sinh thấy cần thiết tiến hành nghiên cứu bổ sung thêm những
chiều hữu ích khác trong việc biểu diễn luồng lưu lượng để phát hiện
chính xác hơn sự khác biệt giữa đặc tính thể hiện ở những luồng tin
“phá hoại”, “dịch vụ chuyên dụng” với những luồng tin “dịch vụ
truyền thống” và bổ sung thích hợp vào những phần mềm mã nguồn
mở.
2.) Xác định mức ưu tiên của dịch vụ qua đặc tính hóa lưu
lượng nhiều chiều để tìm ra hệ các điều kiện ràng buộc đồng thời
theo không gian (trong cả miền tần số, miền thời gian đối với lọc
tương thích, đối với điều khiển công suất, và phân bổ tần số thông
qua điều chế tương thích, v.v…) nhằm vào nhiệm vụ đảm bảo cung
cấp chất lượng dịch vụ (QoS) của các công nghệ truyền thông thế hệ
tiếp theo trong môi trường phân tán diện rộng.
3.) Nghiên cứu áp dụng quyết định mềm (Soft decision) vào
nhiệm vụ bảo đảm an toàn thông tin và an ninh mạng để thu được
những giới hạn ràng buộc làm cơ sở lý luận đề xuất mô hình bảo vệ
thích hợp.