i LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu tơi thực Các số liệu kết trình bày luận án trung thực, chưa công bố tác giả hay cơng trình khác Tác giả Dương Tuấn Anh ii LỜI CẢM ƠN Luận án Tiến sĩ thực Học viện Cơng nghệ Bưu Viễn thơng hướng dẫn khoa học TS Bùi Thiện Minh PGS.TS Hoàng Minh Nghiên cứu sinh xin bày tỏ lòng biết ơn sâu sắc tới Thầy định hướng khoa học, liên tục quan tâm, tạo điều kiện thuận lợi suốt q trình nghiên cứu hồn thành luận án Nghiên cứu sinh xin chân thành cảm ơn nhà khoa học, tác giả cơng trình cơng bố trích dẫn luận án cung cấp nguồn tư liệu quý báu, kiến thức liên quan q trình nghiên cứu hồn thành luận án Nghiên cứu sinh xin trân trọng cảm ơn Lãnh đạo Học viện Cơng nghệ Bưu Viễn thơng, Hội đồng Khoa học, Hội đồng Tiến sĩ Học viện tạo điều kiện để nghiên cứu sinh thực hồn thành chương trình nghiên cứu Nghiên cứu sinh xin chân thành cảm ơn GS.TSKH Nguyễn Ngọc San, GS.TS Nguyễn Bình dẫn học thuật hóa, kết nối lý luận với kết thực nghiệm thời gian thực Xin chân thành cám ơn Khoa Quốc tế Đào tạo sau đại học nhà khoa học thuộc Học viện Công nghệ Bưu Viễn thơng nghiên cứu sinh khác hỗ trợ phương diện hành chính, hợp tác có hiệu suốt q trình nghiên cứu khoa học Nghiên cứu sinh xin gửi lời cảm ơn tới VNPT Thừa Thiên Huế bạn đồng nghiệp, bạn bè thân hữu, nhóm cộng tác nghiên cứu tạo nhiều điều kiện thuận lợi, hỗ trợ thực việc quan trắc thu thập liệu, triển khai đề tài nghiên cứu trường Cuối biết ơn tới Ba Mẹ, gia đình người bạn thân thiết liên tục động viên để trì nghị lực, cảm thông, chia sẻ thời gian, sức khỏe khía cạnh sống q trình để hồn thành luận án Hà Nội, tháng 06 năm 2013 Tác giả Dương Tuấn Anh iii MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN THUẬT NGỮ VIẾT TẮT DANH MỤC BẢNG BIỂU DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU i ii v viii ix xii Chương TỔNG QT VỀ ĐẶC TÍNH HĨA LƯU LƯỢNG IP 1.1 GIỚI THIỆU CHƯƠNG 1.2 LƯU LƯỢNG VÀ CÁC ĐẶC TÍNH PHÂN LOẠI 1.3 VỀ CÁC PHẦN MỀM MÃ NGUỒN MỞ SỬ DỤNG 1.3.1 Lựa chọn phần mềm vào đặc tính hóa lưu lượng 1.3.2 Phần mềm NTOP 1.3.3 Phần mềm mã nguồn mở Observium 1.4 KẾT LUẬN CHƯƠNG 14 14 14 18 24 Chương ĐẶC TÍNH THỐNG KÊ VÀ ĐIỀU KIỆN GIỚI HẠN PHÂN BỐ LƯU LƯỢNG IP INTERNET 2.1 GIỚI THIỆU CHƯƠNG 27 2.2 ĐẶC TÍNH LƯU LƯỢNG CỦA NHỮNG MƠ HÌNH KHÁC NHAU 2.2.1 Tương tác đa phương tiện lưu lượng thời gian thực 2.2.2 Đối với lưu lượng Web Client-Server 2.2.3 Đối với di động môi trường mạng không dây 28 28 34 38 2.3 ĐIỀU KIỆN GIỚI HẠN SỬ DỤNG MƠ HÌNH, PHƯƠNG PHÁP 2.3.1 Những đồ thị biểu đồ thơng lượng khác 2.3.2 Định hình phân chia giới hạn tắc nghẽn 41 41 42 2.4 KẾT LUẬN CHƯƠNG 44 Chương CÁC ĐIỀU KIỆN GIỚI HẠN VỀ PHÂN BỔ LUỒNG LƯU LƯỢNG IP INTERNET THEO CHẤT LƯỢNG DỊCH VỤ (QoS) TƯƠNG THÍCH 3.1 GIỚI THIỆU CHƯƠNG 3.2 VỀ TƯƠNG THÍCH QoS TRONG MƠI TRƯỜNG INTERNET 45 46 iv 3.3 ĐIỀU KIỆN ĐỂ TƯƠNG THÍCH QoS ĐỐI VỚI MIDDLEWARE 3.3.1 Kiến trúc middleware đảm bảo QoS 3.3.2 Các chế điều kiện tương thích hệ thống QoS middleware 3.3.3 Áp dụng mơ hình điều khiển truyền thống 3.3.4 Các điều kiện mơ hình điều khiển tác vụ 3.3.5 Ứng dụng mơ hình điều khiển tác vụ kiến trúc middleware 3.4 GIỚI HẠN PHÂN BỐ LƯU LƯỢNG ƯU TIÊN TRONG MẠNG HÀNG ĐỢI 3.4.1 Mơ hình hóa chế ưu tiên lưu lượng mạng hàng đợi 3.4.2 Giải toán ưu tiên lưu lượng mạng hàng đợi 3.4.3 Bàn luận điều kiện giới hạn liên quan đến xử lý mạng hàng đợi 3.5 KẾT QUẢ MÔ PHỎNG 3.5.1 Thiết lập hệ thống điều khiển 3.5.2 Thiết lập tham số cấu hình 3.5.3 Phân tích đặc điểm hệ thống theo mơ hình lý thuyết 49 49 50 54 58 59 62 62 66 77 78 78 80 81 3.5.4 Kết mô Viễn thông Thừa Thiên Huế 3.6 KẾT LUẬN CHƯƠNG 82 86 Chương NGHIÊN CỨU VỀ CÁC GIỚI HẠN TRONG CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ (DoS) VÀ SÂU INTERNET 4.1 GIỚI THIỆU CHƯƠNG 4.2 MỘT SỐ VẤN ĐỀ LIÊN QUAN ĐÊN TẤN CÔNG MẠNG 4.2.1 Giới thiệu công mạng 4.2.2 Cơ sở vấn đề liên quan đến DoS 4.2.3 Sâu Internet: Cơ sở vấn đề liên quan 4.3 CHỐNG TẤN CÔNG TỪ CHỐI DỊCH VỤ (DoS) VÀ CÁC GIỚI HẠN 88 89 89 90 94 99 4.3.1 Giới thiệu 4.3.2 Hệ thống phòng thủ DoS dựa mạng Proxy 4.3.3 Nhận xét điều kiện giới hạn 4.4 NGĂN CHẶN SÂU INTERNET VÀ CÁC ĐIỀU KIỆN 4.4.1 Mơ hình lây truyền phát tín hiệu virus/sâu 4.4.2 Phòng chống, ngăn chặn sâu Internet điều kiện 4.5 KẾT LUẬN CHƯƠNG 99 100 112 113 113 115 118 KẾT LUẬN VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TIẾP DANH MỤC CÁC CƠNG TRÌNH CỦA NGHIÊN CỨU SINH TÀI LIỆU THAM KHẢO 120 122 123 v THUẬT NGỮ VIẾT TẮT Từ viết tắt Thuật ngữ Tiếng Anh Thuật ngữ Tiếng Việt AAF Application Adaptation Function Chức tương thích ứng dụng ADSL Asymetric Digital Subcriber Line Đường dây thuê bao số không đối xứng ATM Asynchronous transfer mode Chế độ truyền không đồng BGP Border gateway protocol Giao thức định tuyến đường biên CATV Cable Television Truyền hình cáp CE Customer Edge Phía khách hàng CIR Commintted Information Rate Tốc độ truyền thông cam kết CoS Class of Service Lớp dịch vụ CPU Centrer processing unit Đơn vị xử lý trung tâm DA Directory Agent Tác tử thư viện DNS Domain Name System Hệ thống tên miền EGP Exterior Gateway Protocol Giao thức định tuyến miền FTP File Transfer Protocol Giao thức truyền File GoS Grade of Service Mức bỏ rơi không phục vụ GPRS General Packet Radio Service Dịch vụ vơ tuyến gói tin tổng hợp GSM Global System for Mobile Communication Hệ thống thông tin di động toàn cầu HDLC High level Data Link Control Giao thức điều khiển đường liệu mức cao HDTV High Definition Television Truyền hình độ phân giải cao HTTP Hyper Text Transfer Protocol Giao thức chuyển giao siêu văn ICMP Internet control message protocol Giao thức tin điều khiển Internet IP Interner Protocol Giao thức internet IPTV Internet Protocol Television Truyền hình Internet vi ISP Internet Service Provider Nhà cung cấp dịch vụ Internet ITU-T International Telecommunication Union sector T Hiệp hội tiêu chuẩn viễn thông quốc tế LAN Local area network Mạng cục MPLS MultiProtocol Label Switching Chuyển mạch nhãn đa giao thức OSI Open System Interconnection Reference Model Mơ hình tham chiếu kết nối hệ thống mở PCM Pulse Code Modulation Điều chế xung mã PID Proportional Integral Derivative Phát sinh tích hợp tỷ lệ PIR Peak Information Rate Tốc độ truyền thông tối đa PPP Point to Point Protocol Giao thức điểm điểm QoS Quality of Service Chất lượng dịch vụ QoSME Quality of Service Management Environment Môi trường quản lý QoS Q-RAM QoS-based Resource Allocation Model Mơ hình phân bổ tài nguyên QoS QuAL Quality Assurance Language Ngôn ngữ đảm bảo chất lượng RB Resource Broker Tương thích tài nguyên RSVP Resource ReSerVation Protocol Giao thức trữ tài nguyên RTCP Realtime Transport Control Protocol Giao thức truyền tải điều khiển thời gian thực RTFM Realtime Flow Measurement Đo lưu lượng tải thời gian thực RTP Realtime Transport Protocol Giao thức truyền tải thời gian thực SA Service Agent Tác tử dịch vụ SAP Service Access Point Điểm truy cập dịch vụ SCV State compatibility value Giá trị trạng thái tương thích SDTV Standard Definition Television Truyền hình độ phân giải tiêu chuẩn TCP Transmission control protocol Giao thức điều khiển truyền thông TTL Time to live Thời gian sống UA User Agent Tác tử người sử dụng vii UDP User datagram protocol Giao thức gói liệu người dùng UMTS Universal Mobile Telecommunications System Hệ thống viễn thông di động toàn cầu VoIP Voice over IP Thoại IP VPN Virtual Private Network Mạng riêng ảo WAN Wide area network Mạng diện rộng viii DANH MỤC BẢNG BIỂU Bảng 1-1 Các thuộc tính chung luồng Bảng 1-2 Các thuộc tính hướng luồng Bảng 2-1 u cầu băng thơng điển hình định dạng Audio khác Bảng 2-2 Yêu cầu băng thông định dạng Video khác 29 29 Bảng 2-3 Bảng so sánh yêu cầu QoS loại lưu lượng Bảng 2-4 Giải thích cụm ISP1 ISP2 34 37 Bảng 3-1 Các tham số hệ thống điều khiển tương thích 79 Bảng 3-2 Các tham số cấu hình   điều khiển tương thích Bảng 3-3 Đánh giá điều kiện ổn định hệ thống điều khiển Bảng 4-1 Các tham số mơ hình ngẫu nhiên 81 81 103 ix DANH MỤC HÌNH VẼ Hình 1-1 Biễu diễn phân lớp môi trường mạng Internet Hình 1-2 Phân tích luồng lưu lượng phía đầu cuối 10 Hình 1-3 Phân tích luồng lưu lượng mơi trường mạng Hình 1-4 Mơ tả q trình điều khiển kiện, thời gian truyền đến lẫn 10 kiện khoảng chu kì thời gian định Hình 1-5 Mơ hình sử dụng ứng dụng Ntop 12 16 Hình 1-6 Mơ hình triển khai ứng dụng Ntop Hình 1-7 Tải lưu lượng mạng Hình 1-8 Lưu lượng giao thức HTTP Hình 1-9 Lưu lượng phân bố theo cổng đích dịch vụ Hình 1-10 Thống kê sử dụng loại ứng dụng Internet Hình 1-11 Mơ hình sử dụng ứng dụng Observium Hình 1-12 Cấu trúc khối chức ứng dụng Observium 16 17 17 18 18 20 20 Hình 1-13 Danh sách thiết bị mạng Hình 1-14 Giám sát nhiệt độ, điện áp Hình 1-15 Lưu lượng thực cổng thiết bị 23 23 24 Hình 1-16 Lịch sử lưu lượng qua cổng 10Gbps thiết bị Router Core Viễn thông Thừa Thiên Huế Hình 2-1 Mức độ sử dụng ứng dụng liên quan Hình 2-2 Trung bình khoảng thời gian hoạt động Hình 2-3 Biểu đồ thơng lượng từ phép đo ứng dụng truyền hình hội nghị Hình 3-1 Hệ thống điều khiển truyền thống Hình 3-2 Kiến trúc middleware tương thích QoS theo ứng dụng Hình 3-3 Các thành phần mạng tham gia trình thiết lập QoS Hình 3-4 Mơ hình luồng tác vụ Hình 3-5 Mơ hình điều khiển tác vụ Hình 3-6 Mơ hình rời rạc cho tác vụ ứng dụng 24 36 36 42 47 49 52 55 56 57 x Hình 3-7 Mơ hình điều khiển tác vụ kiến trúc Middleware 60 Hình 3-8 Mơ hình điều khiển tương thích QoS kiến trúc Middleware Hình 3-9 Mơ hình tốn quản lý lưu lượng hàng đợi Hình 3-10 Mơ hình hàng đợi có ưu tiên tuyệt đối 60 62 65 Hình 3-11 Mơ hình mạng hàng đợi hở khơng hồi tiếp Hình 3-12 Giản đồ chuyển trạng thái khơng thuận nghịch theo hình 3-9 68 69 Hình 3-13 Giản đồ chuyển trạng thái thuận nghịch mơ hình theo hình 3-12 Hình 3-14 Mơ hình mạng hàng đợi có hồi tiếp Hình 3-15 Giản đồ chuyển trạng thái thuận nghịch mơ hình hình 3-14 69 70 70 Hình 3-16 Thuật tốn chập xác định G(n,k) Hình 3-17 Mơ hình M/M/1-PS lưu lượng hai chiều Hình 3-18 Chuyển trạng thái mơ hình M/M/1-PS với lưu lượng hai chiều Hình 3-19 Sơ đồ mơ hệ thống điều khiển tương thích QoS Hình 3-20 Kết quan sát trường hợp Hình 3-21 Kết quan sát trường hợp 71 73 74 79 82 83 Hình 3-22 Kết quan sát trường hợp Hình 3-23 Kết quan sát trường hợp Hình 3-24 Kết quan sát trường hợp Hình 4-1 Mạng Zombie DDoS điển hình Hình 4-2 Cấu hình thí nghiệm Hình 4-3 Framework chung cho mạng Hình 4-4 Chuyển tiếp trạng thái máy chủ Hình 4-5 Chuyển tiếp trạng thái Proxy Hình 4-6 Quá trình hoạt động mạng Proxy Hình 4-7 Ảnh hưởng cơng DoS lên hiệu suất ứng dụng Hình 4-8 Hiệu suất ứng dụng công DoS dàn trải Hình 4.9 Hiệu suất ứng dụng trước cơng tập trung, lựa chọn Proxy biên tĩnh Hình 4-10 Hiệu suất ứng dụng trước công tập trung, lựa chọn Proxy biên động Hình 4-11 Phân tích việc lựa chọn Proxy biên động 84 85 86 92 100 101 104 105 106 108 109 110 111 111 116 hệ thống phát xâm nhập (IDS) để lấy thông tin hành vi sâu mạng cục gồm danh sách nút có hại, tín hiệu sâu tự tạo IDS cục Ngồi hình ảnh cục hoạt động sâu, nút phát dị tìm trì quan sát tồn cục cơng tồn mạng b.) Về tình phịng chống sâu Internet i.) Thử nghiệm: Hệ thống mô quy mô lớn sử dụng phương pháp tương tự Zou đồng nghiệp, với thuật tốn Rabin để tính số lượng sâu phục vụ thăm dò [28] Sự lan truyền sâu trước bảo vệ hệ phòng thủ hợp tác mơ mơi trường Windows dùng mơ hình lan truyền Kephart White mơ hình Internet mơ hình hóa đơn giản mạng thống Mạng mô thiết lập với số lượng lớn máy có nguy bị cơng (máy nằm trạng thái dễ bị tổn thương, dễ lây nhiễm hay miễn dịch) mạng cục Chọn nút mạng cục để thiết lập nút mạng phịng thủ kết hợp Khi có giá trị tín hiệu nhận vượt vài ngưỡng, tín hiệu sâu xác nhận, nút mạng phịng thủ bắt đầu lọc gói tin có tín hiệu sâu Khi bắt đầu mơ phỏng, vài máy khởi tạo trạng thái bị nhiễm, tất máy khác trạng thái dễ bị nhiễm Và nút mạng phòng chống nằm trạng thái giám sát cảnh báo lưu lượng đến từ mạng IP từ mạng cục Trong trạng thái giám sát, nút phòng thủ mạng biên đếm số lượng thăm dò nhiễm sâu quan sát, tổng hợp với nút phòng thủ khác số lượng điều tra sâu (hành vi điều tra sâu rộng khắp) Khi tổng số lượng sâu thăm dò lớn ngưỡng (có thể điều chỉnh thay đổi), nút mạng chuyển từ trạng thái giám sát sang cảnh báo có tín hiệu sâu ii.) Kết thử nghiệm: Sự phát triển lây nhiễm sâu Code-Red (mơ phỏng) thể hình 4-13 khơng có sử dụng kỹ thuật phịng chống hợp tác (60% mạng biên có nguy bị cơng với nút phòng thủ kết hợp) với 117 ngưỡng đếm sâu toàn cục 100 Ảnh hưởng số lượng nút mạng khác hệ thống thủ đề cập tài liệu [98] Số lượng Node bị lây nhiễm Sự lan truyền sâu có phịng chống Sự lan truyền sâu Thời gian t (phút) Hình 4-13 Quá trình lây nhiễm sâu Lan truyền nút mạng hệ thống phòng thủ hợp tác chia sẻ tín hiệu sâu theo khoảng thời gian khác biểu diễn hình 4-14, với khoảng thời gian thiết lập tin đồn 0.1, 0.2, 1, 10 phút Khi tần số lan truyền tăng, số lượng máy nhiễm giảm xuống cho thấy khả mở rộng kỹ thuật chia sẻ thông tin dựa lan truyền theo tham số chọn lựa hợp lý Tuy nhiên, tổng hợp thông tin sử dụng khoảng thời gian 10 phút, hiệu ngăn chặn, chống lại việc lan Số lượng máy chủ bị lây nhiễm truyền sâu chấp nhận Khoảng thời gian 0.1 phút Khoảng thời gian 0.2 phút Khoảng thời gian phút Khoảng thời gian 10 phút Thời gian t (phút) Hình 4-14 Hiệu ứng ngưỡng tồn cục 118 Số lượng máy chủ bị lây nhiễm Phòng thủ kết hợp Phịng thủ độc lập Khơng ngăn chặn Thời gian t (phút) Hình 4-15 Lợi ích việc phịng thủ hợp tác Lan truyền sâu nút ngăn chặn độc lập kết hợp trường hợp nút riêng lẻ thu thập 100 tín hiệu sâu mẫu trước lọc gói tin biểu diễn hình 4-15 với nút ngăn chặn độc lập, hành vi lan truyền sâu không bị hạn chế (so sánh với khơng có việc ngăn chặn nào) nhưng, phòng thủ mạng kết hợp, hành vi lan truyền phần lớn bị hạn chế 4.5 KẾT LUẬN CHƯƠNG Tấn công từ chối dịch vụ sâu Internet mối đe dọa lớn đến an ninh mạng tồn cầu, chúng khơng thể giải thơng qua hành động tự lập nút mạng phịng chống cơng triển khai rải rác Thay vào đó, hệ thống phịng thủ khác phải tổ chức vào mơ hình, liên kết hoạt động, trao đổi thông tin dịch vụ, hành động, chống lại mối đe dọa Đã có nhiều cơng trình nghiên cứu vấn đề nhiều hạn chế tồn Tuy nhiên, gần phòng thủ DoS dựa mạng Proxy xuất cho thấy tiềm việc giải vấn đề Tuy nhiên, khả hạn chế hệ thống chưa thể rõ ràng để minh chứng bảo vệ ứng dụng cách hiệu không rõ ràng định hướng cách thức thiết kế hệ thống để đạt hiệu phòng thủ tốt Trong chương này, nghiên cứu sinh trình bày kết nghiên cứu khả chống lại công mạng Proxy, đồng thời nghiên cứu đặc tính 119 hệ thống phòng thủ DoS dựa mạng Proxy trước công để nắm tính đối kháng sử dụng, xem xét khả mạng Proxy chống lại công thiết kế hệ thống dựa mạng Proxy để việc phòng thủ cách hiệu Nghiên cứu sinh nghiên cứu mơ hình chung để thu giữ dải rộng hệ thống phịng thủ DoS dựa mạng Proxy Mơ hình xác định yếu tố phù hợp với tiêu chuẩn hệ thống dựa mạng Proxy tương tác chúng Từ mơ hình này, mơ hình ngẫu nhiên xem xét cho q trình cơng phịng thủ để mơ tả động lực học hệ thống Mơ hình chung mơ hình ngẫu nhiên cung cấp sở cho nghiên cứu định lượng tính đối kháng mạng Proxy trước công thâm nhập chiếm dụng Proxy Trong chương này, kỹ thuật phòng chống công hợp tác phân cấp để bảo vệ hạ tầng mạng chống lại cơng mạng trình bày Hạ tầng bảo vệ mạng bao gồm nút mạng phịng chống dị tìm cơng mạng riêng biệt triển khai điểm quan trọng hạ tầng mạng toàn cầu Mỗi nút mạng giám sát hành vi công mạng cục sử dụng hạ tầng mạng dựa tin đồn để tổng hợp thơng tin cơng Nội dung chương kết nghiên cứu mang tính triển khai ứng dụng nghiên cứu sinh công bố với GS hướng dẫn tạp chí danh mục tạp chí Hội đồng chức danh giáo sư nhà nước tính điểm cơng trình Cụ thể, “Nghiên cứu bảo vệ chống cơng mạng”, Tạp chí Khoa học Công nghệ tháng 9/2012 Viễn thông Thừa Thiên Huế nhà cung cấp dịch vụ mạng viễn thông địa bàn tỉnh Thừa Thiên Huế Nhu cầu an tồn thơng tin ninh mạng nhà quản lý, cung cấp dịch vụ mạng trình phát triển tiếp cận mục tiêu “ba bất kỳ” đòi hỏi phải thực nhiệm vụ mang tính tồn chống cơng mạng Việc ứng dụng kỹ thuật phịng chống cơng mạng trình bày nghiên cứu triển khai vào mạng Viễn thông Thừa Thiên Huế 120 KẾT LUẬN VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TIẾP KẾT LUẬN Trong luận án, nghiên cứu sinh trình bày kết nghiên cứu đặc tính hóa luồng lưu lượng IP nhằm mục đích xử lý, phân bổ lưu lượng Internet, bảo vệ an ninh thông tin mạng chống công mạng diện rộng; vấn đề ngày trở nên cấp thiết nhà cung cấp dịch vụ mạng phát triển không ngừng lớp ứng dụng hội tụ IP Những kết nghiên cứu vừa có tính tổng hợp, hệ thống hóa vừa mang tính đề xuất, phát triển, áp dụng lý luận trình ngẫu nhiên, xử lý tín hiệu lý thuyết hệ thống vào trường hợp luồng lưu lượng cụ thể nhà cung cấp dịch vụ mạng theo thời gian thực Từ đó, tiên lượng điều kiện giới hạn biên ràng buộc hạn chế thu khơng túy mang tính lý thuyết mà cịn thể tính gắn kết với thực tiễn chứa đựng khả ứng dụng cao Sở dĩ thơng qua việc nghiên cứu lý thuyết, thực đề tài nghiên cứu khoa học theo thời gian thực nhà cung cấp dịch vụ mạng thực chất sử dụng sở hạ tầng nhà quản lý, cung cấp dịch vụ mạng viễn thông phần mềm mã nguồn mở phịng thí nghiệm theo thời gian thực Có thể liệt kê đóng góp q trình nghiên cứu thể luận án sau: 1) Tổng quát, hệ thống hóa đặc tính hóa lưu lượng IP phát triển, phân loại đặc tính theo dịch vụ luồng lưu lượng trường hợp nhà quản lý, cung cấp dịch vụ viễn thông cụ thể 2) Đề xuất áp dụng lý thuyết hệ thống vào toán phân bổ lưu lượng sử dụng kết ưu tiên cung cấp đặc trưng hóa luồng lưu lượng IP Internet nút mạng nhà quản lý, cung cấp dịch vụ viễn thông 3) Hệ thống hóa giải pháp chống cơng từ chối dịch vụ ngăn chặn sâu Internet sở đặc trưng hóa luồng lưu lượng IP để đề xuất việc xác định giới hạn mơ hình sử dụng Proxy nhằm mục tiêu bảo đảm an ninh mạng 121 4) Đề xuất giải pháp sử dụng tài nguyên thời gian thực (nhà quản lý, cung cấp dịch vụ viễn thông phần mềm mã nguồn mở) để thực minh chứng tính đắn mặt lý luận Những vấn đề đề cập đến luận án liên quan đến xử lý, khai thác đặc tính luồng lưu lượng IP Internet cấp bách cần thiết nhà quản lý cung cấp dịch vụ mạng nên bao phủ nhiều nội dung Vì vậy, nội dung trình bày chương tương ứng tìm thấy vấn đề sử dụng để đề xuất nội dung làm định hướng nghiên cứu cho cơng trình Điều thể tính mở vấn đề nghiên cứu sinh đề cập tới Một số nội dung chứng tỏ hướng mở đề tài nghiên cứu liệt kê trình bày sau NHỮNG VẤN ĐỀ CẦN NGHIÊN CỨU TIẾP 1.) Đối với “đặc tính hóa luồng lưu lượng IP Internet”, nghiên cứu sinh thấy cần thiết tiến hành nghiên cứu bổ sung thêm chiều hữu ích khác việc biểu diễn luồng lưu lượng để phát xác khác biệt đặc tính thể luồng tin “phá hoại”, “dịch vụ chuyên dụng” với luồng tin “dịch vụ truyền thống” bổ sung thích hợp vào phần mềm mã nguồn mở 2.) Xác định mức ưu tiên dịch vụ qua đặc tính hóa lưu lượng nhiều chiều để tìm hệ điều kiện ràng buộc đồng thời theo không gian (trong miền tần số, miền thời gian lọc tương thích, điều khiển cơng suất, phân bổ tần số thông qua điều chế tương thích, v.v…) nhằm vào nhiệm vụ đảm bảo cung cấp chất lượng dịch vụ (QoS) công nghệ truyền thông hệ môi trường phân tán diện rộng 3.) Nghiên cứu áp dụng định mềm (Soft decision) vào nhiệm vụ bảo đảm an toàn thông tin an ninh mạng để thu giới hạn ràng buộc làm sở lý luận đề xuất mơ hình bảo vệ thích hợp 122 DANH MỤC CÁC CƠNG TRÌNH CỦA NGHIÊN CỨU SINH Chủ trì đề tài nghiên cứu khoa học có liên quan [1] “Nghiên cứu đặc tính lưu lượng mạng IP”; Mã số: 001-11-CS-R-VT01, năm 2012; Đơn vị chủ trì: Viễn thơng Thừa Thiên Huế, VNPT [2] “Phân tích tối ưu lưu lượng mạng dịch vụ IP VNPT Thừa Thiên Huế”; Mã số: 007-11-CS-RDP-TH-28, năm 2012; Đơn vị chủ trì: Viễn thơng Thừa Thiên Huế, VNPT [3] “Nghiên cứu phương pháp điều khiển ưu tiên khác lớp dịch vụ mạng IP”; Mã số: 005-11-CS-R-VT-01, năm 2012; Đơn vị chủ trì: Viễn thông Thừa Thiên Huế, VNPT Bài báo khoa học đăng tải tạp chí khoa học chuyên ngành [1] V.H.Hiếu, D.T.Anh, "Đảm bảo chất lượng dịch vụ cho ứng dụng phương pháp tương thích động", Tạp chí Cơng nghệ thơng tin & Truyền thơng năm 2007, Vol 9, No 1, trang 34-37 [2] Vũ Hoàng Hiếu, Dương Tuấn Anh, “Kết mô phương pháp điều khiển tương thích chất lượng dịch vụ cho kiến trúc middleware nhận biết ứng dụng”, Chun san “Các cơng trình nghiên cứu khoa học, nghiên cứu triển khai Công nghệ thơng tin“, Tạp chí Khoa học Cơng Nghệ, năm 2010, số 75, trang 12-19 [3] Dương Tuấn Anh, Hoàng Minh, “Tổng quan đặc tính hố luồng lưu lượng IP”, Tạp chí Khoa học Cơng nghệ, năm 2011, tập 49, số 3, trang 1-23 [4] Dương Tuấn Anh, Nguyễn Hoàng Linh, “Nghiên cứu bảo vệ chống cơng mạng”, Tạp chí Khoa học Cơng nghệ, năm 2012, tập 50, số 2A, trang 87-108 123 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Ngọc San (2006), Nhận dạng hệ thống tuyến tính liên tục, NXB Khoa học Kỹ thuật, Hà Nội [2] Nguyễn Ngọc San, Hoàng Ứng Huyền, Hoàng Minh, Nguyễn Gia Thái (2008), Các giải pháp khoa học công nghệ với mạng viễn thông Việt Nam, NXB Bưu điện, Hà Nội [3] Nguyễn Thúy Anh, Hoàng Minh, Nguyễn Ngọc San (2008), Ước lượng tham số mơ hình hệ động học, NXB Khoa học Kỹ thuật, Hà Nội [4] V H Hiếu H D Hải (2007), “Phương pháp điều khiển tương thích chất lượng dịch vụ cho kiến trúc middleware nhận biết ứng dụng”, Chun san Các cơng trình nghiên cứu khoa học, nghiên cứu triển khai công nghệ thông tin truyền thơng Tạp chí Bưu Viễn thơng Công nghệ thông tin, Số 18, Tháng 10, tr 43-51 [5] V H Hiếu, C V Bình, B N Dũng (2007), "Kiến trúc Middleware đảm bảo chất lượng dịch vụ", Tạp chí Cơng nghệ thơng tin & Truyền thơng, 9(2), tr 52-55 [6] V H Hiếu, D T Anh (2007), "Đảm bảo chất lượng dịch vụ cho ứng dụng phương pháp tương thích động", Tạp chí Cơng nghệ thông tin & Truyền thông, 9(1), tr 34-37 [7] V H Hiếu, H Minh N N San (2007), “Thuật tốn điều khiển tương thích chất lượng dịch vụ middleware tương thích theo ứng dụng”, Tạp chí Khoa học Công nghệ, Viện Khoa học Công nghệ Việt Nam, 45(2), tr 1-9 Tiếng Anh [8] A Campbell, C Aurrecoechea and L Hauw (1996), “A Review of QoS Architectures”, Proceed of 4th IFIP International Workshop on Quality of Service (IWQS'96), Paris, France, March [9] A K Agrawala and D Sanghi (1992), “Network dynamics: An experimental study of the Internet”, Proceed of GLOBECOM '92 [10] A K Gulve, D G Vyawahare (2011), “Survey On Intrusion Detection System”, in International J of Computer Science & Applications, (1), pp 76-85 [11] A Lazar and G Pacici (2011), “Control of resources in broadband networks with quality of service guarantees”, IEEE Comm Magazine, 49 (10), pp 66-73 [12] A Olovsson, S Tafvelin and W John (2010), “Passive InternetMeasurement: 124 Overview and Guidelines based on Experiences” Computer Communications, Vol.33(5), pp 176-185 [13] A Schmidt and R Campbell (1993), “Internet protocol trac analysis with applications for ATM switch design”, Computer Com Review, 23, pp 39-52 [14] Adkins, D (2003), “Taming IP Packet Flooding Attacks”, HotNets-II [15] Andersen, D G (2003), “Mayday: Distributed Filtering for Internet Services”, In 4th Usenix Symp Internet Technologies and Systems, Seattle, Washington, USA [16] A Somayaji, S Hofmeyr and S Forrest (1997), “Principles of a computer immune system”, Meeting on New Security Paradigms, Langdale, UK, pp 23-26 [17] ANS – ARTS (1992), ANSnet Router Trac Statistics software [18] Apache, Apache HTTP Server Version 2.0 Documentation, www.apache.org [19] B Chinoy and H.-W Braun (1992), “The National Science Foundation Network” Technical report GA-A21029 [20] B Kumar (1993), “Effect of packet losses on end-user cost in internetworks with usage based charging”, Computer Communiations Review [21] B Li and K Nahrstedt (1993), “A Control-based Middleware Framework for Quality of Service Adaptations”, IEEE J Selected Areas in Communications, Special Issue on Service Enabling Platforms, 17(5), pp 214-219 [22] Cheng, Y (2007), “Internet Traffic Characterization Using Packet-Pair Probing”, Proceed 26th IEEE Inter Conf Computer Comm., pp 1766 - 1774 [23] C Topolcic (1990),”Experimental Internet stream protocol: version (ST-II)”, Internet Request for Comments Series RFC 1190 [24] CERT (2001), “Code Red II, another Worm Exploiting Buffer Overflow In IIS Indexing Service DLL”, Pittsburgh, PA, http://www.cert.org/incident_notes/ IN2001-09.html [25] CERT (2001), "Code Red, Worm Exploiting Buffer Overflow In IIS Indexing Service DLL”, Pittsburgh, PA, http://www.cert.org/incident_notes/IN-2001-08 html [26] Cisco, Defining Strategies to Protect Against TCP SYN Denial of Service Attacks, http://cio.cisco.com/warp/public/707/4.html [27] Cisco, Using CAR During DOS Attacks, http://www.cisco.com/warp/public/63/ car_rate_ limit icmp.html 125 [28] Cliff Changchun Zou, Weibo Gong and Don Towsley (2012), “Code red worm propagation modeling and analysis”, Proceed the 9th ACM Conf on Computer and Communications Security, pp 138-144 [29] CSI/FBI (2003), “Cyber Attacks Continue but Financial Losses are Down”, http:// www gocsi.com /press/20030528.jhtml?_requestid=335314 [30] D D Clark, S Shenker and L Zhang (1992), “Supporting real-time applications in an integrated services packet network: Architecture and mechanism”, Proceed ACSIGCOMM ' 92, pp 14-26 [31] D L Johnson, V Pejovic, E M Belding, G Van Stam (2011), “Traffic charac- terization and internet usage in rural Africa”, Proceed the 20th Inter Conf Companion WWW, NY, USA, pp 493-502 [32] D Estrin, J Mogul, G Tsudik and K Anand (1989), “Visa protocols for control- ling inter-organizational datagram ow”, IEEE Trans Selected Areas Communications 7(4), pp 486-498 [33] D Estrin, Y Rekhter and S Hotz (1992), “Scalable inter-domain routing archi- tecture”, in Proceed ACM SIGCOMM '92, pp 40-52 [34] D Ferrari and D C Verma (1990), “A scheme for real-time channel establish- ment in wide-area networks”, IEEE Trans Selected Areas Communications, 8(3) pp 368-379 [35] D J Mitzel, D Estrin, S Shenker and L Zhang (1994), “An architectural comparison of ST-II and RSVP”, Proceed IEEE INFOCOM’94, pp 1534-1539 [36] D R Boggs, J C Mogul and C A Kent (1988), “Measured capacity of an Ethernet: Myths and reality”, Proceed ACM SIGCOMM'88, pp 222-234 [37] D Sanghi, A Agrawala, O Gudmundsson and B Jain (1993), “Experimental assessment of end-to-end behavior on the Internet”, Proceed IEEE INFO COM’93, pp 867-874 [38] D Verma, H Zhang and D Ferrari (1994), “Guaranteeing delay jitter bounds in packet switching networks”, Proceed IEEE Conf Communications Software: Communications for Distributed Applications and Syst, pp 538-543 [39] D Hull, A Shankar, K Nahstedt and J Liu (1999), “An End-to-End QoS Model and Management Architecture”, Proceed IEEE Workshop Middleware for Distributed Real-Time Systems and Services, Dec, pp.199-213 [40] David Kempe, Alin Dobra and Johannes Gehrke (2001), “Computing aggregate 126 information using gossip”, Proceed the 44th Annual IEEE Symposium on Foundations of Computer Science, Cambridge, MA, pp 324-327 [41] David Moore, Colleen Shannon, Geoffrey M Voelker and Stefan Savage (2003), “Internet quarantine: Requirements for containing self-propagating code”, Proceed IEEE INFOCOM’03, pp 873-877 [42] Dittrich, D (1999), The DoS Project's "trinoo: distributed denial of service attack tool”, University of Washington, http://staff.washington.edu/dittrich/misc/trinoo analysis [43] E Gerich (1992), Guidelines for management of IP address space, Internet Request for Comments Series RFC 1366 obsoleted by RFC 1466 [44] F H P Fitzek and M Reisslein (2001), “MPEG-4 and H.263 Video traces for network performance evaluation”, IEEE Trans Network 35(6), pp 640-654 [45] Ferguson, P and D Senie (1998), “Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing”, Internet Society [46] Fonseca, B (2000), Yahoo outage raises www.networkworld.com.news/ 2000/0209yahoo2.html Web concerns, [47] G J McLachlan (1995), “Discriminant Analysis and Statistical Pattern Recogni- tion: wide area TCP conversations”, IEEE Trans Network 29(8), pp 821-824 [48] G Franklin and J Powell (1981), Digital Control of Dynamic Systems, Addison- Wesley [49] H Hees and D Lucantoni (1986), “A Markov modulated characterization of packetized voice and data traffic and related statistical multiplexer performance”, IEEE Selected Areas in Communication, 26(4), pp 85-89 [50] H.-W Braun and K Clay (1993), “Network analysis in support of Internet policy requirements”, Proceed INET '93, pp FAC:1-11 [51] Hines, E S., MyDoom B (2004), Worm Analysis, Applied Watch Technologies, Inc., http://isc.sans.org/presentations/MyDoom_B_Analysis.pdf [52] I Wakeman, D Lewis and J Crowcroft (1992), “Trac analysis of trans-Atlantic trac”, Proceed Inet '92, pp 417-430 [53] ITU-T Recommendation G.107 (2003), The E-model, a computational model for use in transmission planning, ITU-T [54] ITU-T (2003), Recommendation G.114: One-way transmission time, ITU-T 127 [55] J Mogul (1991),”Network locality at the scale of processes”, Proceed ACM SIGCOMM '91, Zurich, Switzerland, pp 273-285 [56] J Mogul (1992), “Observing TCP dynamics in real networks”, Proceed ACM SIGCOMM '92, pp 305-317 [57] JoeDog.org, Siege (2003), An HTTP Regression Tester & Benchmarking Utility, http://www.joedog.org/siege/index.php [58] K Clay, G C Polyzos and H.-W Braun (1993),”Application of sampling methodologies to network traffic characterization”, Proceed ACM SIGCOMM '93, pp 194-203 [59] Keromytis, A D., V Misra and D Rubenstein (2002), “SOS: Secure Overlay Services”, ACM Special Interest Group on Data Communications (SIGCOMM), Pittsburgh, PA, ACM [60] King, A B (2003), “Speed Up Your Site: Web Site Optimization”, Pearson Education [61] L Jun (2010), “Internet traffic characterization based on active network measurement”, Proceed 6th Inter Conf on Wireless Communication Networking and Mobile Computing, pp.1-11 [62] L Zhang, S Deering, D Estrin, S Shenker and D Zappala (1991), “RSVP: A new resource reservation protocol”, IEEE Trans Network, 17(1 ), pp 8-18 [63] Liu, X and A Chien (2003), “Traffic-based Load Balance for Scalable Network Emulation”, in SuperComputing’3, Phoenix, Arizona: Proceed ACM Conf on High Performance C [64] Liu, X and A A Chien (2004), “Realistic Large-Scale Online Network Simula- tion”, in SuperComputing'04, Pittsburgh, PA: Proceed ACM Conf on High Performance C [65] M Zhang, W John, Kc Claffy and N Brownlee (2009), “State of the art in traffic claissification: A research overview”, Proceed 10th Passive & Active measurements Conf., Seoul, Korea [66] M Acharya and B Bhalla (1994), “A ow model for computer network trac using real-time measurements”, Proceed 2nd Inter Conf Telecom Systems, Modeling and Analysis, Nashville, TN, pp 24-27 [67] M Zubair Shafig, Lusheng Ji, Alex X., LiuJia Wang (2011), “Characterizing and modeling internet traffic dynamics of cellular devices”, Proceed ACM SIGME 128 TRICS Joint Inter Conf Measurement, modeling of computer systems, NY, USA, pp 305-316 [68] M Steenstrup (1993), “An architecture for inter-domain policy routing”, Internet Request for Comments Series RFC 1478” [69] M Steenstrup (1993), “Inter-domain policy routing protocol specification and usage: version 1”, Internet Request for Comments Series RFC 1479 [70] RFC 1213 (1991), “Management Information Base for network management of TCP/IP-based internets MIB-II”, Internet Request for Comments Series [71] Moore, D., et al (2003), “The Spread of the Sapphire/Slammer Worm”, CAIDA, UCSD, ICIR & LBNL, Silicon Defense, UC Berkeley [72] N K Groschwitz and G C Polyzos (1994), “A time series model of long-term NSFNET backbone traffic”, Proceed IEEE Inter Conf Comm (ICC '94) [73] “Network information services" Data available on nis.nsf.net:/nsfnet/statistics [74] Nielsen, J (1994), Usability Engineering, San Francisco, Morgan Kaufmann [75] P B Danzig, K Obraczka and A Kumar (1992), “An analysis of wide-area name server trac”, Proceed ACM SIGCOMM '92 [76] P B Danzig, S Jamin, R Caceres, D J Mitzel and D Estrin (1991), “An empirical workload model for driving wide-area TCP/IP network simulation, Internet-working”, Research and Experience (1), pp 17-25 [77] P Florissi (1996), “QoSME: QoS Management Environment”, PhD thesis, Department of Computer Science, Columbia University [78] R Braden, Ed., L Zhang, S Berson, S Herzog, S Jamin (1997), “Resource ReSerVation Protocol (RSVP)-Version FunctionalSpecification”, RFC2205 [79] R Caceres, P Danzig, S Jamin and D Mitzel (1991), “Characteristics of wide- area TCP/IP conversations”, Proceed ACM SIGCOMM '91, pp 101-112 [80] R Chow, S F Hussaini (1993), “Performance analysis and traffic characteriza- tion of an ethernet campus network to identify and develop possible SMDS applications and scenarios”, Proceed IEEE Internet working, pp 215-218 [81] R Gusella (1990), “A measurement study of diskless workstation trac on an Ethernet”, IEEE Trans Communications, 38, pp 1557-1568 [82] R Wilder, K Thomson (1997), “Wide-area internet traffic patterns and characte- ristics”, IEEE Trans Network 43, pp 1538-1543 129 [83] R Rajkumar, C Lee, J Lehoczky and D Siewiorek (1997), ”A Resource Allocation Model for QoS Management”, Proceed IEEE Real-Time Syst Symp., pp.298-307 [84] S Floyd and V Jacobson (1992), “On trac phase eects in packet-switched gateways”, Internet working Research and Experience, 3, pp 115-156 [85] Sandip S., Shailendra P and Ganesh P (2012), “A survey on intrusion detection techniques”, World J Science and Technology, 2(3), pp 127-133 [86] S N Bhatti, G Knight (1998), “Notes on a QoS information model for making adaptation decisions”, Hipparch’98, UCL, London, UK [87] Savage, S (2000), “Practical network support for IP traceback”, Computer Com- munication Review, 30(4), pp 295-302 [88] Snoeren, A C., (2001), “Hash-based IP traceback”, Computer Communication Review, 31(4), pp 298-306 [89] Song, D X and A Perrig (2001), “Advanced and authenticated marking schemes for IP traceback”, Proceed 20th Annual Joint Conf IEEE Computer and Communications Societies, Anchorage, AK, USA [90] S-T Hsiang and J W Woods (2001), “Embedded Video coding using invertible motion compensated 3-D subband/wavelet filter bank”, Signal Processing: Image communication, 16 (3), pp 538-543 [91] Stavrou, A (2001), “WebSOS: An Overlay-based System For Protecting Web Servers From Denial of Service Attacks”, Elsevier J Computer Networks, special issue on Web and Network Security [92] Stoica, I (2002), “Internet Indirection Infrastructure”, ACM Special Interest Group on Data Communications (SIGCOMM) [93] T Asaba, K Clay, O Nakamura and J Murai (1992), “An analysis of interna- tional academic research network trac between Japan and other nations”, Proceed Inet '92, pp 431-440 [94] V Paxson (1994), “Empirically-Derived Analytic Models of Wide Area TCP Connections”, IEEE/ACM Trans Networking, 14 (5), pp 524-529 [95] V Paxson (1993), “Empirically-Derived Analytic Models of Wide Area TCP Connections: Extended Report”, Technical Report LBL-34086 [96] V Rutenburg and R G Ogier (2001), “Fair charging policies and minimum- expected-cost routing in internets with packet loss”, Proceed IEEE INFO- 130 COM’01, pp 279-288 [97] Vinod Yegneswaran, Paul Barford and Somesh Jha (2004), “Global intrusion detection in the DOMINO overlay system”, Proceed 11th Annual Network and Distributed System Security Symposium (NDSS) [98] W Willinger (2004), “Variable-bit-rate Video trac and long-range dependence”, IEEE Trans Communications, 22(2), pp 233-238 [99] Williams, M (2000), EBay, Amazon, Buy.com hit by attacks, http://www.Nwfu sion.com news/2000/0209attack.html [100] Y Rekhter (2003), “Forwarding database overhead for inter-domain routing”, ACM Computer Communiations Review, 33, pp 66-81 [101] Y Rekhter (1992), “NSFNET backbone SPF-based Interior Gateway Protocol”, Internet Request for Comments Series RFC 1074 [102] Y Rekhter and B Chinoy (1992), “Injecting inter-autonomous system routes into intro-autonomous system routing: A performance analysis”, Internetworking Research and Experience, 3, pp 198-202 [103] Zhang, F Li (2007), “Detecting the DdoS attacks based on SYN proxy and hop- count filter”, Communications, Circuits and Systems, pp.457-461 [104] Zho Wang and J Crowcroft (2002), “Eliminating periodic packet losses in the 4.3 Tahoe BSD TCP congestion control algorithm”, Computer Communications Review, pp 482-491 [105] Zou, Cliff C (2006), “Adaptive defense against various network attacks”, Ph.D thesis, Computer Science Central, Florida University, Orlando, USA ... nắm bắt, phân tích liệu theo thời gian thực để xác định điều kiện giới hạn phục vụ hỗ trợ việc phân bổ lưu lượng IP Internet theo chất lượng dịch vụ tương thích điều kiện phục vụ nhiệm vụ bảo đảm... thông lượng khác 2.3.2 Định hình phân chia giới hạn tắc nghẽn 41 41 42 2.4 KẾT LUẬN CHƯƠNG 44 Chương CÁC ĐIỀU KIỆN GIỚI HẠN VỀ PHÂN BỔ LUỒNG LƯU LƯỢNG IP INTERNET THEO CHẤT LƯỢNG DỊCH VỤ (QoS)... hố luồng lưu lượng IP? ??, Tạp chí Khoa học Cơng nghệ tập 49, số tháng 12/2011 Trong chương với tiêu đề: ? ?Các điều kiện giới hạn phân bố luồng lưu lượng IP Internet theo chất lượng dịch vụ (QoS)