MỤC LỤC
Đã có nhiều công trình nghiên cứu về các điều kiện giới hạn phục vụ việc phân bổ lưu lượng Internet, đề xuất giải pháp hỗ trợ, giải quyết tắc nghẽn đường truyền, đảm bảo chất lượng dịch vụ cho các ứng dụng đa phương tiện phân bố trong môi trường hỗn tạp đối với các nhà khai thác, quản trị mạng [8], [14], [21] và nhiều công trình nghiên cứu về lĩnh vực hỗ trợ chất lượng cho hệ thống đa phương tiện phân bố trong môi trường hỗn hợp [30], [44], [63]. Nhằm giải quyết vấn đề nắm bắt, phân tích dữ liệu theo thời gian thực để xác định các điều kiện giới hạn phục vụ hỗ trợ việc phân bổ lưu lượng IP Internet theo chất lượng dịch vụ tương thích và các điều kiện phục vụ nhiệm vụ bảo đảm an ninh mạng, chống lại những cuộc “tấn công mạng”, cần khai thác các phần mềm mã nguồn mở và sử dụng thời gian thực hạ tầng cơ sở mạng của một nhà quản lý, cung cấp dịch vụ cụ thể có tính đại diện.
Giải pháp dựa trên những đặc tính của luồng lưu lượng IP Internet để định danh lưu lượng “phi truyền thống” phục vụ an ninh mạng và xác định các điều kiện giới hạn phục vụ giải pháp xử lý, phân bổ lưu lượng IP Internet sẽ được minh chứng là có khả năng hỗ trợ chất lượng dịch vụ đối với các ứng dụng thời gian thực trong môi trường hỗn tạp. Sở dĩ như vậy là vì Viễn thông Thừa Thiên Huế có vai trò cung cấp các dịch vụ, đảm bảo an ninh thông tin cho một trung tâm Văn hóa, Giáo dục, Du lịch, khu vực kinh tế trọng điểm của miền Trung có 30% số người dùng Internet, 100% số xã có điểm cung cấp dịch vụ viễn thông công cộng, kết nối Internet băng rộng, 100% số trường học, trạm y tế được kết nối Internet và là điểm nóng về vấn đề tôn giáo, luôn có các hành vi chống phá Đảng, Nhà nước,.
Trong mục 3, “Điều kiện để tương thích QoS đối với middleware”, trình bày sự tương quan giữa cấu trúc middleware với các thành phần của bài toán điều khiển QoS tương thích dựa trên phương pháp điều khiển truyền thống, gồm kiến trúc middleware đảm bảo QoS, các cơ chế điều kiện tương thích trong hệ thống QoS middleware, áp dụng mô hình điều khiển truyền thống, các điều kiện về mô hình điều khiển tác vụ và ứng dụng mô hình điều khiển tác vụ trong kiến trúc middleware. Trong phần “Kết luận” gồm ý tưởng, kết quả nghiên cứu về lý luận, thực tiễn và các đóng góp trong lĩnh vực nghiên cứu đặc tính hóa lưu lượng IP, xác định những giới hạn biên ràng buộc cần thiết đối với các mô hình điều khiển phân bổ lưu lượng (điều khiển truyền thống và hiện đại) để đảm bảo chất lượng dịch vụ QoS, cũng như trong việc tìm hiểu, xây dựng các giới hạn của mô hình phục vụ an toàn thông tin và an ninh mạng Internet.
Để giảm khoảng cách giữa lý thuyết và thực tế trải nghiệm, nghiên cứu sinh dựa trên cơ sở lý thuyết và sử dụng các mã nguồn mở có uy tín để tiến hành điều tra mạng viễn thông tại đơn vị cung cấp dịch vụ nhằm tổng hợp các số liệu lưu lượng và đóng góp vào sự hiểu biết về hành vi mạng ở quy mô lớn. Từ cách nhìn như vậy, những kết quả nghiên cứu tổng quát về đặc tính hóa lưu lượng IP (tham số hóa quá trình ngẫu nhiên của các luồng lưu lượng) sẽ được trình bày theo kiểu một tài liệu hướng dẫn đối với các nhà quản lý mạng, cung cấp dịch vụ mạng trong chương 1.
Để phản ánh đúng bản chất biến thiên và các biểu hiện hoạt động của luồng lưu lượng Internet, ngoài các thuộc tính đã nêu, cần khảo sát, tính toán thêm nhiều thuộc tính quan trọng khác kể cả những thông số của các phân bố rời rạc liên quan như: phân bố thời điểm đến của các luồng, phân bố kích thước các luồng, phân bố thời điểm đến của các gói thuộc luồng, phân bố kích thước các gói thuộc luồng, v.v… vào tập các thuộc tính mô tả luồng. Nhiều nghiên cứu lập profile lưu lượng TCP đã xem xét đến lưu lượng Internet thông qua các điểm chuyển tiếp đến mạng diện rộng như nhóm của Caceres định hình các trao đổi Internet bằng cách đặc tính hoá các trao đổi TCP giữa các điểm đầu cuối với nhau [79]; Danzig và Jamin đã dùng kết quả của nhóm Caceres để tạo thư viện về đặc tính tải của TCP mang tính thực nghiệm sử dụng vào mô phỏng mạng [43], [102]; Paxson xem xét các kết nối TCP trong mạng diện rộng bắt nguồn từ ba cấp độ của Internet (khuôn viên trường đại học, các tổ chức nghiên cứu, vùng và môi trường cổng quốc tế) [43], [66], [73]; nhóm của Danzig tập trung lập profile của một ứng dụng đơn lẻ để phân tích lưu lượng dữ liệu phân giải tên miền (DNS) trong mạng diện rộng [76].
Sau khi cài đặt và kích hoạt phần mềm NTOP hoạt động tại nhà quản lý, cung cấp dịch vụ Viễn thông Thừa Thiên Huế, thu được tải lưu lượng của mạng như trong hình 1-7, lưu lượng tại giao thức HTTP như trong hình 1-8, lưu lượng phân bổ theo cổng đích dịch vụ như trong hình 1-9 và thống kê sử dụng các ứng dụng Internet như trong hình 1-10. Observium được phát triển thành một công cụ dễ cấu hình dùng giám sát tình trạng hoạt động của mạng máy tính với mục đích thu thập, lưu giữ lịch sử hoạt động của các thiết bị mạng để tạo nên bức tranh về lịch sử hoạt động, tình trạng của thiết bị một cách tự động.
Những ứng dụng trên IP có thể là ứng dụng Streaming một chiều hoặc tương tác hai chiều (có thể sử dụng Audio tương tác để sắp xếp thành trò chơi âm nhạc, hội nghị truyền hình hay dịch vụ di động đa phương tiện) [11], [44]. Những yêu cầu đối với độ rộng băng thông điển hình cho định dạng Audio và Video khác nhau được nghiên cứu sinh phân tích, tổng hợp chi tiết trong bảng 2-1 và bảng 2-2 dưới đây. Yêu cầu về băng thông điển hình đối với các định dạng Audio khác nhau Định dạng Audio Băng thông đòi hỏi Chuẩn mã hóa nén HE-AAC MPEG-4, âm thanh nổi, được. rừ ràng 'khụng thể phõn biệt được từ chất lượng CD' 128 kbps Chuẩn nén Dolby Digital cho người xem phim ở nhà bằng định. Chuẩn chất lượng CD không nén, âm thanh nổi 1,4 Mbps Chuẩn âm thanh chất lượng cao đa kênh không nén bằng định. Yêu cầu về băng thông đối với những định dạng Video khác nhau Định dạng Video Băng thông đòi hỏi. Chuẩn HDTV không nén 1,5 GBps. Chuẩn HDTV tạm thời 360 Mbps. Chuẩn SMPTE, theo tiêu chuẩn TV 270 Mbps. b.) Đặc tính lưu lượng Audio và Video. - Các biến đổi Radon và công cụ tương tự: Dùng cách thức theo nghĩa thống kê của biến đổi Radon mà [81] và [96] đã sử dụng để phát triển công cụ phân tích các quá trình đánh dấu điểm (các nhãn thời gian) và dấu hiệu các gói (kích thước các gói) từ không gian chung nhằm thu thông tin của những điểm (thời gian của gói quá trình giữa hai sự kiện tới) với tính chính xác cao về các nhãn thời gian và khả năng giữ lại chủ yếu mọi gói đơn.
Tiếp đến, phương pháp giải quyết cơ chế ưu tiên lưu lượng ưu tiên trong mạng hàng đợi ở tại một node mạng nhằm vào tính tương thích của QoS trên cơ sở của phương pháp điều khiển hiện đại được nghiên cứu sinh trình bày. Từ đó, các điều kiện giới hạn tương ứng cũng được phát hiện, tìm thấy.
Mô hình tương thích động được đề xuất trong [86], sử dụng cơ chế QoSSpace đánh giá các tham số QoS để tạo ra QoSReport về các khả năng giữa QoS của mạng và giá trị trạng thái luồng của ứng dụng qua “giá trị trạng thái tương ứng” (SCV) của mỗi luồng. Quyết định phân bố lưu lượng hay trạng thái luồng nào được sử dụng phụ thuộc vào QoS của mạng, khả năng của ứng dụng và những tham chiếu của người sử dụng do cơ chế tương thích ứng dụng (Application Adaptation Function - AAF) cung cấp thông tin tham chiếu (người sử dụng, trạng thái luồng của ứng dụng và QoSReport) và chọn tự động trạng thái luồng phù hợp nhất khi người sử dụng yêu cầu “sử dụng dịch vụ giá thấp nhất” ở thời điểm khởi động.
Coi ứng dụng videostream trong hệ thống phân bố là một tập của các thành phần chức năng (mã hóa khung, truyền dẫn tín hiệu hay giải mã). Các thành phần chức năng này yêu cầu tài nguyên mạng và hệ. thống để thực hiện chức năng xử lý, tạo giá trị điều khiển chức năng tiếp theo. Hình 3-4.b biểu diễn mô hình luồng tác vụ cho hệ thống videostream, mỗi tác vụ là một thành phần chức năng của ứng dụng, mỗi ứng dụng được chuyển đổi thành một biểu đồ luồng tác vụ có hướng không khép kín của nhiều tác vụ. Liên kết hướng từ tác vụ Ti sang tác vụ Tj chỉ ra rằng tác vụ Tj sử dụng kết quả của tác vụ Ti. Để thực hiện một tác vụ Ti thì hệ thống phải cung cấp một lượng tài nguyên nào đó. Mô hình luồng tác vụ. b.) Từ mô hình điều khiển truyền thống đến mô hình điều khiển tác vụ. Trong đó, một đối tượng được điều khiển bởi một “bộ điều khiển”, trạng thái bên trong của đối tượng này được xác định bởi bộ điều khiển theo một thuật toán điều khiển xác định. Thuật toán điều khiển tạo ra tín hiệu điều khiển bằng cách so sánh trạng thái bên trong của đối tượng mà nó quan sát được với giá trị tham chiếu ở đầu vào sao cho đối tượng không bị ảnh hưởng bởi “nhiễu”. Áp dụng mô hình điều khiển truyền thống cho một tác vụ ứng dụng cụ thể, mô hình điển hình về điều khiển tác vụ bao gồm những thành phần như sau:. + Tác vụ ứng dụng: Thực hiện một chức năng cụ thể của ứng dụng và được điểu khiển tương thích. + Tác vụ tương thích: Có chức năng giống bộ điều khiển trong mô hình điều khiển truyền thống và thực hiện thuật toán điều khiển. Đầu ra của tác vụ điều khiển. Mạng truyền dẫn Video. b) Mô hình luồng tác vụ cho hệ thống VideoStream. là báo hiệu điều khiển ứng dụng và có thể điều khiển từng ứng dụng cụ thể và thực hiện tương thích chất lượng. Mô hình điều khiển tác vụ. + Tác vụ quan sát: Thực hiện quan sát, đánh giá trạng thái của tác vụ ứng dụng và báo hiệu cho tác vụ tương thích. Trạng thái tác vụ của một tác vụ ứng dụng được xác định bởi các tham số đặc trưng cho tính động bên trong của tác vụ ứng dụng đó. Trạng thái tác vụ quan trọng nhất trong bất kỳ tác vụ ứng dụng nào là tham số liên quan đến yêu cầu tài nguyên. Hình 3-5.b mô tả mô hình điều khiển tác vụ theo lý thuyết điều khiển. Biến đổi động về yêu cầu tài nguyên trong mô hình điều khiển tác vụ được mô tả bằng phương trình có dạng sau [3]:. Nhiễu Tín hiệu điều khiển Đầu vào. Lỗi Đầu ra. Thiết bị Bộ điều khiển. Đường phản hồi. a) Sơ đồ khối của hệ thống điều khiển cổ điển. Tác vụ ứng dụng. Tác vụ tương thích. Tác vụ quan sát Đầu vào. Giá trị điều khiển. Trạng thái tác vụ Lớp ứng dụng. Giá trị quan sát. b) Mô hình điều khiển tác vụ theo lý thuyết điều khiển. Thay đổi cấu hình xử lý ứng dụng (bộ cấu hình) có thể thực hiện bằng cách bất định hóa cấu trúc bộ điều khiển trên cơ sở áp dụng Soft-computing (sử dụng riêng rẽ hoặc kết hợp các thành phần tạo thành Soft-computing như mạng Nơron, lý thuyết mờ, giải thuật di truyền), v.v.. Ứng dụng của mô hình điều khiển tác vụ trong kiến trúc Middleware như minh họa trong hình 3-7. Trong đó, trình bày hai kiểu của bộ tương thích ứng với hai kiểu nguồn tài nguyên trong mạng là băng thông của mạng và tải xử lý của CPU. Tác vụ tương thích trong hai bộ tương thích sẽ tạo ra tín hiệu để điều khiển bộ thao tác lựa chọn cấu hình ứng dụng phù hợp với biến đổi của tài nguyên mạng. Mô hình điều khiển tác vụ trong kiến trúc middleware a.) Mô hình điều khiển tương thích QoS trong middleware.
(3.43) Biểu thức (3.40) cho thấy tài nguyên mạng được cấp phát tối ưu khi tất cả các nút mạng trước tiên được cấp phát dung lượng k/k (bằng lưu lượng phát sinh của phân luồng thứ k) và phần tài nguyên còn lại. Vậy dung lượng cấp phát tối ưu nhằm mục tiêu giảm thiểu trễ trung bình trong toàn hệ thống là. Nhận xét về sự phức tạp tính toán. Đối với mạng hàng đợi kín nhiều chiều, số trạng thái của mạng tăng rất nhanh khi số chiều tăng. Ví dụ mạng có K nút, N phân lớp lưu lượng, số phần tử lưu lượng thuộc phân lớp thứ j là Sj, số nút mạng phân luồng j đi qua là kj. Sj , số tổ hợp phân bố các phân lớp lưu lượng trong mạng hàng đợi là. Từ đó cho thấy sự phức tạp trong. tính toán tăng lên rất nhiều, dẫn đến nhu cầu về sự phát triển những công cụ tính một cách thích hợp. Bàn luận về những điều kiện giới hạn liên quan đến xử lý mạng hàng đợi. a.) Hạn chế về xem xét chất lượng mạng viễn thông qua mô hình toán học. Việc tìm kiếm giải pháp toán tối ưu dùng mô hình toán học xây dựng trên những quá trình ngẫu nhiên (đặc tính hóa luồng lưu lượng, giải phóng hàng đợi, v.v…) là hướng đi đúng đắn nhưng đang gặp khó khăn do thiếu hụt về phương pháp luận đối với việc mô tả chính xác các quá trình động học trong thế giới thực xảy ra với mạng viễn thông và về công cụ xử lý. b.) Giới hạn từ đặc tính ổn định của các mô hình hệ thống trễ. Các mô hình hệ thống hàng đợi có dung lượng bộ đệm được giả thiết vô hạn chỉ đạt đến cân bằng trạng thái khi A < n. Nhưng, mô hình hệ thống hàng đợi có dung lượng bộ đệm hữu hạn thì lại có thể đạt đến trạng thái cân bằng ngay cả khi A. Từ đó, đòi hỏi phải áp dụng lý thuyết “bất định hóa” các tham số và biến số để xác định những giới hạn cần thiết của mô hình tuyến tuyến hóa sử dụng. Đây là hướng mở để nghiên cứu tiếp. c.) Giới hạn do các mô hình ngẫu nhiên sử dụng.
Nhưng, trong bất kỳ một tiến trình có phân bố ngẫu nhiên nào cũng luôn tồn tại một “vi quá trình Markov” và mô hình vi quá trình đó được sử dụng như một mô hình “chuẩn” để phát triển quá trình ngẫu nhiên phi Markov thành “tựa Markov”. Thực hiện mô phỏng trong khoảng thời gian k từ 0 đến 1.500 giây với sự thay đổi của các tham số cấu hình mô phỏng (tốc độ cấp phát tài nguyên a của hệ thống, số ứng dụng có thể điều khiển l(k), tổng lượng yêu cầu tài nguyên của các ứng dụng không điều khiển được SN(k), giá trị yêu cầu tài nguyên cân bằng Sr(k) được thiết lập trong bảng 3-1.
Tóm lại, phòng thủ DoS trên cơ sở sử dụng mạng Proxy là một chương trình hấp dẫn đối với việc bảo vệ ứng dụng dịch vụ Internet trước các cuộc tấn công DoS (không giới hạn các cơ chế phòng thủ DoS hiện hành). Bằng cách sử dụng truy cập ứng dụng trung gian để tránh đối diện trực tiếp với những cuộc tấn công DoS và cung cấp một hệ Front-end phân tán để bảo vệ những ứng dụng từ các cuộc tấn công DoS. Nên, một hệ thống phòng thủ DoS dựa trên mạng Proxy có những hứa hẹn trong việc bảo vệ tính sẵn sàng của ứng dụng trước cỏc cuộc tấn cụng DoS và tỏ rừ tớnh khả thi khi triển khai ở quy mô lớn, cung cấp một hệ thống phòng thủ DoS toàn cầu cho các ứng dụng dịch vụ Internet trong thực tế. Sâu Internet: Cơ sở và các vấn đề liên quan. a.) Giới thiệu. - SQL-Sapphire (hay SQL-Slammer): Phát hiện tháng 1 năm 2003, đã tàn phá đáng kể về cơ sở hạ tầng mạng chỉ khoảng dưới mười phút do khả năng lan truyền rất nhanh (bằng cách tạo ra các địa chỉ IP giả ngẫu nhiên để thử lây nhiễm) vì lợi thế so với các thế hệ trước bởi kích thước của nó nhỏ (gói tin UDP đơn 404 bytes). - Sâu Conficker: Conficker là loại mã độc, lợi dụng lỗi bảo mật này để phát tán và lây nhiễm lên PC của người dùng. Phương thức lây nhiễm chủ yếu của sâu này là thông qua thẻ nhớ USB hoặc một PC bị lây nhiễm trong mạng sẽ tự động lây nhiễm sang các PC khác ngang hàng. Conficker có thể đột nhập vào PC do người dùng tải về những phần mềm từ những website không an toàn trên mạng Internet, người dùng có sử dụng các ứng dụng chia sẻ tệp tin ngang hàng và người dùng đã truy cập vào một website dùng để phát tán sâu Conficker. Chỉ riêng quý 4/2011, loại sâu nguy hiểm này được phát tán trên hơn 1,7 triệu hệ thống máy tính trên phạm vi toàn cầu. Khi kiểm tra nguyên nhân lây nhiễm Conficker nghiên cứu thấy rằng 92% máy tính nhiễm sâu vì mật khẩu quá yếu hoặc bị đánh cắp và chỉ 8% là bởi các lỗ hổng chưa được vá. b.) Các phương pháp quét của sâu Intenet.
Nghiên cứu mô hình hóa tình trạng hệ thống như một quá trình ngẫu nhiên rời rạc theo thời gian, trong đó coi sự chuyển tiếp trạng thái của các thành phần hệ thống (các máy chủ và các Proxy) thuộc các sự kiện ngẫu nhiên. Như vậy, có thể định lượng các cuộc tấn công, phòng thủ, các lỗ hổng máy chủ tương quan và có thể xem xét được những ảnh hưởng cấu trúc liên kết mạng Proxy đến hệ thống. Mô hình ngẫu nhiên có hai phần, gồm những chuyển tiếp trạng thái máy chủ và những chuyển tiếp trạng thái của Proxy với các tham số mô hình ngẫu nhiên tương ứng như trong bảng 4-1. Các tham số của mô hình ngẫu nhiên. λ0 Tỷ lệ máy chủ bị tổn thương dựa vào các lỗ hổng mới. λv Tỷ lệ máy chủ bị tổn thương dựa vào các lỗ hổng chưa được biết às Tỷ lệ Reset chủ động. àd Tốc độ phục hồi phản ứng àr Tỷ lệ Proxy di chuyển. i.) Về chuyển trạng thái máy chủ: Các cuộc tấn công, cơ chế phục hồi tài nguyên và tính tương quan giữa những lỗ hổng máy chủ là những nhân tố chính ảnh hưởng đến sự chuyển tiếp trạng thái máy chủ. Tấn công tập trung (mạng R1K). Hiệu suất ứng dụng trước các cuộc tấn công tập trung, lựa chọn Proxy biên tĩnh. Tấn công tập trung trên Proxy biên 32 trong mạng R1K, hiệu suất người dùng khi không bị tấn công, nhưng được truy cập đến các Proxy biên khác trong thời gian diễn ra cuộc tấn công thể hiện trong hình 4-11 cho thấy với hầu hết người dùng, hiệu suất suy giảm chủ yếu do người sử dụng chuyển đến các Proxy biên quá xa. Ngoài ra, một số ít người dùng bị ảnh hưởng lớn bởi cuộc tấn công do tương tác giữa người sử dụng với các Proxy gây ra vì những hạn chế của mạng lưới bên dưới. iv.) Khả năng mở rộng tính phục hồi trước cuộc tấn công DoS: Trong thử nghiệm này, sử dụng các mô phỏng R1K và R10K, một tập tin 100KB được đo đối với một tập các mạng Proxy với cấu trúc liên kết cây có độ rộng thay đổi từ 16 đến 64 (các Proxy biên của mạng Proxy có liên kết 100Mbps), cường độ tấn công là.
- Có khả năng mở rộng tính phục hồi của các mạng Proxy trước các cuộc tấn công DoS để đáp ứng quy mô của cuộc tấn công, cho phép bảo vệ hiệu suất ứng dụng (tải làm việc có khả năng được bảo vệ bởi các mạng Proxy khi giữ nguyên một mức độ hiệu suất ứng dụng, gần như tuyến tính với kích thước mạng Proxy). a.) Mô hình lây truyền virus. α.) Mô hình Staniford: Trên cơ sở phân tích sâu Code-Red lây lan trong N máy ban đầu có khả năng bị tấn công, với K máy có thể tìm biết và thỏa hiệp (diệt hoặc loại trừ) khi bị nhiễm, mô hình định lượng lan truyền sâu do Staniford cùng cộng sự đề xuất để xác định tỷ lệ máy đã bị nhiễm a được xác định như sau:. Vậy, trong khoảng thời gian T của sự việc từ khi bắt đầu xảy ra lây truyền và với vài phép tính số học thuần túy, tỷ lệ máy nhiễm được xác định như trên. β.) Mô hình Kephart và White: Trên cơ sở sử dụng hệ thống kiểu nút trong đồ thị (các cạnh từ nút j nào đó tới những nút khác biểu diễn các nút riêng lẻ có thể đã bị lây nhiễm bởi j). Dựa trên sự lây lan của khối nội dung được tổng hợp bởi mỗi nút mạng riêng lẻ, tại thời điểm t bất kỳ, mỗi nút i duy trì một danh sách các cặp tham số (contentt, countk), với contentt đại diện tín hiệu được định nghĩa bởi kỹ thuật tạo tín hiệu theo thời gian t, countk đại diện sự lây lan tín hiệu của khối nội dung có chỉ số k. Giao thức tổng hợp được mô tả như sau:. 2.) Đặt dt,i = rcountt-1,k, tổng các giá trị lan truyền của tín hiệu contentk đã nhận bởi nút i tại vòng lặp t đối với một khối nội dung k cụ thể. Nếu dt,i > Thresholdi, thì contentk được xác định là một tín hiệu sâu. 4.) Chọn targett(i) (đích i) từ những láng giềng của nút i một cách ngẫu nhiễn. Phòng chống, ngăn chặn sâu Internet và các điều kiện. a.) Về hệ thống phòng thủ.