3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS
3.7 Kiến trúc mạng mô phỏng DDoS
Để kiểm chứng giải pháp đề xuất, luận án đã tiến hành thực nghiệm mô phỏng trên phần mềm NS2 phiên bản 2.33 [7] với cấu trúc mạng mô phỏng tấn công gồm 20 nút (ni,i = 1..20) như sau:
Nútn1,n2,n3,n4,n5 biểu diễn các Router lõi.
Nútn6,n7,n8,n9,n10 biểu diễn các nút Router có thể điều khiển được.
Nútn12,n13,n14,n15,n16 biểu diễn người dùng.
Nútn17,n18,n19,n20 lần lượt là các máy chủ NTP, HTTP, DNS1, DNS2.
Nútn11 là kẻ tấn công.
Kịch bản mô phỏng được thực hiện với thời gian tấn công kéo dài 30 giây, thời điểm bắt đầu tấn công là giây thứ 5. Thông số đánh giá là tỷ lệ băng thông truy cập đường truyền ở mức thông thường và khi được điều khiển với chính sách an ninh riêng. Tham số chi tiết cho các đối tượng thực nghiệm được thể hiện trong Bảng 3.1 với tốc độ truyền không đổi.
Bảng 3.1: Thiết lập tham số các đối tượng thực nghiệm
Đối tượng Tham số Giá trị
Giao thức UDP
Kẻ tấn côngn11 Kích thước gói tin 64 Byte
Băng thông truyền 10 Mbps
Giao thức TCP
Người dùngn12,n15 Kích thước gói tin 64/512/1500 Byte
Băng thông truyền 1.3 Mbps
Giao thức TCP
Người dùngn13,n14,n16 Kích thước gói tin 64/512/1500 Byte
Băng thông truyền 5 Mbps Giao thức UDP DNS:n17, NTP:n18 Kích thước gói tin 64/512 Byte
Băng thông truyền 0.7 Mbps (0.35Mbps x 2)
Chính sách bảo mật được thiết lập bảo vệ đối với n19 và n20 được thể hiện trong Bảng3.2.
Bảng 3.2: Thiết lập chính sách bảo mật riêng cho các máy chủ
Tên Server Chính sách bảo mật riêng Giá trị Băng thông tối đa 10 Mbps
Cổng TCP 80
HTTP Server(n19) Cổng UDP 123
Ngưỡng phát hiện tấn công 10% (= 1 Mbps)
Băng thông dành cho UDP 1.75 Mbps
Băng thông tối đa 10 Mbps
Ngưỡng phát hiện tấn công 10% (= 1 Mbps) DNS2 Server(n20) Cổng UDP 53
Băng thông dành cho UDP 3.5 Mbps
Cổng UDP 123
Băng thông dành cho UDP 1.75 Mbps
Kịch bản 1: Nút n11 tấn công vào n19, các người dùng n12, n14 cùng lúc truy cập đến n19. Ban đầu, trong khoảng thời gian từ 0 đến 5 giây, lưu lượng gói tin UDP trong mạng của cả người dùng thông thường và kẻ tấn công đều là 1.15 Mbps. Khi kẻ tấn công thực hiện lệnh tấn công sẽ chiếm toàn bộ băng thông đường truyền từ giây thứ 5. Lúc này hệ thống mạng sẽ rơi vào tình trạng tắc nghẽn tạm thời. Nhưng khi áp dụng phương pháp kiểm soát sau 5 giây khi phát hiện tấn công DoS thì băng thông của mạng bị tấn công DoS đã giảm xuống gần với băng thông của người dùng thông thường và nằm dưới ngưỡng cho phép 1.75 Mbps. Kết quả theo quá trình kiểm soát và điều khiển lưu lượng hệ thống được minh họa trong Hình3.8 và Hình 3.9.
Hình 3.8: Kết quả kiểm soát băng thông gói tin UDP của kịch bản 1
Hình 3.9: Kết quả kiểm soát băng thông trên NS2 trong kịch bản 1
Kịch bản 2: Nút n11 tấn công đồng thời vào n19 vàn20, người dùngn12,n14 cùng gửi gói tin đến n19, người dùng n13,n15,n16 gửi gói tin đến n20. Trong thời gian từ 0-5 giây, lưu lượng mạng của cả người dùng thông thường và kẻ tấn công DoS đều chiếm 50% bằng thông. Sau đó, mô phỏng kẻ tấn công thực hiện chiếm toàn bộ băng thông đường truyền 10 Mbps từ giây thứ 5. Khi áp dụng phương pháp kiểm soát dựa trên thời gian trễ sau 5 giây khi phát hiện tấn công DoS thì băng thông của mạng bị tấn công DoS giảm xuống gần với băng thông của người dùng thông thường như Hình 3.10 và Hình 3.11.
Hình 3.10: Kết quả kiểm soát băng thông gói tin UDP của kịch bản 2
Kết quả mô phỏng cho thấy tắc nghẽn tạm thời gây ra bởi cuộc tấn công DoS. Nhưng sau khi phương pháp điều khiển cuộc tấn công DoS được thực hiện, băng thông giao tiếp của người sử dụng thường xuyên được bảo đảm và những
Hình 3.11: Kết quả kiểm soát băng thông trên NS2 trong kịch bản 2
người sử dụng có thể giao tiếp mà không cần bất kỳ ảnh hưởng của các cuộc tấn công DoS. Điều này cũng khẳng định rằng dòng lưu lượng trong nội bộ mạng không bị ảnh hưởng bởi các gói tin tấn công DoS đã được kiểm soát tại các cổng vào của Router. Sự khác biệt giữa đề xuất trong bài báo này và nghiên cứu trước đó thể hiện ở các điểm sau:
- Phương pháp kiểm soát tấn công của DoS sử dụng thiết bị Moving Fire- wall [16, 17] dùng để điều khiển băng thông còn giải pháp đề xuất điều khiển độ trễ tại các nút Router.
- Các gói tin tấn công DoS được phát hiện tại các nút Router chỉ bị trì hoãn chứ không bị loại bỏ như như Moving Firewall và Proxy nên không làm mất các gói tin của người dùng hợp lệ mà chỉ làm chậm lại, nhưng thời gian trễ đó là không đáng kể.
- Giải pháp đề xuất chỉ sử dụng các nút Router điều khiển được tại các cổng mạng trong khi phương pháp Moving Firewall, Proxy thiết lập trên toàn bộ mạng giống như các cảm biến.
3.6 Kết chương
Trong chương này, luận án đã phân tích những thách thức và khó khăn trong việc đảm bảo an ninh các dịch vụ trong mạng NGN. Đặc biệt là những khó khăn khi ngăn chặn các cuộc tấn công DoS đối với các máy chủ dịch vụ, đây thực sự là một vấn đề nan giải. Từ những phân tích đó, luận án đề xuất biện pháp phòng chống tấn công DoS trong mạng NGN dựa trên chính sách an ninh riêng được thiết lập trên các Router có thể điều khiển được. Hiệu quả của biện pháp đề xuất đã được mô phỏng trên NS2 và so sánh đánh giá với những hướng tiếp cận trước đó. Kết quả thực nghiệm cho thấy giải pháp đề xuất là một hướng tiếp cận đầy hứa hẹn để ngăn chặn các cuộc tấn công từ chối dịch vụ phân tán một cách hiệu quả. Kết quả trên đã được công bố trong [5*, 6*].
Kết luận
Trong luận án, tác giả đã trình bày các kết quả nghiên cứu về nâng cấp và mở rộng cơ sở hạ tầng các mạng hiện có lên mạng thế hệ mới nhằm tối ưu vị trí các thiết bị, kết nối và dung lượng. Đặc biệt là tập trung đến việc quản lý, phân bố tài nguyên tập trung cho các lớp dịch vụ và các luồng đa phương tiện. Đây là một vấn đề có ý nghĩa cả về khoa học lẫn thực tiễn để đáp ứng được sự phát triển nhanh và đa dạng của các dịch vụ chất lượng cao trên nền IP trong mạng NGN. Trên cả lý thuyết và thực tế, việc quản lý phân bố tài nguyên cho các dịch vụ đều được mô hình hóa dưới dạng các bài toán tối ưu tổ hợp. Khi đó, chúng ta cần tìm các giá chị cho các biến rời rạc để đạt cực trị cho một hàm mục tiêu nào đó. Hầu hết các bài toán này đều thuộc lớp NP-Khó. Do đó, các thuật toán tất định thường không khả thi vì thời gian thực hiện quá lớn đặc biệt là trong sự phát triển của môi trường mạng. Hướng tiếp cận của luận án là tìm kiếm lời giải gần tối ưu trong thời gian chấp nhận được sử dụng thuật toán tối ưu đàn kiến. Đây là kỹ thuật tính toán mềm mới và hiệu quả hiện để giải quyết các bài toán tối ưu rời rạc nhờ mô phỏng hành vi đàn kiến tìm mồi với khả năng di chuyển ngẫu nhiên dựa trên vết mùi được xây dựng dựa trên lý thuyết xác suất. Sau đó, luận án tập trung nghiên cứu và đề xuất giải pháp phòng chống tấn công từ chối dịch vụ. Đây là nguy cơ số một làm giảm sự sẵn sàng của việc cung cấp dịch vụ đến người dùng bằng cách tấn công trực tiếp vào cơ sở hạ tầng dịch vụ.
1. Các đóng góp của luận án
Những kết quả nghiên cứu của luận án có ý nghĩa trong việc bổ sung và hoàn thiện các giải pháp tối ưu quy hoạch và cấp phát tài nguyên hiệu quả cho các lớp dịch vụ đảm bảo yêu cầu về QoS. Cụ thể, các đóng góp mới của quá trình nghiên cứu luận án như sau:
1) Đề xuất mô hình thuật toán ACO-MRDL cho bài toán tối ưu đa mục tiêu mở rộng dung lượng mạng với các thông tin heuristic hiệu quả cho phép từng bước thu hẹp phạm vi tìm kiếm kết hợp học tăng cường mà vẫn không bỏ qua các lời giải tốt. Bằng thực nghiệm, luận án đã lựa chọn được bộ tham số phù hợp và đánh giá được ảnh hưởng của số lượng kiến và số vòng lặp đến thời gian thực thi và hàm mục tiêu của thuật toán. Nếu sử dụng ít kiến sẽ không tìm được lời giải tốt ngay từ những vòng lặp đầu khiến các vết mùi được cập nhật dựa vào lời giải không tốt dẫn đến định hướng tìm kiếm
không hiệu quả và phải lặp lại nhiều lần. Ngược lại, nếu dùng nhiều kiến để tăng khả năng tìm được lời giải tốt ở mỗi vòng lặp mà bỏ qua thông tin heuristic thì gây lãng phí và không hiệu quả về thời gian.
2) Đề xuất mô hình thuật toán MMAS-ĐVTN cho bài toán tối ưu định vị tài nguyên cho các lớp dịch vụ có xét đến yêu cầu về QoS có thể áp dụng mềm dẻo khi số lớp dịch vụ lớn. Khắc phục được hạn chế của các phương pháp tất định sử dụng tính chất giải tích của hàm mục tiêu và ràng buộc không hiệu quả khi số lượng lớp dịch vụ tăng. Lựa chọn được bộ tham số phù hợp và đánh giá được sự ảnh hưởng của các tham số trong lớp dịch vụ đến hàm mục tiêu.
3) Đề xuất mô hình thuật toán MMAS-Q.MOF cho bài toán tối ưu tài nguyên cho các luồng dữ liệu đảm bảo yêu cầu về QoS của các ứng dụng đa phương tiện với số lượng ràng buộc lớn. Mục tiêu hướng đến là xây dựng cấu hình cấp phát tài nguyên mạng cho người dùng thỏa mãn các ràng buộc đã cam kết theo trọng số có thể dùng để biểu diễn tương đối mức độ đáp ứng dịch vụ cho một luồng dữ liệu với mục tiêu cực đại hàm chi phí thu được. 4) Đề xuất giải pháp phòng chống tấn công từ chối dịch vụ trong mạng NGN
dựa trên chính sách an ninh bảo mật riêng được thiết lập trên các Router có thể điều khiển được. Các gói tin tấn công được phát hiện tại các nút Router chỉ bị trì hoãn chứ không bị loại bỏ nên không làm mất các gói tin của người dùng hợp lệ mà chỉ làm chậm lại, nhưng thời gian trễ đó là không đáng kể. Kết quả thực nghiệm cho thấy giải pháp đề xuất là một hướng tiếp cận đầy hứa hẹn để ngăn chặn các cuộc tấn công DoS một cách hiệu quả.
Các kết quả của luận án đã công bố trong 10 công trình khoa học được đăng tải trên các tạp chí, hội nghị chuyên ngành trong và ngoài nước.
2. Hướng phát triển
Những vấn đề đề cập đến trong luận án bao phủ trên khá nhiều nội dung, đối với mỗi một nội dung trình bày ở chương tương ứng đều có thể tìm thấy những vấn đề có thể sử dụng để đề xuất nội dung làm định hướng nghiên cứu cho các công trình tiếp theo. Điều đó thể hiện tính mở của những vấn đề đã được nghiên cứu sinh đề cập tới trong luận án. Một số hướng mở của luận án có thể được tiếp tục nghiên cứu là:
1) Mô hình hóa chi tiết các bài toán tối ưu định vị và mở rộng dung lượng mạng không dây sát với thực tế cho phép thực thi và áp dụng trên các dữ liệu thực nhằm giải quyết bài toán quy hoạch và phát triển hạ tầng mạng viễn thông hiện nay.
2) Nghiên cứu mở rộng các thực nghiệm trên với nhiều bộ dữ liệu có các đặc trưng và quy mô khác nhau để kiểm chứng thêm ưu điểm của các thuật toán
đề xuất. Từ đó lựa chọn và thiết lập được các tham số thực thi tốt nhất để thuật toán thu được hiệu quả tốt nhất đặc biệt là các bài toán tối ưu đa mục tiêu.
3) Nghiên cứu cải tiến các thuật toán đã có theo hướng đề xuất thêm các thông tin Heuristic định hướng quá trình tìm kiếm lời giải, kết hợp tìm kiếm cục bộ trong việc tìm các lân cận tốt nhất và thử nghiệm thêm các phương pháp cập nhật vết mùi mới nhằm nâng cao hiệu quả và chất lượng của lời giải. 4) Nghiên cứu các thuật toán xấp xỉ (Approximate) để giải quyết các bài toán
trên và chứng minh được ưu điểm dựa trên lý thuyết toán học là phương án tối ưu tìm thấy tiệm cận đến phương án tối ưu thực sự với một sai số nhỏ tùy ý trong thời gian tuyến tính hoặc đa thức với các hệ số nhỏ và khả thi. 5) Nghiên cứu các giải pháp, mô hình và kỹ thuật phòng chống các kiểu tấn công từ chối dịch vụ mới hiệu quả với nhiều kiểu tấn công đa dạng và phức tạp trong những điều kiện khác nhau.
6) Nghiên cứu mở rộng các bài toán định vị tài nguyên hỗ trợ chất lượng dịch vụ cho các dịch vụ trong môi trường tập trung và phân tán trên mạng có tính tương tác cao như trong lý thuyết trò chơi và các mạng xã hội. Nghiên cứu các kỹ thuật định tuyến mạng đáp ứng yêu cầu về chất lượng dịch vụ, giải pháp điều khiển luồng tránh tắc nghẽn và phân chia tài nguyên cho các luồng tin với các ứng dụng khác nhau một cách hợp lý tránh để các ứng dụng chiếm nhiều tài nguyên gây suy giảm QoS cung cấp.
DANH MỤC CÔNG TRÌNH KHOA HỌC CỦA TÁC GIẢ LIÊN QUAN ĐẾN LUẬN ÁN
1* Dac-Nhuong Leand Gia Nhu Nguyen (2015).A New Ant-Based Approach for Optimal Service Selection with E2E QoS Constraints, The 4th Interna- tional Conference on Soft Computing, Intelligence Systems, and Information Technology (ICSIIT 2015), Indonesia, Communications in Computer and Information Science, Springer Vol.516, pp.98-109.(ISI Proceeding/Scopus) 2* Dac-Nhuong Le(2014), Evaluation of Pheromone Update in Min-Max Ant
System Algorithm to Optimizing QoS for Multimedia Services in NGNs, in proceeding of the 49th International Conference on Emerging ICT for Bridg- ing Future (CSI 2014), Hyderabad, India. Advances in Intelligent System and Computing, Vol.338, pp.9-17, Springer (ISI Proceeding/Scopus).
3* Dac-Nhuong Le (2014), MMAS Algorithm Applied to Optimal Resource Allocation to Support QoS Requirements in NGNs,Proceeding of the8th In- ternational Wireless Internet Conference, Symposium on Wireless and Ve- hicular Communication (WICON 2014), Lisbon, Portugal. Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunica- tions Engineering, Vol.146, pp.209-216, Springer (ISI Proceeding/Scopus). 4* Lê Đắc Nhường, Nguyễn Gia Như, Lê Trọng Vĩnh (2014). Tối ưu phân bố
tài nguyên cho các lớp dịch vụ đáp ứng yêu cầu về QoS trong mạng NGN sử dụng thuật toán tối ưu đàn kiến, Kỷ yếu Hội thảo quốc gia Một số vấn đề chọn lọc của CNTT&TT, Đăklăk Tr.349-354, Nxb KH&KT Hà Nội. 5* Dac-Nhuong Le (2014). DDoS Attack defense in Next Generation Net-
works using Private Security Policy, International Journal of Information & Network Security, Vol.3(3), pp.205-216.
6* Lê Đắc Nhường, Nguyễn Gia Như, Lê Trọng Vĩnh (2013). Giải pháp phòng chống tấn công DDoS dựa trên chính sách bảo mật trong mạng thế hệ mới, Kỷ yếu Hội thảo quốc gia Một số vấn đề chọn lọc của CNTT&TT, Đà Nẵng, Tr.95-102, Nxb KH&KT Hà Nội.
7* Lê Đắc Nhường, Nguyễn Gia Như, Lê Đăng Nguyên, Lê Trọng Vĩnh (2013). Phân tích, đánh giá các cách tiếp cận phỏng sinh học giải bài toán tối ưu vị trí đặt các trạm điều khiển trong mạng không dây,Kỷ yếu Hội thảo quốc gia nghiên cứu cơ bản và ứng dụng Công nghệ thông tin lần thứ 6 (FAIR 2013), Huế, Tr.494-501, Nxb KHTN&CN.
8* Dac-Nhuong Le, Son Hong Ngo, Vinh Trong Le (2013). ACO algorithm applied to multi-objectives Optimal of Capacity Expansion in NGWN, Inter- national Journal of Wireless and Microwave Technologies, Vol.3(1), pp.37-49.
Tiếng Việt
Tiếng Anh
Tài liệu tham khảo