Kiến trúc mạng mô phỏng DDoS

Một phần của tài liệu (LUẬN án TIẾN sĩ) nghiên cứu một số vấn đề nâng cao chất lượng dịch vụ trong mạng thế hệ mới 62 46 01 10 (Trang 112)

3 Đảm bảo an ninh và tính sẵn sàng của dịch vụ đáp ứng QoS

3.7 Kiến trúc mạng mô phỏng DDoS

Để kiểm chứng giải pháp đề xuất, luận án đã tiến hành thực nghiệm mô phỏng trên phần mềm NS2 phiên bản 2.33 [7] với cấu trúc mạng mô phỏng tấn công gồm 20 nút (ni,i = 1..20) như sau:

Nútn1,n2,n3,n4,n5 biểu diễn các Router lõi.

Nútn6,n7,n8,n9,n10 biểu diễn các nút Router có thể điều khiển được.

Nútn12,n13,n14,n15,n16 biểu diễn người dùng.

Nútn17,n18,n19,n20 lần lượt là các máy chủ NTP, HTTP, DNS1, DNS2.

Nútn11 là kẻ tấn công.

Kịch bản mô phỏng được thực hiện với thời gian tấn công kéo dài 30 giây, thời điểm bắt đầu tấn công là giây thứ 5. Thông số đánh giá là tỷ lệ băng thông truy cập đường truyền ở mức thơng thường và khi được điều khiển với chính sách an ninh riêng. Tham số chi tiết cho các đối tượng thực nghiệm được thể hiện trong Bảng 3.1 với tốc độ truyền không đổi.

Bảng 3.1: Thiết lập tham số các đối tượng thực nghiệm

Đối tượng Tham số Giá trị

Giao thức UDP

Kẻ tấn cơngn11 Kích thước gói tin 64 Byte

Băng thơng truyền 10 Mbps

Giao thức TCP

Người dùngn12,n15 Kích thước gói tin 64/512/1500 Byte

Băng thơng truyền 1.3 Mbps

Giao thức TCP

Người dùngn13,n14,n16 Kích thước gói tin 64/512/1500 Byte

Băng thơng truyền 5 Mbps Giao thức UDP DNS:n17, NTP:n18 Kích thước gói tin 64/512 Byte

Băng thơng truyền 0.7 Mbps (0.35Mbps x 2)

Chính sách bảo mật được thiết lập bảo vệ đối với n19 và n20 được thể hiện trong Bảng3.2.

Bảng 3.2: Thiết lập chính sách bảo mật riêng cho các máy chủ

Tên Server Chính sách bảo mật riêng Giá trị Băng thông tối đa 10 Mbps

Cổng TCP 80

HTTP Server(n19) Cổng UDP 123

Ngưỡng phát hiện tấn công 10% (= 1 Mbps)

Băng thông dành cho UDP 1.75 Mbps

Băng thông tối đa 10 Mbps

Ngưỡng phát hiện tấn công 10% (= 1 Mbps) DNS2 Server(n20) Cổng UDP 53

Băng thông dành cho UDP 3.5 Mbps

Cổng UDP 123

Băng thông dành cho UDP 1.75 Mbps

Kịch bản 1: Nút n11 tấn công vào n19, các người dùng n12, n14 cùng lúc truy cập đến n19. Ban đầu, trong khoảng thời gian từ 0 đến 5 giây, lưu lượng gói tin UDP trong mạng của cả người dùng thông thường và kẻ tấn công đều là 1.15 Mbps. Khi kẻ tấn công thực hiện lệnh tấn công sẽ chiếm tồn bộ băng thơng đường truyền từ giây thứ 5. Lúc này hệ thống mạng sẽ rơi vào tình trạng tắc nghẽn tạm thời. Nhưng khi áp dụng phương pháp kiểm sốt sau 5 giây khi phát hiện tấn cơng DoS thì băng thơng của mạng bị tấn công DoS đã giảm xuống gần với băng thông của người dùng thông thường và nằm dưới ngưỡng cho phép 1.75 Mbps. Kết quả theo q trình kiểm sốt và điều khiển lưu lượng hệ thống được minh họa trong Hình3.8 và Hình 3.9.

Hình 3.8: Kết quả kiểm sốt băng thơng gói tin UDP của kịch bản 1

Hình 3.9: Kết quả kiểm sốt băng thông trên NS2 trong kịch bản 1

Kịch bản 2: Nút n11 tấn công đồng thời vào n19 vàn20, người dùngn12,n14 cùng gửi gói tin đến n19, người dùng n13,n15,n16 gửi gói tin đến n20. Trong thời gian từ 0-5 giây, lưu lượng mạng của cả người dùng thông thường và kẻ tấn công DoS đều chiếm 50% bằng thơng. Sau đó, mơ phỏng kẻ tấn cơng thực hiện chiếm tồn bộ băng thơng đường truyền 10 Mbps từ giây thứ 5. Khi áp dụng phương pháp kiểm soát dựa trên thời gian trễ sau 5 giây khi phát hiện tấn cơng DoS thì băng thơng của mạng bị tấn cơng DoS giảm xuống gần với băng thông của người dùng thơng thường như Hình 3.10 và Hình 3.11.

Hình 3.10: Kết quả kiểm sốt băng thơng gói tin UDP của kịch bản 2

Kết quả mô phỏng cho thấy tắc nghẽn tạm thời gây ra bởi cuộc tấn công DoS. Nhưng sau khi phương pháp điều khiển cuộc tấn công DoS được thực hiện, băng thông giao tiếp của người sử dụng thường xuyên được bảo đảm và những

Hình 3.11: Kết quả kiểm sốt băng thơng trên NS2 trong kịch bản 2

người sử dụng có thể giao tiếp mà không cần bất kỳ ảnh hưởng của các cuộc tấn công DoS. Điều này cũng khẳng định rằng dịng lưu lượng trong nội bộ mạng khơng bị ảnh hưởng bởi các gói tin tấn cơng DoS đã được kiểm soát tại các cổng vào của Router. Sự khác biệt giữa đề xuất trong bài báo này và nghiên cứu trước đó thể hiện ở các điểm sau:

- Phương pháp kiểm sốt tấn cơng của DoS sử dụng thiết bị Moving Fire- wall [16, 17] dùng để điều khiển băng thơng cịn giải pháp đề xuất điều

khiển độ trễ tại các nút Router.

- Các gói tin tấn cơng DoS được phát hiện tại các nút Router chỉ bị trì hỗn chứ khơng bị loại bỏ như như Moving Firewall và Proxy nên không làm mất các gói tin của người dùng hợp lệ mà chỉ làm chậm lại, nhưng thời gian trễ đó là khơng đáng kể.

- Giải pháp đề xuất chỉ sử dụng các nút Router điều khiển được tại các cổng mạng trong khi phương pháp Moving Firewall, Proxy thiết lập trên toàn bộ mạng giống như các cảm biến.

3.6 Kết chương

Trong chương này, luận án đã phân tích những thách thức và khó khăn trong việc đảm bảo an ninh các dịch vụ trong mạng NGN. Đặc biệt là những khó khăn khi ngăn chặn các cuộc tấn công DoS đối với các máy chủ dịch vụ, đây thực sự là một vấn đề nan giải. Từ những phân tích đó, luận án đề xuất biện pháp phịng chống tấn cơng DoS trong mạng NGN dựa trên chính sách an ninh riêng được thiết lập trên các Router có thể điều khiển được. Hiệu quả của biện pháp đề xuất đã được mô phỏng trên NS2 và so sánh đánh giá với những hướng tiếp cận trước đó. Kết quả thực nghiệm cho thấy giải pháp đề xuất là một hướng tiếp cận đầy hứa hẹn để ngăn chặn các cuộc tấn công từ chối dịch vụ phân tán một cách hiệu quả. Kết quả trên đã được công bố trong [5*, 6*].

Kết luận

Trong luận án, tác giả đã trình bày các kết quả nghiên cứu về nâng cấp và mở rộng cơ sở hạ tầng các mạng hiện có lên mạng thế hệ mới nhằm tối ưu vị trí các thiết bị, kết nối và dung lượng. Đặc biệt là tập trung đến việc quản lý, phân bố tài nguyên tập trung cho các lớp dịch vụ và các luồng đa phương tiện. Đây là một vấn đề có ý nghĩa cả về khoa học lẫn thực tiễn để đáp ứng được sự phát triển nhanh và đa dạng của các dịch vụ chất lượng cao trên nền IP trong mạng NGN. Trên cả lý thuyết và thực tế, việc quản lý phân bố tài nguyên cho các dịch vụ đều được mơ hình hóa dưới dạng các bài tốn tối ưu tổ hợp. Khi đó, chúng ta cần tìm các giá chị cho các biến rời rạc để đạt cực trị cho một hàm mục tiêu nào đó. Hầu hết các bài tốn này đều thuộc lớp NP-Khó. Do đó, các thuật tốn tất định thường khơng khả thi vì thời gian thực hiện q lớn đặc biệt là trong sự phát triển của môi trường mạng. Hướng tiếp cận của luận án là tìm kiếm lời giải gần tối ưu trong thời gian chấp nhận được sử dụng thuật toán tối ưu đàn kiến. Đây là kỹ thuật tính tốn mềm mới và hiệu quả hiện để giải quyết các bài toán tối ưu rời rạc nhờ mơ phỏng hành vi đàn kiến tìm mồi với khả năng di chuyển ngẫu nhiên dựa trên vết mùi được xây dựng dựa trên lý thuyết xác suất. Sau đó, luận án tập trung nghiên cứu và đề xuất giải pháp phịng chống tấn cơng từ chối dịch vụ. Đây là nguy cơ số một làm giảm sự sẵn sàng của việc cung cấp dịch vụ đến người dùng bằng cách tấn công trực tiếp vào cơ sở hạ tầng dịch vụ.

1. Các đóng góp của luận án

Những kết quả nghiên cứu của luận án có ý nghĩa trong việc bổ sung và hồn thiện các giải pháp tối ưu quy hoạch và cấp phát tài nguyên hiệu quả cho các lớp dịch vụ đảm bảo yêu cầu về QoS. Cụ thể, các đóng góp mới của q trình nghiên cứu luận án như sau:

1) Đề xuất mơ hình thuật tốn ACO-MRDL cho bài tốn tối ưu đa mục tiêu mở rộng dung lượng mạng với các thông tin heuristic hiệu quả cho phép từng bước thu hẹp phạm vi tìm kiếm kết hợp học tăng cường mà vẫn khơng bỏ qua các lời giải tốt. Bằng thực nghiệm, luận án đã lựa chọn được bộ tham số phù hợp và đánh giá được ảnh hưởng của số lượng kiến và số vòng lặp đến thời gian thực thi và hàm mục tiêu của thuật toán. Nếu sử dụng ít kiến sẽ khơng tìm được lời giải tốt ngay từ những vòng lặp đầu khiến các vết mùi được cập nhật dựa vào lời giải không tốt dẫn đến định hướng tìm kiếm

khơng hiệu quả và phải lặp lại nhiều lần. Ngược lại, nếu dùng nhiều kiến để tăng khả năng tìm được lời giải tốt ở mỗi vịng lặp mà bỏ qua thơng tin heuristic thì gây lãng phí và khơng hiệu quả về thời gian.

2) Đề xuất mơ hình thuật tốn MMAS-ĐVTN cho bài tốn tối ưu định vị tài nguyên cho các lớp dịch vụ có xét đến yêu cầu về QoS có thể áp dụng mềm dẻo khi số lớp dịch vụ lớn. Khắc phục được hạn chế của các phương pháp tất định sử dụng tính chất giải tích của hàm mục tiêu và ràng buộc không hiệu quả khi số lượng lớp dịch vụ tăng. Lựa chọn được bộ tham số phù hợp và đánh giá được sự ảnh hưởng của các tham số trong lớp dịch vụ đến hàm mục tiêu.

3) Đề xuất mơ hình thuật tốn MMAS-Q.MOF cho bài tốn tối ưu tài nguyên cho các luồng dữ liệu đảm bảo yêu cầu về QoS của các ứng dụng đa phương tiện với số lượng ràng buộc lớn. Mục tiêu hướng đến là xây dựng cấu hình cấp phát tài nguyên mạng cho người dùng thỏa mãn các ràng buộc đã cam kết theo trọng số có thể dùng để biểu diễn tương đối mức độ đáp ứng dịch vụ cho một luồng dữ liệu với mục tiêu cực đại hàm chi phí thu được. 4) Đề xuất giải pháp phịng chống tấn cơng từ chối dịch vụ trong mạng NGN

dựa trên chính sách an ninh bảo mật riêng được thiết lập trên các Router có thể điều khiển được. Các gói tin tấn cơng được phát hiện tại các nút Router chỉ bị trì hỗn chứ khơng bị loại bỏ nên khơng làm mất các gói tin của người dùng hợp lệ mà chỉ làm chậm lại, nhưng thời gian trễ đó là khơng đáng kể. Kết quả thực nghiệm cho thấy giải pháp đề xuất là một hướng tiếp cận đầy hứa hẹn để ngăn chặn các cuộc tấn công DoS một cách hiệu quả.

Các kết quả của luận án đã cơng bố trong 10 cơng trình khoa học được đăng tải trên các tạp chí, hội nghị chuyên ngành trong và ngoài nước.

2. Hướng phát triển

Những vấn đề đề cập đến trong luận án bao phủ trên khá nhiều nội dung, đối với mỗi một nội dung trình bày ở chương tương ứng đều có thể tìm thấy những vấn đề có thể sử dụng để đề xuất nội dung làm định hướng nghiên cứu cho các cơng trình tiếp theo. Điều đó thể hiện tính mở của những vấn đề đã được nghiên cứu sinh đề cập tới trong luận án. Một số hướng mở của luận án có thể được tiếp tục nghiên cứu là:

1) Mơ hình hóa chi tiết các bài tốn tối ưu định vị và mở rộng dung lượng mạng không dây sát với thực tế cho phép thực thi và áp dụng trên các dữ liệu thực nhằm giải quyết bài tốn quy hoạch và phát triển hạ tầng mạng viễn thơng hiện nay.

2) Nghiên cứu mở rộng các thực nghiệm trên với nhiều bộ dữ liệu có các đặc trưng và quy mô khác nhau để kiểm chứng thêm ưu điểm của các thuật tốn

đề xuất. Từ đó lựa chọn và thiết lập được các tham số thực thi tốt nhất để thuật toán thu được hiệu quả tốt nhất đặc biệt là các bài toán tối ưu đa mục tiêu.

3) Nghiên cứu cải tiến các thuật tốn đã có theo hướng đề xuất thêm các thơng tin Heuristic định hướng q trình tìm kiếm lời giải, kết hợp tìm kiếm cục bộ trong việc tìm các lân cận tốt nhất và thử nghiệm thêm các phương pháp cập nhật vết mùi mới nhằm nâng cao hiệu quả và chất lượng của lời giải. 4) Nghiên cứu các thuật toán xấp xỉ (Approximate) để giải quyết các bài toán

trên và chứng minh được ưu điểm dựa trên lý thuyết tốn học là phương án tối ưu tìm thấy tiệm cận đến phương án tối ưu thực sự với một sai số nhỏ tùy ý trong thời gian tuyến tính hoặc đa thức với các hệ số nhỏ và khả thi. 5) Nghiên cứu các giải pháp, mơ hình và kỹ thuật phịng chống các kiểu tấn công từ chối dịch vụ mới hiệu quả với nhiều kiểu tấn công đa dạng và phức tạp trong những điều kiện khác nhau.

6) Nghiên cứu mở rộng các bài toán định vị tài nguyên hỗ trợ chất lượng dịch vụ cho các dịch vụ trong môi trường tập trung và phân tán trên mạng có tính tương tác cao như trong lý thuyết trị chơi và các mạng xã hội. Nghiên cứu các kỹ thuật định tuyến mạng đáp ứng yêu cầu về chất lượng dịch vụ, giải pháp điều khiển luồng tránh tắc nghẽn và phân chia tài nguyên cho các luồng tin với các ứng dụng khác nhau một cách hợp lý tránh để các ứng dụng chiếm nhiều tài nguyên gây suy giảm QoS cung cấp.

DANH MỤC CƠNG TRÌNH KHOA HỌC CỦA TÁC GIẢ LIÊN QUAN ĐẾN LUẬN ÁN

1* Dac-Nhuong Leand Gia Nhu Nguyen (2015).A New Ant-Based Approach for Optimal Service Selection with E2E QoS Constraints, The 4th Interna- tional Conference on Soft Computing, Intelligence Systems, and Information Technology (ICSIIT 2015), Indonesia, Communications in Computer and Information Science, Springer Vol.516, pp.98-109.(ISI Proceeding/Scopus) 2* Dac-Nhuong Le(2014), Evaluation of Pheromone Update in Min-Max Ant

System Algorithm to Optimizing QoS for Multimedia Services in NGNs, in proceeding of the 49th International Conference on Emerging ICT for Bridg- ing Future (CSI 2014), Hyderabad, India. Advances in Intelligent System and Computing, Vol.338, pp.9-17, Springer (ISI Proceeding/Scopus).

3* Dac-Nhuong Le (2014), MMAS Algorithm Applied to Optimal Resource Allocation to Support QoS Requirements in NGNs,Proceeding of the8th In- ternational Wireless Internet Conference, Symposium on Wireless and Ve- hicular Communication (WICON 2014), Lisbon, Portugal. Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunica- tions Engineering, Vol.146, pp.209-216, Springer (ISI Proceeding/Scopus). 4* Lê Đắc Nhường, Nguyễn Gia Như, Lê Trọng Vĩnh (2014). Tối ưu phân bố

tài nguyên cho các lớp dịch vụ đáp ứng yêu cầu về QoS trong mạng NGN sử dụng thuật toán tối ưu đàn kiến, Kỷ yếu Hội thảo quốc gia Một số vấn đề chọn lọc của CNTT&TT, Đăklăk Tr.349-354, Nxb KH&KT Hà Nội. 5* Dac-Nhuong Le (2014). DDoS Attack defense in Next Generation Net-

works using Private Security Policy, International Journal of Information & Network Security, Vol.3(3), pp.205-216.

6* Lê Đắc Nhường, Nguyễn Gia Như, Lê Trọng Vĩnh (2013). Giải pháp phịng

chống tấn cơng DDoS dựa trên chính sách bảo mật trong mạng thế hệ mới, Kỷ yếu Hội thảo quốc gia Một số vấn đề chọn lọc của CNTT&TT, Đà Nẵng, Tr.95-102, Nxb KH&KT Hà Nội.

7* Lê Đắc Nhường, Nguyễn Gia Như, Lê Đăng Nguyên, Lê Trọng Vĩnh (2013).

Phân tích, đánh giá các cách tiếp cận phỏng sinh học giải bài tốn tối ưu vị trí đặt các trạm điều khiển trong mạng không dây,Kỷ yếu Hội thảo quốc gia nghiên cứu cơ bản và ứng dụng Công nghệ thông tin lần thứ 6 (FAIR 2013), Huế, Tr.494-501, Nxb KHTN&CN.

8* Dac-Nhuong Le, Son Hong Ngo, Vinh Trong Le (2013). ACO algorithm applied to multi-objectives Optimal of Capacity Expansion in NGWN, Inter- national Journal of Wireless and Microwave Technologies, Vol.3(1), pp.37-49.

Tiếng Việt

Tiếng Anh

Tài liệu tham khảo

[1] Dương Tuấn Anh. Xây dựng các điều kiện giới hạn phục vụ phân bố lưu lượng dịch vụ IP

Một phần của tài liệu (LUẬN án TIẾN sĩ) nghiên cứu một số vấn đề nâng cao chất lượng dịch vụ trong mạng thế hệ mới 62 46 01 10 (Trang 112)

Tải bản đầy đủ (PDF)

(124 trang)