Nghiên cứu một số vấn đề nâng cao chất lượng dịch vụ trong mạng thế hệ mới

15 241 0
Nghiên cứu một số vấn đề nâng cao chất lượng dịch vụ trong mạng thế hệ mới

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN Lê Đắc Nhường NGHIÊN CỨU MỘT SỐ VẤN ĐỀ NÂNG CAO CHẤT LƯỢNG DỊCH VỤ TRONG MẠNG THẾ HỆ MỚI LUẬN ÁN TIẾN SỸ TOÁN HỌC Hà Nội - 2015 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN Lê Đắc Nhường NGHIÊN CỨU MỘT SỐ VẤN ĐỀ NÂNG CAO CHẤT LƯỢNG DỊCH VỤ TRONG MẠNG THẾ HỆ MỚI Chuyên ngành: Cơ sở toán cho Tin học Mã số: 62460110 LUẬN ÁN TIẾN SỸ TOÁN HỌC NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Lê Trọng Vĩnh PGS.TS Ngô Hồng Sơn Hà Nội - 2015 Lời cam đoan Tôi xin cam đoan luận án "Nghiên cứu số vấn đề nâng cao chất lượng dịch vụ mạng hệ mới" công trình nghiên cứu riêng Các số liệu, kết trình bày luận án hoàn toàn trung thực chưa công bố công trình khác Tôi trích dẫn đầy đủ tài liệu tham khảo, công trình nghiên cứu liên quan nước quốc tế Ngoại trừ tài liệu tham khảo này, luận án hoàn toàn công trình riêng Trong công trình khoa học công bố luận án, thể rõ ràng xác đóng góp đồng tác giả đóng góp Các kết viết chung với tác giả khác đồng ý đồng tác giả trước đưa vào luận án Luận án hoàn thành thời gian làm nghiên cứu sinh Bộ môn Tin học, Khoa Toán-Cơ-Tin học, Trường Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội Tác giả: Hà Nội: i Lời cảm ơn Trước hết, muốn cảm ơn PGS.TS Lê Trọng Vĩnh, PGS.TS Ngô Hồng Sơn - người trực tiếp giảng dạy hướng dẫn suốt thời gian học tập thực luận án Một vinh dự lớn cho học tập, nghiên cứu hướng dẫn tận tình, khoa học hai Thầy Tôi xin gửi lời cám ơn đến Thầy, Cô Bộ môn Tin học, Khoa ToánCơ-Tin học giúp đỡ đề xuất, trao đổi nghiên cứu hữu ích cho luận án Xin cảm ơn Thầy, Cô anh chị em góp ý, cổ vũ động viên sát cánh bên suốt trình thực luận án Tôi trân trọng cảm ơn Ban Giám hiệu, Phòng Sau Đại học, Phòng Đào tạo, Phòng Chính trị Công tác sinh viên trường Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội tạo điều kiện thuận lợi cho suốt trình thực luận án Tôi bày tỏ cảm ơn đến Ban Giám hiệu, Khoa Công nghệ thông tin Trường Đại học Hải Phòng tạo điều kiện thời gian tài cho hoàn thành luận án Cuối cùng, xin bày tỏ lòng biết ơn vô hạn cha mẹ, vợ gia đình ủng hộ, giúp đỡ Những người chia sẻ, động viên lúc khó khăn ghi nhớ điều ii Mục lục Lời cam đoan i Lời cảm ơn ii Danh mục từ viết tắt v Danh mục ký hiệu vi Danh mục bảng vii Danh mục hình vẽ viii Mở đầu 1 Một số hướng tiếp cận nâng cao QoS mạng NGN 1.1 Mạng hệ 1.2 Chất lượng dịch vụ 1.2.1 Các tham số phản ánh chất lượng dịch vụ 1.2.2 Phân lớp chất lượng dịch vụ 1.2.3 Mô hình kỹ thuật đảm bảo QoS 1.2.4 Một số nghiên cứu chất lượng dịch vụ 1.3 Bài toán tối ưu tổ hợp 1.3.1 Mô hình toán tổng quát 1.3.2 Các hướng tiếp cận giải toán tối ưu tổ hợp 1.4 Thuật toán tối ưu đàn kiến 1.4.1 Từ đàn kiến tự nhiên đến đàn kiến nhân tạo 1.4.2 Thuật toán ACO cho toán tối ưu tổ hợp 1.4.3 Các thuật toán đàn kiến số vấn đề liên quan 1.4.3.1 Thuật toán Ant System 1.4.3.2 Thuật toán Ant Colony System 1.4.3.3 Thuật toán Max-Min Ant System 1.4.4 Cơ sở hội tụ thuật toán 1.5 Tấn công từ chối dịch vụ nguy thách thức 1.6 Kết chương Tối ưu cấp phát tài nguyên cho dịch vụ 2.1 Mở rộng dung lượng mạng không dây 2.1.1 Mô hình toán 2.1.2 Các nghiên cứu liên quan iii đảm 6 9 10 12 14 16 16 16 19 19 21 23 23 25 26 27 30 32 bảo QoS 33 33 34 37 2.1.3 2.2 2.3 2.4 Đề xuất thuật toán ACO tối ưu mở rộng dung lượng 2.1.3.1 Xây dựng đồ thị có cấu trúc 2.1.3.2 Thủ tục xây dựng lời giải 2.1.3.3 Mô tả thuật toán 2.1.4 Kết thực nghiệm đánh giá Định vị tài nguyên cho lớp dịch vụ 2.2.1 Mô hình toán 2.2.2 Các nghiên cứu liên quan 2.2.3 Tối ưu định vị tài nguyên tập trung cho lớp dịch vụ 2.2.3.1 Đề xuất thuật toán ACO tối ưu định vị tài nguyên 2.2.3.2 Đề xuất thuật toán MMAS tối ưu định vị tài nguyên 2.2.4 Kết thực nghiệm đánh giá Cấp phát tài nguyên cho luồng đa phương tiện 2.3.1 Mô hình toán 2.3.2 Các nghiên cứu liên quan 2.3.3 Đề xuất thuật toán MMAS tối ưu QoS luồng đa phương tiện 2.3.3.1 Xây dựng đồ thị cấu trúc 2.3.3.2 Thủ tục xây dựng lời giải 2.3.3.3 Mô tả thuật toán 2.3.4 Kết hợp qui tắc cập nhật vết mùi MLAS, SMMAS 3LAS 2.3.5 Kết thực nghiệm đánh giá Kết chương Đảm bảo an ninh tính sẵn sàng dịch vụ đáp ứng QoS 3.1 Mô hình đảm bảo ninh dịch vụ mạng NGN 3.1.1 Khuyến nghị ITU-T X.805 3.1.2 Phân tích ưu nhược điểm 3.2 Tấn công từ chối dịch vụ 3.2.1 Mô hình công 3.2.2 Phương pháp công kỹ thuật phòng chống 3.3 Một số nghiên cứu liên quan 3.4 Giải pháp phòng chống công dựa sách 3.5 Thực nghiệm đánh giá 3.6 Kết chương Kết luận 43 43 44 45 46 53 54 58 61 61 62 64 71 71 74 77 77 77 80 80 81 86 87 88 88 90 91 92 93 98 99 102 105 106 Danh mục công trình khoa học tác giả liên quan đến luận án 109 Tài liệu tham khảo 110 iv Danh mục từ viết tắt Viết tắt Dạng đầy đủ Diễn giải ACO ACS AS BSC BSS BTS CoS DiffServ DoS DDoS DNS GA GoS GS IMS IntServ MMAS MS MSC MoS NGN NGWN OSE PSO QoS QoE SLA TCA ToS Ant Colony Optimization Ant Colony System Ant System Base Station Controller Base Station Subsystem Base Transceiver Station Class of Service Differentiated Service Denial of Service Distributed DoS Domain Name System Genetic Algorithm Grade of Service Guaranteed Service IP Multimedia Subsystem Integrated Service Min-Max Ant System Mobile Station Mobile Switching Centers Mean Opinion Score Next Generation Network Next Generation WN Open Service Environment Particle Swarm Optimization Quality of Service Quality of Experience Service Level Agreement Traffic Condition Agreement Type of Service Tối ưu đàn kiến Hệ thống đàn kiến Hệ thống kiến Bộ điều khiển trạm gốc Phân hệ trạm gốc Trạm thu phát sóng gốc Lớp dịch vụ Dịch vụ phân biệt Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ phân tán Hệ thống tên miền Thuật toán di truyền Cấp độ dịch vụ Dịch vụ đảm bảo Phân hệ đa phương tiện Dịch vụ tích hợp Hệ thống kiến Min-Max Trạm di động Tổng đài thông tin di động Điểm đánh giá QoS Mạng hệ Mạng không dây hệ Môi trường dịch vụ mở Tối ưu nhóm bầy Chất lượng dịch vụ Chất lượng trải nghiệm Thỏa thuận mức dịch vụ Thỏa thuận điều kiện lưu lượng Loại dịch vụ v Danh mục ký hiệu Ký hiệu Ý nghĩa α β ρ τ0 τij τmax τmid τmin ∆τij ∆τijbest pijk K NMax s = (s1 , s2 , , sn ) bi Dis di dijt ri (si ) ci (si ) pi βi F = (f1 , , fn ) wi rij R = (Rq+1 , , Rm ) Ri = (Ri1 , , Rim ) Bdownlink Buplink ui (rij ) Tham số ảnh hưởng tương quan mật độ vết mùi Tham số ảnh hưởng tương quan thông tin tri thức Hệ số bay Giá trị khởi tạo vết mùi Vết mùi cạnh (i, j ) Cận giới hạn vết mùi Trung bình giới hạn vết mùi Cận giới hạn vết mùi Lượng vết mùi kiến k để lại cạnh (i, j ) từ i đến j Lượng vết mùi tốt đàn kiến Xác suất lựa chọn cạnh (i, j ) kiến k Số lượng kiến thiết lập Số vòng lặp tối đa thực Tập dịch vụ cung cấp nút mạng thiệt hại không đáp ứng SLA dịch vụ si Yêu cầu liệu kiểu s từ MSi giới hạn mức độ cam kết dịch vụ Khoảng cách MSi tới BTSj loại t lợi nhuận thu từ dịch vụ si chi phí để đáp ứng dịch vụ si người dùng trả dùng dịch vụ si tham số điều khiển độ dốc hàm chi phí Tập luồng đa phương tiện (N số luồng) Trọng số mô tả quan trọng luồng fi Tài nguyên yêu cầu r hoạt động pj luồng fi Lượng tài nguyên giới hạn tất yêu cầu Lượng tài nguyên tiêu thụ luồng fi Băng thông tối đa dành cho Download Băng thông tối đa dành cho Upload Giá trị hữu dụng điểm hoạt động pj luồng fi vi Danh mục bảng 1.1 1.2 1.3 1.4 Phân lớp chất lượng dịch vụ ITU-T Phân lớp chất lượng dịch vụ ETSI Các hướng tiếp cận giải toán tối ưu tổ Quá trình phát triển thuật toán ACO 2.1 2.2 2.20 2.21 2.22 2.23 2.24 2.25 2.26 2.27 2.28 Các ký hiệu dùng toán mở rộng dung lượng mạng So sánh kết Greedy, GENEsYs, LibGA, GGA với ACO-BSC1, ACO-BSC2 So sánh kết Hybrid I, Hybrid II, ACO-BSC1, ACO-BSC2 Thông tin liệu thực nghiệm mở rộng dung lượng mạng Thiết đặt tham số cho thuật toán GA-MRDL ACO-MRDL So sánh dung lượng mở rộng GA-MRDL ACO-MRDL So sánh hàm mục tiêu thuật toán GA-MRDL ACO-MRDL Thông tin tọa độ, dung lượng loại BSC Thông tin tọa độ, dung lượng loại BTS Thông tin tọa độ, dung lượng trạm MS Các ký hiệu toán định vị tài nguyên cho lớp dịch vụ Thiết đặt tham số cho thuật toán ACO MMAS Tham số cho lớp dịch vụ si (i = 1, 2) So sánh kết phân bố tài nguyên thay đổi tốc độ đến trung bình So sánh kết phân bố tài nguyên thay đổi ngưỡng trễ So sánh kết phân bố tài nguyên thay đổi thừa số giá Đánh giá ảnh hưởng tham số Hurst đến hàm mục tiêu So sánh kết phân bố tài nguyên thuật toán MMAS-ĐVTN thay đổi tốc độ đến trung bình α ¯ dịch vụ So sánh kết phân bố tài nguyên thuật toán MMAS-ĐVTN thay đổi tham số giá pi dịch vụ Kết thực nghiệm so sánh thuật toán nhiều lớp dịch vụ Các ký hiệu dùng tối ưu QoS cho luồng đa phương tiện Thiết đặt tham số cho thuật toán Tập tham số yêu cầu ràng buộc luồng dịch vụ AVC Tập tham số luồng đa phương tiện thực nghiệm Tài nguyên yêu cầu chi phí đáp ứng luồng đa phương tiện So sánh hàm mục tiêu thời gian thực thi liệu chuẩn Tham số số lượng luồng theo hướng downlink uplink thực nghiệm So sánh kết thực thi qui tắc cập nhật vết mùi 3.1 3.2 Thiết lập tham số đối tượng thực nghiệm 103 Thiết lập sách bảo mật riêng cho máy chủ 103 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11 2.12 2.13 2.14 2.15 2.16 2.17 2.18 2.19 vii hợp 11 11 17 23 35 46 47 48 49 49 50 51 51 51 56 64 64 69 69 69 69 70 70 70 73 82 84 84 84 85 85 85 Danh mục hình vẽ 1.1 1.2 1.3 Kiến trúc mạng NGN ITU-T Y.2012 Quá trình thực cam kết chất lượng dịch vụ 13 Thí nghiệm cầu đôi thí nghiệm bổ sung 19 2.1 2.2 2.3 2.4 2.5 2.6 Kiến trúc hạ tầng mạng di động không dây Mô hình mở rộng dung lượng mạng không dây Đồ thị cấu trúc toán đặt trạm BSC Đồ thị khởi tạo đồ thị đầy đủ So sánh thời gian thi trung bình GA-MRDL ACO-MRDL So sánh phương án tối ưu toán #2 thuật toán GA-MRDL ACO-MRDL 2.7 Ảnh hưởng số kiến (a) số vòng lặp (b) đến thời gian thực thi ACO-MRDL 2.8 Mô hình phân bố tối ưu tài nguyên dựa vào độ đo (MBORA) 2.9 Quan hệ hàm chi phí với ngưỡng trễ với βi = 10, di = 2.10 Quan hệ kích thước hàng đợi tham số lưu lượng 2.11 Mặt phẳng mô hàm mục tiêu theo phân bố (s1 , s2 ) 33 35 39 44 50 52 53 54 57 59 65 2.12 Ảnh hưởng (¯ α1 , α ¯ ) đến hàm mục tiêu 65 2.13 Ảnh hưởng ngưỡng trễ đến hàm mục tiêu 66 2.14 Ảnh hưởng hệ số giá đến hàm mục tiêu MMAS-ĐVTN 66 2.15 2.16 2.17 2.18 2.19 2.20 2.21 2.22 2.23 2.24 Ảnh hưởng độ lêch |∆Hi | hàm mục tiêu MMAS-ĐVTN So sánh thời gian thực thi PSO, ACO-ĐVTN MMAS-ĐVTN So sánh thời gian thực thi PSO, ACO-ĐVTN MMAS-ĐVTN Q-MOF kiến trúc mạng NGN Các thành phần chức Q-MOF Mô hình giám sát QoSM Giám sát QoS online offline Đồ thị cấu trúc mô tả luồng đa phương tiện fi Mô hình giám sát tối ưu QoS cho luồng đa phương tiện So sánh thời gian thực thi thuật toán luồng 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 Kiến trúc bảo mật biện pháp an ninh ITU-T X.805 Các mô hình công dựa từ chối dịch vụ Các phương pháp hình thức công DDoS Các kỹ thuật phòng chống công DDoS Chính sách bảo mật riêng Quá trình điều khiển đường truyền Kiến trúc mạng mô DDoS Kết kiểm soát băng thông gói tin UDP kịch Kết kiểm soát băng thông NS2 kịch Kết kiểm soát băng thông gói tin UDP kịch Kết kiểm soát băng thông NS2 kịch 88 92 93 96 100 101 102 104 104 104 105 viii 67 67 68 72 72 75 76 78 81 83 - Kiểu công làm cạn kiệt tài nguyên biện pháp đối phó có vấn đề gói tin người sử dụng thường xuyên trộn lẫn với gói tin công bị loại bỏ Gần đây, xu hướng sử dụng Proxy trung gian [1, 72] Moving Firewall [16, 17] để phòng thủ, bảo vệ trước công DoS mà không đòi hỏi thay đổi sở hạ tầng nên thuận lợi cho việc sử dụng quy mô lớn thực tế Phòng thủ DoS sử dụng mạng Proxy thực hai ý tưởng Thứ nhất, Proxy cách ly công ứng dụng, ngăn chặn trực tiếp công DoS mức sở hạ tầng lên ứng dụng Thứ hai, dùng số lượng lớn Proxy biên để phân tán lưu lượng, làm giảm ảnh hưởng công Phòng thủ DoS dựa mạng Proxy cho thấy khả năng, hứa hẹn ứng dụng bảo vệ loạt Proxy vô hướng, tất phải bị kẻ công làm tổn thương để lộ ứng dụng để bị công trực tiếp (có thể điều chỉnh số lượng Proxy vô hướng cách cấu hình mạng Proxy để cung cấp cấu trúc linh hoạt, chống lại thâm nhập kẻ công bảo vệ ứng dụng trước công trực tiếp) Dễ dàng phân tán rộng rãi Proxy biên để khó bị kẻ công làm tràn gây gián đoạn dịch vụ Điều cho phép mạng Proxy chịu công DoS lưu lượng công phân tán (dùng truy cập ứng dụng trung gian để ngăn chặn công trực tiếp cung cấp hệ thống phòng thủ mềm dẻo cho ứng dụng để làm loãng tác động công) Đây mạng Proxy có tiềm để bảo vệ ứng dụng từ công DoS Hệ thống phòng thủ DoS dựa mạng Proxy có tiềm phát triển quy mô rộng lớn mạng Proxy mức ứng dụng xây dựng mức cao Internet không đòi hỏi thay đổi sở hạ tầng Internet có Một số mạng Proxy quy mô lớn thành công (như Content Delivery Networks với mạng Proxy Akamai có tới 15,000 Proxy phát triển 1,200 mạng 65 quốc gia), chứng minh tính thực tế khả thi việc phát triển mạng Proxy quy mô lớn [72] 3.4 Giải pháp phòng chống công dựa sách Bảo vệ ứng dụng dịch vụ Internet trước công câu hỏi để mở cho đề tài nghiên cứu Các chế phòng thủ cố gắng chặn công DoS cách lọc lưu lượng công (đưa lọc bổ sung định tuyến, kiểm tra tất gói liệu đến sở đặc tính hóa lưu lượng, loại bỏ gói tin bị nghi ngờ) mức định tuyến Cisco Tuy nhiên, khó xác định, phân biệt xác công với gói tin bình thường công ngày tinh vi Điều đòi hỏi hệ thống phòng thủ dựa lọc phải điển hình hóa chi tiết theo công http://www.cisco.com 99 Giả thiết kiến trúc mạng NGN xây dựng từ ISP cho phép cung cấp dịch vụ cá nhân mở rộng, nút Router mạng điều khiển ISP phát địa IP bất thường Như phân tích trên, mục tiêu biện pháp phòng chống công DDoS hướng đến giảm thiểu thiệt hại tài nguyên máy chủ Nhưng công DoS sử dụng UDP lại làm tăng băng thông gói tin mạng gửi đến máy chủ từ mạng LAN nên khó để chống lại Các biện pháp phòng chống DoS sử dụng UDP hiệu chưa thực hiệu Vì mục tiêu phương pháp đề xuất báo hướng đến kiểm soát ngăn chặn công DoS dùng UDP Đa số giao thức truyền thông mạng TCP sử dụng Web Servers Mail Servers Còn giao thức UDP sử dụng DNS NTP truyền thông với lượng băng thông nhỏ Giao thức báo hiệu điều khiển lớp ứng dụng SIP sử dụng băng thông rộng để thiết lập, trì, kết thúc phiên truyền thông đa phương tiện sử dụng UDP RTP Tuy nhiên, dịch vụ UDP khó đánh giá bình thường băng thông mạng từ phía ISP Hướng tiếp cận luận án dùng sách an ninh riêng để phát công DoS cách kiểm soát số lượng gói tin UDP phát sinh mạng NGN có vượt giới hạn định đơn vị thời gian với băng thông sẵn có hay không? Giới hạn xác định dựa sách an ninh riêng mạng LAN thiết lập trước công DoS xảy 1) Thiết lập sách an ninh riêng: Băng thông Server dành cho gói tin UDP đơn vị thời gian thiết lập thành tham số để điều khiển công DoS Giá trị số lượng gói tin UDP giây mà băng thông cho phép, nội dung sách an ninh thể Hình 3.5 Trong đó, địa IP Server mô tả địa máy chủ cần kiểm soát, ngưỡng phát công lượng băng thông dành cho UDP kiểm soát bất thường gói tin Hình 3.5: Chính sách bảo mật riêng 2) Phát gói tin IP bất thường: Số lượng gói tin UDP đến Server kiểm soát nhờ Router mạng NGN Tấn công DoS phát khi số lượng gói tin UDP giây vượt số lượng gói tin thiết lập sách bảo mật riêng Việc kiểm tra thực kiểu gói tin UDP, địa IP số hiệu cổng đích 3) Truyền thông báo cho thiết bị: Sau phát bị công DoS, Router gửi cảnh báo đến tất Router khác thông qua giao thức SIP Giao thức SIP xem phần mở rộng sách an ninh riêng Các 100 thông truyền bao gồm kiểu gói tin công, địa IP, số hiệu cổng máy bị công độ trễ yêu cầu Các thông tin sử dụng để đánh dấu gói tin Thời gian trễ sử dụng để điều khiển đường truyền 4) Đánh dấu gói tin: nút Router mạng NGN kiểm tra tất thông tin gói tin dựa vào thông báo gửi đến qua giao thức SIP Các gói tin trước thông qua ghi lại nhãn thời gian tiêu đề mở rộng gói tin IP (Hiện giao thức SIP chưa có chức đề xuất xây dựng) Trong trường hợp gói tin IP có kích thước lớn ta tiến hành phân mảnh trước ghi nhãn thời gian lên phân mảnh Quá trình kiểm soát thực lượng băng thông tối thiểu cho phép chuyển tiếp gói tin UDP từ mạng NGN đến mạng LAN, dựa vào ta ngăn chặn công DoS cách hạn chế số lượng gói tin UDP Hình 3.6 Hình 3.6: Quá trình điều khiển đường truyền Việc điều khiển đường truyền mạng NGN thực dựa thời gian trễ đánh dấu gói tin IP chuyển tiếp lặp lại quay vòng đầu vào nút Router Khi nhận gói tin IP, nhãn thời gian đánh dấu so sánh với thời gian thời để đảm bảo thời gian trễ yêu cầu thêm vào Ví dụ, tốc độ truyền thông trung bình mạng 30Mbps, ta thiết lập sách an ninh riêng với ngưỡng phát công DoS có tỉ lệ gói tin UDP phép lưu thông 10% băng thông tối đa dành cho gói tin UDP 10 Mbps (>3Mbps) Giả sử cần kiểm soát gói tin 1500 byte gửi đến địa “X” qua cổng số "Y" với sách hệ thống đếm số gói tin UDP đơn vị thời gian, tỉ lệ gói tin UDP chiếm 10% (chẳng hạn Mbps) gói tin xem bất thường Nếu gói tin có địa “X”, số hiệu cổng “Y”, kích thước trung bình 1500 byte xem gói tin công Với băng thông cho phép tối đa gói tin UDP 10 Mbps, ta cần kiểm soát cho thông giới hạn mức Mbps thời gian trễ gói tin tính ms Khi gói tin IP đánh dấu đường truyền đến đầu vào router Router định chuyển gói tin hay không cách lấy thời gian trừ thời gian đánh dấu gói tin so sánh với thời gian trễ qui định (2 ms) Nếu lớn gói tin xem an toàn truyền đến địa IP đích thông qua router lõi 101 mạng NGN nhằm giảm tốc độ bit đường truyền xuống Mbps Ngược lại gói tin có thời gian trễ nhỏ gửi lại đến router Vì thế, phương pháp đề xuất làm giảm số lượng gói tin đơn vị thời gian cách kiểm soát độ trễ gói tin Đồng nghĩa với việc công DoS kiểm soát nhờ việc tăng độ trễ gói tin công Tuy nhiên, gói tin hợp lệ từ phía người dùng bị ảnh hưởng độ trễ nhỏ 3.5 Thực nghiệm đánh giá Kiến trúc mạng mô kết hợp mạng LAN, NGN Internet thể Hình 3.7 Trong đó, luận án sử dụng nguồn phát sinh gói tin UDP từ Internet Một nguồn sinh người dùng A B , nguồn lại kẻ công DoS tạo Giả sử tất gói tin UDP truyền qua mạng NGN từ mạng Internet đến mạng LAN, băng thông truy cập truyền mạng NGN LAN 10 Mbps, băng thông mạng Internet NGN lớn 10 Mbps, băng thông Router điều khiển với Router lõi 100 Mbps Hình 3.7: Kiến trúc mạng mô DDoS Để kiểm chứng giải pháp đề xuất, luận án tiến hành thực nghiệm mô phần mềm NS2 phiên 2.33 [7] với cấu trúc mạng mô công gồm 20 nút (ni , i = 20) sau: Nút Nút Nút Nút Nút Nút n1 , n2 , n3 , n4 , n5 biểu diễn Router lõi n6 , n7 , n8 , n9 , n10 biểu diễn nút Router điều khiển n12 , n13 , n14 , n15 , n16 biểu diễn người dùng n17 , n18 , n19 , n20 máy chủ NTP , HTTP , DNS1 , DNS2 n11 kẻ công n19 , n20 đích công 102 Kịch mô thực với thời gian công kéo dài 30 giây, thời điểm bắt đầu công giây thứ Thông số đánh giá tỷ lệ băng thông truy cập đường truyền mức thông thường điều khiển với sách an ninh riêng Tham số chi tiết cho đối tượng thực nghiệm thể Bảng 3.1 với tốc độ truyền không đổi Bảng 3.1: Thiết lập tham số đối tượng thực nghiệm Đối tượng Kẻ công n11 Người dùng n12 , n15 Người dùng n13 , n14 , n16 DNS: n17 , NTP: n18 Tham số Giá trị Giao thức Kích thước gói tin Băng thông truyền Giao thức Kích thước gói tin Băng thông truyền Giao thức Kích thước gói tin Băng thông truyền Giao thức Kích thước gói tin Băng thông truyền UDP 64 Byte 10 Mbps TCP 64/512/1500 Byte 1.3 Mbps TCP 64/512/1500 Byte Mbps UDP 64/512 Byte 0.7 Mbps (0.35Mbps x 2) Chính sách bảo mật thiết lập bảo vệ n19 n20 thể Bảng 3.2 Bảng 3.2: Thiết lập sách bảo mật riêng cho máy chủ Tên Server HTTP Server(n19 ) DNS2 Server(n20 ) Chính sách bảo mật riêng Băng thông tối đa Cổng TCP Cổng UDP Ngưỡng phát công Băng thông dành cho UDP Băng thông tối đa Ngưỡng phát công Cổng UDP Băng thông dành cho UDP Cổng UDP Băng thông dành cho UDP Giá trị 10 Mbps 80 123 10% (= Mbps) 1.75 Mbps 10 Mbps 10% (= Mbps) 53 3.5 Mbps 123 1.75 Mbps Kịch 1: Nút n11 công vào n19 , người dùng n12 , n14 lúc truy cập đến n19 Ban đầu, khoảng thời gian từ đến giây, lưu lượng gói tin UDP mạng người dùng thông thường kẻ công 1.15 Mbps Khi kẻ công thực lệnh công chiếm toàn băng thông đường truyền từ giây thứ Lúc hệ thống mạng rơi vào tình trạng tắc nghẽn tạm thời Nhưng áp dụng phương pháp kiểm soát sau giây phát công DoS băng thông mạng bị công DoS giảm xuống gần với băng thông người dùng thông thường nằm ngưỡng cho phép 1.75 Mbps Kết theo trình kiểm soát điều khiển lưu lượng hệ thống minh họa Hình 3.8 Hình 3.9 103 [...]... ứng dụng Thứ hai, dùng số lượng lớn Proxy biên ngoài để phân tán lưu lượng, làm giảm ảnh hưởng của tấn công Phòng thủ DoS dựa trên mạng Proxy cho thấy được khả năng, sự hứa hẹn bởi vì khi một ứng dụng đã được bảo vệ bởi một loạt các Proxy vô hướng, chỉ khi tất cả đều phải bị những kẻ tấn công làm tổn thương thì mới để lộ ra ứng dụng để bị tấn công trực tiếp (có thể điều chỉnh số lượng các Proxy vô hướng... Internet hiện có Một số mạng Proxy quy mô lớn thành công (như Content Delivery Networks với mạng Proxy Akamai có tới hơn 15,000 Proxy phát triển trong hơn 1,200 mạng trên 65 quốc gia), chứng minh tính thực tế khả thi của việc phát triển những mạng Proxy quy mô lớn [72] 3.4 Giải pháp phòng chống tấn công dựa trên chính sách Bảo vệ ứng dụng dịch vụ Internet trước các cuộc tấn công đang là một câu hỏi còn... gói tin IP bất thường: Số lượng gói tin UDP đến Server có thể kiểm soát nhờ các Router trong mạng NGN Tấn công DoS được phát hiện khi khi số lượng các gói tin UDP trong một giây vượt quá số lượng gói tin đã được thiết lập trong chính sách bảo mật riêng Việc kiểm tra được thực hiện trên kiểu gói tin UDP, địa chỉ IP và số hiệu cổng đích 3) Truyền thông báo cho các thiết bị: Sau khi phát hiện bị tấn công... UDP phát sinh trong mạng NGN có vượt quá một giới hạn nhất định trong một đơn vị thời gian với băng thông sẵn có hay không? Giới hạn này được xác định dựa trên chính sách an ninh riêng trên mạng LAN và được thiết lập trước khi tấn công DoS xảy ra 1) Thiết lập chính sách an ninh riêng: Băng thông của Server dành cho các gói tin UDP trong một đơn vị thời gian được thiết lập thành tham số để điều khiển... Internet được thể hiện trong Hình 3.7 Trong đó, luận án sử dụng 2 nguồn phát sinh gói tin UDP chính từ Internet Một nguồn được sinh ra bởi 2 người dùng là A và B , nguồn còn lại là do kẻ tấn công DoS tạo ra Giả sử rằng tất cả các gói tin UDP đều được truyền qua mạng NGN từ mạng Internet đến mạng LAN, băng thông truy cập được truyền giữa mạng NGN và LAN là 10 Mbps, băng thông giữa mạng Internet và NGN... Vì thế, phương pháp đề xuất sẽ làm giảm số lượng các gói tin trong một đơn vị thời gian bằng cách kiểm soát độ trễ của các gói tin Đồng nghĩa với việc các cuộc tấn công DoS sẽ được kiểm soát nhờ việc tăng độ trễ của các gói tin tấn công Tuy nhiên, các gói tin hợp lệ từ phía người dùng cũng bị ảnh hưởng bởi độ trễ nhưng là rất nhỏ 3.5 Thực nghiệm và đánh giá Kiến trúc mạng mô phỏng là sự kết hợp của mạng. .. Giá trị này bằng số lượng các gói tin UDP trong 1 giây mà băng thông cho phép, nội dung chính sách an ninh được thể hiện trong Hình 3.5 Trong đó, địa chỉ IP của Server sẽ mô tả địa chỉ máy chủ cần kiểm soát, ngưỡng phát hiện tấn công và lượng băng thông dành cho UDP sẽ kiểm soát sự bất thường của các gói tin Hình 3.5: Chính sách bảo mật riêng 2) Phát hiện gói tin IP bất thường: Số lượng gói tin UDP... đầu, trong khoảng thời gian từ 0 đến 5 giây, lưu lượng gói tin UDP trong mạng của cả người dùng thông thường và kẻ tấn công đều là 1.15 Mbps Khi kẻ tấn công thực hiện lệnh tấn công sẽ chiếm toàn bộ băng thông đường truyền từ giây thứ 5 Lúc này hệ thống mạng sẽ rơi vào tình trạng tắc nghẽn tạm thời Nhưng khi áp dụng phương pháp kiểm soát sau 5 giây khi phát hiện tấn công DoS thì băng thông của mạng. .. có chức năng này và đang được đề xuất xây dựng) Trong trường hợp các gói tin IP có kích thước lớn thì ta tiến hành phân mảnh trước khi ghi nhãn thời gian lên các phân mảnh đó Quá trình kiểm soát được thực hiện bằng lượng băng thông tối thiểu cho phép chuyển tiếp các gói tin UDP từ mạng NGN đến mạng LAN, dựa vào đó ta sẽ ngăn chặn được các tấn công DoS bằng cách hạn chế số lượng gói tin UDP như Hình 3.6... chặn những cuộc tấn công trực tiếp và cung cấp hệ thống phòng thủ mềm dẻo cho ứng dụng để làm loãng tác động của các cuộc tấn công) Đây là một mạng Proxy có tiềm năng để bảo vệ ứng dụng từ những cuộc tấn công DoS Hệ thống phòng thủ DoS dựa trên mạng Proxy cũng có tiềm năng phát triển trên quy mô rộng lớn vì các mạng Proxy mức ứng dụng được xây dựng ở mức cao của Internet sẽ không đòi hỏi bất kỳ thay

Ngày đăng: 09/09/2016, 09:46

Từ khóa liên quan

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan