Khóa luận Nghiên cứu tính toán lưới và áp dụng giải bài toán trong an toàn thông tin

 biến riêng lẻ. Các cảm biến này 
tập hợp và chuyển tất cả các dữ liệu tới hệ thống quản lý trung tâm, nơi dữ liệu IDS 
của mạng Ad Hoc được lưu trữ và xử lý. G-IDS không tập trung thường có thêm một 
hoặc nhiều hơn các thiết bị hợp tác để thực hiện chức năng báo cáo quá trình tập hợp 
và xử lý dữ liệu trên G-IDS. Ý tưởng đằng sau mục tiêu của G-IDS rất đơn giản: để 
định nghĩa một bộ phân tích lưu lượng thông tin phân tán, cần phải tính toán các nguồn 
tài nguyên và ghi lọc các thông điệp thực thi có liên quan đến các hành động an toàn 
trong thời gian thực. Các hệ thống phát hiện và đáp lại những xâm nhập có thể vừa 
phân tán vừa hợp tác để phù hợp với những yêu cầu của mạng không dây di động. 
Trong kiến trúc được đề xướng, mọi node trong mạng Ad Hoc di động đều tham 
gia vào việc phát hiện và hồi đáp xâm nhập. Mỗi node chịu trách nhiệm phát hiện các 
dấu hiệu xâm nhập cục bộ và độc lập, nhưng các node kế cận có thể cộng tác điều tra 
trong một phạm vi rộng. Các G-IDS Agent riêng lẻ chạy độc lập và giám sát các hoạt 
động cục bộ. Nó phát hiện xâm nhập từ những vết tích cục bộ và khởi tạo các phản hồi. 
Nếu sự dị thường được phát hiện trong dữ liệu cục bộ, hoặc nếu bằng chứng không xác 
định, G-IDS Agent kế cận sẽ được kết nối tới Grid, thực thi lần đầu một số hành động 
mềm (soft actions) trên node bị “nhiễm” (một node bị ảnh hưởng bởi hành động tấn 
công) và nếu cần sẽ có các hành động cứng (hard actions) trên node bị nhiễm ban đầu 
và sau đó là các node kế cận (định tuyến, khôi phục và cấu hình lại hệ thống mạng). 
58 
Các G-IDS Agent sẽ tham gia hợp tác trong các hành động phát hiện xâm nhập 
tổng thể, chia sẻ phần cứng và các tài nguyên phần mềm do được kết nối tới cùng Grid. 
Các G-IDS Agent riêng lẻ này sẽ chạy trong mỗi node di động, tập hợp mẫu hệ thống 
G-IDS tổng thể để bảo vệ mạng không dây di động. 
Hình 12: Hệ thống G-IDS tổng thể 
 Kiến trúc bảo mật G-IDS đã đề xuất định nghĩa một quá trình theo dõi liên tục, 
dựa trên ý tưởng: “Nếu bạn có thể phản hồi đủ nhanh, bạn có thể đá anh ta ra trước khi 
anh ta gây nguy hiểm..”. 
59 
Mỗi G-IDS Agent của một node không dây kết nối tới mạng Ad Hoc cung cấp 
các dịch vụ sau đây: 
1/. Theo dõi liên tục 
Thực hiện một hệ thống theo dõi ở chế độ thụ động. Nó đại diện cho khối thành 
phần cơ bản của một cơ sở hạ tầng theo dõi mạng Ad Hoc cho phép chia sẻ những 
thống kê lưu lượng thông tin và các thông tin trên toàn bộ Grid. Module CoMo thực thi 
2 mức theo dõi: mức hệ thống và mức ứng dụng. 
2/. Ra quyết định 
Đây là một phần của hệ thống điều khiển dây chuyền đóng, sử dụng dữ liệu từ 
dịch vụ CoMo, ra quyết định về những hành động thời gian thực cần thiết để xử lý 
những sự dị thường liên quan đến các xâm nhập mạng. Module này thực thi các logic 
cần thiết để phân tích hành vi và ra quyết định đối với các dị thường vừa phát hiện ra. 
3/. Thực thi hành động 
Tất cả các node sẽ có các module hành động chịu trách nhiệm xử lý tình trạng 
xâm nhập trên một host không dây. 
4/. Truyền thông 
Mỗi node trao đổi thông tin về các hành vi lạ thường và hiểm độc trên một vài 
đoạn mạng (segment) hoặc trên các host nhất định, đồng thời đáp trả những hành vi 
xâm nhập đó. Dịch vụ truyền thông được thực hiện đầy đủ sử dụng framework mã 
nguồn mở GLOBUS. 
Mỗi dịch vụ G-IDS đại diện cho một agent con kết nối tới Grid, có khả năng 
chia sẻ tài nguyên tính toán và các dịch vụ với các agent khác kết nối tới cùng một 
Grid 
60 
Hình 13: Hệ thống G-IDS tổng thể 
 Chiến lược đã đề xuất khiến cho tải của toàn bộ mạng rất nhỏ bởi vì khi cần 
thiết, một Agent hoặc một nhóm các Grid-enabled Agent (Cluster) được cấp phép để 
phân chia nhiệm vụ chức năng trong các “service” nhằm phục vụ cho một mục đích cụ 
thể. 
61 
Hình 14: Phân tách nhiệm vụ trong G-IDS Cluster 
 Bằng cách này, tải làm việc của hệ thống G-IDS được phân tán ra các node, để 
giảm thiểu tiêu thụ điện năng và thời gian xử lý giữa các node. 
3.2.4 Môi trường lưới bảo mật dựa trên việc tích hợp globus và como 
 CoMo được tạo bởi hai thành phần chính: các quá trình xử lý lõi (điều khiển 
đường dẫn dữ liệu xuyên qua G-IDS, bao gồm bắt gói tin, xuất bản, lưu trữ, quản lý 
yêu cầu và điểu khiển tài nguyên); module plug-in (chịu trách nhiệm đối với các biến 
đổi khác nhau của dữ liệu). Dòng dữ liệu xuyên qua hệ thống CoMo được minh họa 
dưới đây: 
62 
Hình 15: Dòng dữ liệu trong CoMo 
 Các ô trắng chỉ ra các module plug-in, còn các ô xám đại diện cho các quá trình 
xử lý lõi. Một mặt CoMo tập hợp các gói tin trên đường dẫn được theo dõi. Những gói 
tin này được xử lý bởi các quá trình xử lý lõi kế tiếp nhau và cuối cùng được lưu trên 
một thiết bị nhớ. Mặt khác, dữ liệu sẽ được nhận từ thiết bị nhớ khi có yêu cầu của 
người dùng. 
 Các quá trình xử lý lõi nằm trong các thao tác di chuyển dữ liệu. Di chuyển dữ 
liệu trong trong một node không dây là nhiệm vụ tốn chi phí nhất: bộ nhớ, bus, băng 
thông. 
 Truyền thông giữa các quá trình xử lý lõi được điều khiển bởi một hệ thống 
chuyển thông điệp đơn hướng. Năm quá trình xử lý chính hợp thành lõi của CoMo như 
sau: 
63 
1/. Quá trình Bắt giữ (Capture) 
Chịu trách nhiệm bắt gói tin, lọc gói tin, lấy mẫu và duy trì thông tin trạng thái 
trên mỗi module. 
2/. Quá trình Xuất bản (Export) 
Cho phép phân tích thuật ngữ dài của lưu lượng thông tin và cung cấp truy nhập 
tới thông tin mạng bổ sung (ví dụ: bảng định tuyến). 
3/. Quá trình Lưu trữ (Storage) 
Sắp xếp và quản lý truy cập tới bộ nhớ. 
4/. Quá trình yêu cầu (Query) 
Tiếp nhận các yêu cầu người dùng, tác động query trên lưu lượng thông tin 
(hoặc đọc các kết quả tiền tính toán) và trả lại kết quả. 
5/. Quá trình giám sát (Supervisor) 
Chịu trách nhiệm nắm bắt các lỗi (ví dụ: xử lý thất bại) và quyết định xem sẽ tải, 
chạy hay dừng các module plug-in phụ thuộc và các tài nguyên sẵn sàng hoặc dựa trên 
các chính sách truy cập hiện tại. 
 Các dịch vụ ra quyết định và thực thi quyết định được tính toán trong một tập 
các module plug-in. Các module có thể được nhìn nhận như là một chức năng lọc, nơi 
mà bộ lọc sẽ chỉ rõ các gói tin nên được thực thi. 
Ví dụ: Nếu luật quyết định là “chặn một số gói tin định sẵn trên cổng 80” thì bộ lọc sẽ 
chỉ chặn các gói tin có cổng đích là 80. 
 Các quá trình lõi chịu trách nhiệm chạy các bộ lọc gói tin và liên kết với các 
module sử dụng một tập các hàm callback. Kiến trúc này hướng tới việc cung cấp một 
cơ chế tự động giúp một node Grid không dây thích nghi với các G-IDS Service khác 
nhau, đồng thời cung cấp cơ chế quản lý chính hệ thống Grid. 
64 
3.2.5. Lợi ích của tính toán lưới hệ thống chống xâm nhập 
 Một nguyên tắc trong hệ thống chống xâm nhập đó là yêu cầu phát hiện nhanh 
và đưa ra các giải pháp nhanh nhất cho việc chống xâm nhập. Việc tổng hợp và phân 
tích các sự kiện để đưa được ra các kết luận là một bài toán rất lớn với khổi lượng xử 
lý nhiều. Vì một hệ thống càng muốn an toàn thì càng phải tổng hợp và phân tích kỹ 
các sự kiên và các truy cập trên hệ thống. 
 Trong các mạng lưới khác, thì việc chống xâm nhập chỉ được thực hiện trên 
từng máy cục bộ vì vậy mà tốc độ xử lý sẽ chậm chạp, việc đưa ra các hành động 
không thể tức thời đối với các truy cập trái phép. Còn trong hệ thống lưới, với việc tận 
dụng khả năng tính toán của các máy tính trong mạng đồng thời kết hợp với việc xử lý 
phân tán, các truy cập trên một máy có thể được phân tích trên nhiều máy tính khác 
nhau trong mạng và sử dụng cơ chế phân tán, vì vậy sẽ làm tăng tốc độ xử lý và đưa ra 
được các hành động nhanh và thích hợp nhất đối với từng truy cập. Do đó sẽ làm tăng 
khả năng bảo mật cho hệ thống. 
65 
KẾT LUẬN 
 Công nghệ Grid Computing ra đời đã đánh dấu một bước phát triển mới trong 
lĩnh vực tính toán hiệu năng cao, cho phép tận dụng năng lực xử lý, lưu trữ cùng các tài 
nguyên nhàn rỗi khác để cung cập một môi trường tính toán có năng lực xử lý lớn, khả 
năng năng lưu trữ dồi dào để giải quyết các bài toán phức tạp và cần năng lực tính toán 
cao trong khoa học và thương mại. Trong tương lai chắc chắn rằng cộng nghệ này sẽ 
rất phát triển, và được triển khai một cách mạnh mẽ, giúp người dùng có thể sử dụng 
máy tính giống như điện, nước, … 
Kết quả chính của khóa luận gồm có: 
1/. Tìm hiểu và nghiên cứu qua các nguồn tài liệu để hệ thống lại các vấn đề sau: 
 Tổng quan về tính toán lưới 
 Cơ sở hạ tầng tính toán lưới 
2/. Trình bày ứng dụng của tính toán lưới trong một số bài toán an toàn thông tin 
 Nêu ứng dụng của tính toán lưới trong việc kiểm tra số nguyên tố Mersenne 
 Trình bày ứng dụng của tính toán lưới trong hệ thống phát hiện xâm nhập 
66 
TÀI LIỆU THAM KHẢO 
[1] Ian Foster, The Grid, CLUSTERWORLD, vol 1, no. 1, 2001, pp. 1-2 
[2] Ian Foster, Carl Kesselman, Steven Tuecke, The Anatomy of Grid, Intl J. 
Supercomputer Applications, 2001. 
[3] Ian Foster, What is the Grid? A Three Point Checklist, Argonne National 
Laboratory & University of Chicago, 20/06/2002. 
[4] Ian Foster, Carl Kesselman, Jeffrey M. Nick, Steven Tuecke, The Physiology of 
the Grid - An Open Grid Services Architecture for Distributed Systems 
Integration, Version: 6/22/2002. 
[5] I. Foster, D. Gannon, H. Kishimoto, The Open Grid Services Architecture, 
GLOBAL GRID FORUM, 10/03/2004,  gridforum. org/projects/ogsawg 
[6] S. Tuecke, K. Czajkowski, I. Foster, J. Frey, S. Graham, C. Kesselman, T. 
Maquire, T. Sandholm, D. Snelling, P. Vanderbilt, Open Grid Services 
Infrastructure (OGSI) Version 1. 0, GLOBAL GRID FORUM, 27/06/2003, 
 ggf. org/ogsi-wg 
[7] Luis Ferreira, Arun Thakore, Michael Brown, Fabiano Lucchese, Huang RuoBo, 
Linda Lin, Paul Manesco, Jeff Mausolf, Nasser Momtaheni, Karthik Subbian, 
Olegario, Hernandez, Grid Services Programming and Application Enablement, 
Redbooks, IBM Corp, 05/2004, www. ibm. com/redbooks 
[8] Tìm hiểu nguồn tài liệu từ các trang web trên Internet như: 
  globus. org 
  ibm. com/redbook 
  ggf. org 
  org/webservice 
  org