MỞ ĐẦU Tính cấp thiết đề tài Tấn công từ chối dịch vụ (Denial of Service - DoS) dạng công mạng nguy hiểm mà tin tặc thường sử dụng để làm gián đoạn hoạt động hệ thống thông tin Để thực cơng từ chối dịch vụ hiệu quả, vượt qua phòng chống đối tượng bị công, tin tặc thường tổ chức công với tham gia đồng thời từ nhiều máy tính khác nhau; hình thức thường gọi công từ chối dịch vụ phân tán (Distributed Denial of Service -DDoS) Trong thời gian vừa qua, với phát triển ứng dụng rộng rãi công nghệ thông tin truyền thông, đặc biệt giai đoạn bùng nổ công nghệ 4.0, ngành công nghệ thông tin truyền thơng mang lại nhiều lợi ích to lớn cho quan, tổ chức lĩnh vực trị, kinh tế, xã hội Tuy nhiên, bên cạnh lợi ích to lớn ngành cơng nghệ thơng tin truyền thơng mang lại việc kéo theo nguy an tồn thơng tin mà quan, tổ chức phải đối mặt Một nguy cơng mạng, đặc biệt công DDoS Ảnh hưởng cơng DDoS quy mơ lớn làm dừng hoạt động hạ tầng mạng quốc gia, gây gián đoạn công tác đạo điều hành Chính phủ, ngừng hoạt động hạ tầng trọng yếu (điện, nước, giao thơng, tài chính…) làm ảnh hưởng nghiêm trọng đến trật tự an toàn xã hội, lợi ích cơng cộng, quốc phịng, an ninh Từ đó, thấy việc đưa phương pháp phịng chống cơng DDoS hiệu nhằm bảo đảm an tồn thơng tin cho quan, tổ chức trước công mạng vấn đề quan trọng cấp bách Nguyên nhân dẫn tới công DDoS ngày trở nên nguy hiểm việc số lượng thiết bị đầu cuối, IoT kết nối mạng ngày nhiều thời kỳ công nghệ 4.0 Những điểm yếu an toàn thiết bị cho phép tin tặc chiếm quyền điều khiển huy động trở thành thành viên mạng máy tính ma (botnet) Bằng cách này, tin tặc xây dựng mạng lưới botnet, tập hợp máy tay sai, với kích thước lớn, từ phát động cơng DDoS nguy hiểm Trên thực tế có nhiều cơng trình nghiên cứu liên quan đến phát phòng chống dạng công DDoS, thực tế cho thấy dạng công hoạt động gây hậu Do đó, việc tiếp tục nghiên cứu đề xuất phương pháp phịng chống cơng DDoS phù hợp hiệu vấn đề cần thiết thách thức nhà nghiên cứu Trong q trình cơng tác với thâm niên chun mơn tích lũy nhiều năm lĩnh vực này, NCS phải đối mặt trực tiếp với nhiều công DDoS xảy hệ thống thông tin quan, tổ chức Qua trình thực tế đó, NCS thu thập nhiều kinh nghiệm phân tích xử lý công DDoS Tuy nhiên, NCS tự nhận thấy rằng, phương án xử lý công thực thời điểm giải pháp tạm thời, mà khơng có tảng hay phương pháp tổng thể để giải vấn đề cốt lõi vấn đề cách khoa học hiệu Niềm đam mê chuyên môn nghiệp vụ nghiên cứu khoa học thúc tác giả trở thành nghiên cứu sinh trường Đại học Bách Khoa Hà Nội, với đề tài nghiên cứu chuyên sâu: “Phát phòng chống số dạng công từ chối dịch vụ phân tán” Kết nghiên cứu trình bày luận án NCS thực hướng dẫn tập thể hướng dẫn Sau đây, để thuận tiện cho việc trình bày luận án, tác giả (“tơi”) đại diện nhóm nghiên cứu trình bày nội dung nghiên cứu luận án Đối tượng nghiên cứu phương pháp nghiên cứu Đối tượng nghiên cứu luận án phương pháp phát phòng chống số dạng cơng DDoS Trong đó, luận án tập trung vào 03 nhóm vấn đề:    Tổng quan cơng phịng chống cơng DDoS; Phát phịng chống cơng TCP Syn Flood (dạng cơng gửi tràn ngập gói tin khởi tạo kết nối giả mạo địa IP nguồn, xảy lớp mạng); Phát phịng chống cơng Web App-DDoS (dạng công DDoS vào ứng dụng Web, xảy lớp ứng dụng) NCS tập trung vào hai dạng cơng dạng cơng xảy phổ biến coi thực nguy hiểm Các phương pháp phát phòng chống hai dạng công TCP Syn Flood Web AppDDoS đề xuất phương pháp triển khai phía gần máy chủ bị cơng Lý đề xuất vì: Đối tượng bị cơng DDoS tin tặc hạ tầng mạng máy chủ Trường hợp, đối tượng bị cơng DDoS hạ tầng mạng, tin tặc sử dụng hình thức cơng Volumetric (hình thức công làm cạn kiệt băng thông kết nối Internet đối tượng cần bảo vệ với ISP) Đối với dạng cơng này, phương pháp chặn lọc hiệu thực hệ thống ISP Thêm nữa, để thực hình thức công Volumetric hiệu quả, tin tặc phải sử dụng nguồn tài nguyên lớn (cần mạng botnet đủ lớn) để thực công Trường hợp, đối tượng bị cơng DDoS máy chủ, tin tặc sử dụng hình thức cơng DDoS dạng làm cạn kiệt tài nguyên máy chủ Trên thực tế, đối tượng công máy chủ xảy thường xuyên phổ biến hơn, máy chủ lộ mặt trực tiếp Internet nên đối tượng công dễ xác định tin tặc không cần tài nguyên lớn mà làm đối bị cơng rơi vào trạng thái từ chối dịch vụ Khi đối tượng công máy chủ phương pháp phịng chống triển khai phía gần đích phù hợp hiệu Khi đó, phương pháp chặn lọc hiệu quả, băng thơng kết nối Internet cịn máy chủ cung cấp dịch vụ mà khơng bị rơi vào trạng thái từ chối dịch vụ Tin tặc thường sử dụng hai dạng công TCP Syn Flood Web App-DDoS để công Server Hai dạng công thường thực sở khai thác điểm yếu giao thức hay nguyên lý hoạt động giao thức mà máy chủ sử dụng Về phương pháp nghiên cứu, NCS kết hợp lý thuyết, kinh nghiệm quan sát thực tế để tìm vấn đề cần phải giải Trên sở đó, NCS đề xuất phương pháp phù hợp để giải vấn đề đặt Nội dung nghiên cứu NCS thực trình nghiên cứu liên quan đến phát phịng chống công DDoS kể từ trước trình làm NCS trường Đại học Bách Khoa Hà Nội Trong q trình cơng tác Cục An tồn thông tin - Bộ Thông tin Truyền thông, NCS trực tiếp hỗ trợ quan tổ chức xử lý, giảm thiểu công DDoS quy mô lớn Trải qua nhiều kinh nghiệm thực tế, NCS thấy hai dạng công TCP Syn Flood Web App-DDoS hai dạng công phổ biến Các công DDoS thuộc hai dạng gây thiệt hại nghiêm trọng cho quan, tổ chức bị công, họ trang bị triển khai biện pháp phòng chống định Sau mỗi lần hỗ trợ quan, tổ chức xử lý cơng DDoS, NCS có kinh nghiệm đặc trưng riêng mỗi đợt công thời điểm NCS đưa biện pháp thủ công để xử lý tạm thời Tuy nhiên, NCS tự nhận thấy kinh nghiệm có cịn hạn chế ln bị động phải đối mặt với công DDoS Từ đó, NCS thấy cần tập trung tiếp tục nghiên cứu để có kiến thức chuyên sâu cơng DDoS nói chung với hai dạng công đề cập Khi làm NCS Viện Công nghệ thông tin, trường Đại học Bách Khoa Hà Nội, hướng dẫn tập thể hướng dẫn, NCS có hội nghiên cứu chuyên sâu cơng, phát phịng chống DDoS cách tổng thể, có khoa học Trong năm trình nghiên cứu, NCS tập trung nghiên cứu tổng quan dạng công, đặc trưng mỡi dạng cơng, khó khăn, thách thức việc phịng chống mỡi dạng cơng phương pháp phịng chống Sau có kiến thức mang tính tảng, NCS tập trung nghiên cứu, đề xuất phương pháp cụ thể để giải toán đặt sau: Bài tốn thứ phát phịng chống cơng TCP Syn Flood Bài tốn này, NCS đề xuất phương pháp cụ thể dựa phát mối liên hệ gói tin IP gửi từ máy tính Dựa vào kinh nghiệm chuyên môn quan sát thực tế, NCS quan sát thấy gói tin gửi ngồi từ máy tính có giá trị trường Identification (PID) tăng liên tục cách đơn vị (sở cho phát này, luận án trình bày chi tiết phần sau) Tuy nhiên, việc phát gói tin có giá PID tăng liên tiếp phía máy chủ bị cơng khơng đơn giản Bởi vì, mỡi máy tính tham gia công DDoS chạy song song nhiều ứng dụng với kết nối mạng khác nhau, có nghĩa gói tin gửi khỏi máy tính nhiều hướng khác mà mỗi hướng đến máy chủ bị cơng Do đó, từ phía máy chủ bị cơng, thu gói tin có giá trị PID tăng liên tục, ngắt qng Bên cạnh đó, cơng TCP Syn Flood xảy phía máy chủ nhận số lượng lớn gói tin SYN Do đó, việc xử lý gói tin SYN thật nhanh, để máy chủ giảm thiểu thời gian rơi vào trạng thái từ chối dịch vụ, vấn đề lớn khác đặt phương pháp mà đề xuất Để giải hai vấn đề đặt toán thứ nhất, NCS đề xuất 02 giải pháp [39, 35] sở giả thuyết trường thông tin PID gói tin khơng bị giả mạo Giải pháp thứ [39], NCS sử dụng thuật toán DBSCAN để nhóm gói tin SYN có giá trị PID tăng liên tiếp vào nhóm Trong mỡi nhóm đó, chúng tơi xác định giá trị PID gói tin giả mạo gửi đến hệ thống Điểm hạn chế giải pháp sử dụng thuật toán DBSCAN phải cần khoảng thời gian ban đầu định cho việc thu thập gói tin SYN đầu tiên, làm thơng tin đầu vào cho thuật tốn DBSCAN để xác định dấu hiệu gói tin giả mạo gửi đến Trong thời gian này, máy chủ bị công phải hứng chịu gói tin cơng gửi đến Thêm nữa, phương pháp yêu cầu phải cập nhật liên tục trạng thái nhóm thuật tốn DBSCAN có gói tin hay nhóm tạo Điều làm ảnh hưởng lớn đến tốc độ xử lý chung phương pháp Để giải hạn chế phương pháp thứ nhất, NCS đề xuất giải pháp thứ hai [35] cho phép phát loại bỏ gói tin SYN cơng gửi đến mà không cần khoảng thời gian xử lý lúc đầu phương pháp thứ Giải pháp lưu trữ giá trị PID bảng liệu có cấu trúc kết hợp với phương pháp tìm kiếm nhanh giá trị PID tăng liên tiếp thay sử dụng thuật toán DBSCAN Trong nghiên cứu [35], giải pháp đề xuất cho phép phát loại bỏ nhanh gói tin giả mạo gửi đến việc lưu trữ truy vấn thông tin địa IP giá trị PID lưu trữ bảng liệu với phương pháp tìm kiếm đơn giản Việc dẫn tới giảm tốc độ xử lý chung phương pháp đề xuất số lượng gói tin gửi đến hệ thống lớn Để tiếp tục tăng tốc độ xử lý giải pháp PIDAD2, NCS đề xuất giải pháp lưu trữ tìm kiếm nhanh thơng tin PID, IP nguồn sử dụng thuật toán Bloom Filter [2] Sau bảo vệ sở, nghiên cứu [86] chấp nhận trình bày Hội nghị ACDT 2018 Các giải pháp mà NCS đề xuất tập trung vào việc phát loại bỏ gói tin giả mạo q trình phịng chống mà chưa đề cập đến việc phát công Thêm nữa, việc xác thực IP nguồn phép IP nguồn thực kết nối với máy chủ công xảy vấn đề quan trọng toán tổng thể phát phịng chống cơng TCP Syn Flood Do đó, NCS đề xuất mơ hình tổng thể phương pháp phát công TCP Syn Flood chế xác thực IP nguồn nghiên cứu [48] Cả hai giải pháp đề xuất dựa giả thuyết phía máy chủ bị cơng, nhận tối thiểu 03 gói tin có giá trị PID tăng liên tiếp Tuy nhiên, thực tế có nhiều trường hợp phía máy chủ bị cơng, nhận từ 01 đến 02 gói tin giả mạo Khi đó, hai giải pháp [39, 35] bỏ sót gói tin giả mạo Đây vấn đề mà NCS cần phải tiếp tục giải Để giải vấn đề này, NCS tiếp tục nghiên cứu giải pháp dựa nghiên cứu đề xuất trước [78] Giải pháp này, NCS dự kiến sử dụng thuật toán DBSCAN cách hoàn toàn khác với giá trị epsilon minpts có giá trị độc lập cho mỡi nhóm thuật tốn DBSCAN Cặp giá trị mỡi Cluster tham số để xác định gói tin giả mạo nhận vào Cluster Bài toán thứ hai mà NCS phải giải phát phịng chống cơng Web AppDDoS Trong thực tế, tin tặc sử dụng cơng TCP Syn Flood để công ứng dụng Web Tuy nhiên, tin tặc thường sử dụng công DDoS lớp ứng dụng để thực công Web App-DDoS với mức độ tinh vi nguy hiểm dạng công TCP Syn Flood Thêm nữa, việc phát phịng chống cơng Web App-DDoS có đặc trưng thách thức riêng Để giải toán thứ hai, NCS đề xuất phương pháp phát nhanh nguồn gửi yêu cầu công Web App-DDoS công xảy nghiên cứu [57] Đề xuất đưa mơ hình mở cho phép kết hợp, bổ sung nhiều tiêu chí khác để phát xác định nguồn gửi yêu cầu cơng Trong đó, có tiêu chí cho phép phát nguồn gửi yêu cầu công mà khơng phải trải qua q trình máy học/huấn luyện phương pháp khác Trong nghiên cứu [57], NCS sử dụng 02 tiêu chí (tiêu chí tần suất truy cập tiêu chí tương quan yêu cầu gửi đến máy chủ) để xác định nguồn gửi yêu cầu công Tuy nhiên, nghiên cứu này, tiêu chí NCS đưa thực mức độ để đánh giá mơ hình phương pháp đề xuất Trong q trình hoàn thiện luận án sau luận án Hội đồng đánh giá cấp sở thông qua, NCS tiếp tục sâu nghiên cứu, đề xuất giải pháp cụ thể cho 02 tiêu chí chúng tơi sử dụng nghiên cứu [57] Cụ thể: Đối với tiêu chí tần suất truy nhập, NCS đề xuất giải pháp cho phép tìm tần suất truy cập từ IP nguồn gửi yêu cầu theo thời gian thực Giải pháp đề xuất cần tài nguyên để lưu trữ xử lý Tần suất xác định liệu đầu vào cho thuật toán tiêu chí tần suất Bên cạnh đó, nghiên cứu NCS đề xuất giải pháp để xác định nguồn gửi yêu cầu công thay cho phương pháp sử dụng DBSCAN nghiên cứu [57] Kết nghiên cứu được chấp nhận [23] trình bày Hội nghị IEEE RIVF 2019 Đối với tiêu chí mối quan hệ tương quan yêu cầu gửi đến máy chủ từ nguồn, NCS đưa giải pháp để thiết lập tập yêu cầu tương quan trình huấn luyện (training) Tập yêu cầu tương quan thiết lập dựa điều kiện để bảo đảm tập yêu cầu tin tặc khó để đưa yêu cầu sai lệch vào tập liệu trình huấn luyện Kết nghiên cứu gửi đăng Tạp chí Khoa học Cơng nghệ Đánh giá thực nghiệm phương pháp đề xuất vấn đề lớn đặt Qua việc nghiên cứu cơng trình liên quan, NCS thấy cơng trình khơng sử dụng chung tập liệu kiểm thử để đánh giá thực nghiệm Phần lớn tác giả tự xây dựng mơ hình liệu kiểm thử riêng để phục vụ việc đánh giá hiệu phương pháp họ đề xuất Do đó, tương tự với cách làm tác giả, nghiên cứu này, NCS xây dựng hệ thống mơi trường ảo hóa để tạo tập liệu kiểm thử Mơ hình bao gồm C&C máy chủ mạng botnet điều khiển máy chủ Tập liệu kiểm thử sử dụng để đánh giá hiệu phương pháp đề xuất so sánh với phương pháp khác tập liệu tạo Ý nghĩa khoa học ý nghĩa thực tiễn luận án Luận án có đóng góp mặt khoa học thực tiễn sau: a) Về ý nghĩa khoa học: Đối với lĩnh vực an tồn thơng tin nói chung việc phát phịng chống cơng DDoS nói riêng, luận án đóng góp thêm 06 cơng trình nghiên cứu (02 cơng trình chập nhận đăng Hội nghị ACDT 2018 IEEE RIVF 2019 sau bảo vệ sở) Trong trình hoàn thiện luận án, NCS tham gia viết chuẩn bị gửi đăng thêm cơng trình nghiên cứu đến Tạp chí Khoa học Cơng nghệ Các Trường Đại Học Kỹ Thuật Dự án nghiên cứu tiếp tục phát triển để hoàn thiện kết mở rộng hướng nghiên cứu khác Đối với cộng đồng nghiên cứu khoa học, kết luận án cung cấp thêm nguồn tài liệu tham khảo hữu ích, phục vụ việc nghiên cứu đề xuất phương pháp phịng chống cơng DDoS Các hướng nghiên cứu tập trung vào phịng chống dạng cơng điển hình, phổ biến nguy hiểm Các nghiên cứu có tính mở cao, cho phép tiếp tục mở rộng để làm tăng hiệu quả, mức độ xác việc phát phịng chống cơng DDoS b) Ý nghĩa thực tiễn: Kết nghiên cứu luận án đóng góp vào hai đề tài nghiên cứu khoa học: (1) Đề tài nghiên cứu khoa học cấp Bộ, mã số B2016-BKA-06 “Xây dựng hệ thống xử lý công từ chối dịch vụ mạng botnet”; (2) Đề tài nghiên cứu khoa học cấp quốc gia mã số KC.01.05/16-20 “Nghiên cứu, phát triển hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường nguy an tồn thơng tin Chính phủ điện tử” với nội dung nghiên cứu phát triển, đề xuất kỹ thuật mới/cải tiến cho phát dấu hiệu công DoS/DDoS, công APT dựa phân tích liệu log truy cập Trong trình thực nhiệm vụ đề tài nghiên cứu khoa học, xây dựng hệ thống phịng chống cơng DDoS thực triển khai thử nghiệm trường Đại học Bách Khoa Hà Nội Bên cạnh đó, chúng tơi xây dựng mạng botnet mơi trưởng ảo hóa cho phép thực nhiều hình thức cơng DDoS khác để tạo liệu kiểm thử cho nghiên cứu khác Dữ liệu kiểm thử này, tải lên trang mạng trực tuyến địa tải liệu kiểm thử phần phụ lục luận án Điểm luận án Những điểm luận án thể thơng qua đóng góp sau:     Đề xuất phương pháp việc phát loại bỏ gói tin giả mạo cơng TCP SYN Flood (tấn cơng tràn ngập gói tin TCP SYN) Đề xuất mơ hình khung phịng chống cơng DDoS-Web, có tính mở, cho phép kết hợp nhiều tiêu chí phát để làm tăng hiệu quả, mức độ xác việc phát phịng chống cơng Xây dựng 02 tiêu chí phát nhanh cho phép loại bỏ tức thời nguồn gửi yêu cầu khả nghi công xác minh nguồn gửi yêu cầu bình thường cơng DDoS-Web Các thuật tốn đề xuất sở sử dụng tiêu chí cho phép sử dụng tức thời vào chống công (không cần thời gian chuẩn bị, huấn luyện liệu), xử lý lọc bỏ nhanh cần tài nguyên lưu trữ Xây dựng hệ thống mô liệu phục vụ kiểm thử cho hai dạng công có đặc trưng riêng TCP SYN Flood cơng DDoS-Web mơi trường ảo hóa Cấu trúc luận án Từ nội dung nghiên cứu mà chúng tơi thực q trình nghiên cứu sinh, kết nghiên cứu trình bày luận án theo cấu trúc sau: Trong chương 1, luận án trình bày nhóm vấn đề bao gồm:        Tổng quan công từ chối dịch vụ phân tán DDoS; Các dạng công DDoS phổ biến; Các công cụ công DDoS phổ biến; Những thách thức việc phát phịng chống cơng DDoS; Tổng quan phương pháp phịng, chống cơng DDoS; Nghiên cứu tiêu chí đánh giá hiệu phương pháp đề xuất; Nghiên cứu, khảo sát đánh giá thực nghiệm phương pháp phịng chống cơng DDoS Trong chương 2, luận án vào giải hai tốn đặt thơng qua việc đề xuất phương pháp phát phịng cơng DDoS dạng TCP Syn Flood Trong đó, nội dung trình bày bao gồm nội dung sau:   Tổng quan dạng công TCP Syn Flood phương pháp phịng chống; Mơ hình phương pháp phát phịng chống công TCP Syn Flood;    Phát cơng TCP Syn Flood; Phịng chống công TCP Syn Flood thông qua chế phát loại bỏ gói tin giả mạo sử dụng công DDoS TCP Syn Flood; Đánh giá thực nghiệm Trong chương 3, luận án trình bày phương pháp đề xuất để giải toán thứ hai đặt phát phịng chống cơng Web App-DDoS Trong nội dung trình bày bao gồm nội dung sau:      Tổng quan công Web App-DDoS phương pháp phịng chống Mơ hình, phương pháp phịng chống cơng Web App-DDoS Phát cơng Web App-DDoS Phịng chống công Web App-DDoS sử dụng phương pháp FDDA Đánh giá thực nghiệm  Kết luận Chương CHƯƠNG TỔNG QUAN VỀ TẤN CƠNG VÀ PHỊNG CHỐNG TẤN CƠNG DDOS Chương 1, luận án tập trung trình bày nội dung bản, tổng quan liên quan đến cách thức công nghiên cứu liên quan đến phát phịng chống cơng DDoS Cụ thể, đưa tổng quan hình thức cơng DDoS mà tin tặc sử dụng cơng DDoS khó khăn, thách thức việc phịng chống cơng DDoS hệ thống lại phương pháp phịng chống cơng Nội dung chương sở để tiếp tục nghiên cứu, sâu vào phương pháp cụ thể mà đề xuất chương chương Chương bao gồm nội dung sau:        Tổng quan công từ chối dịch vụ phân tán DDoS; Các dạng công DDoS phổ biến; Các công cụ công DDoS phổ biến; Những thách thức việc phát phịng chống cơng DDoS; Tổng quan phương pháp phịng chống cơng DDoS; Nghiên cứu tiêu chí đánh giá hiệu phương pháp đề xuất; Nghiên cứu khảo sát đánh giá thực nghiệm phương pháp phịng chống cơng DDoS 1.1 Tổng quan công từ chối dịch vụ phân tán DDoS Tấn công từ chối dịch vụ dạng cơng mạng với mục đích làm tính khả dụng hệ thống thông tin Tấn công từ chối dịch vụ thực từ nhiều IP nguồn khác gọi hình thức công từ chối dịch vụ phân tán – DDoS Về bản, cơng DDoS chia thành hai lớp phổ biến: Lớp thứ nhất, tin tặc thực cơng cách gửi gói tin độc hại (gói tin với trường thơng tin khơng bình thường) đến đích cơng thơng qua việc khai thác điểm yếu an tồn thơng tin [39] để làm máy chủ phát sinh lỗi làm treo, tê liệt hoạt động rơi vào trạng thái từ chối dịch vụ Lớp thứ hai lớp dạng cơng DDoS phổ biến, tin tặc làm gián đoạn kết nối hợp lệ tới máy chủ cách (1) làm cạn kiệt hạ tầng mạng (network/transport-level flooding attacks) như: băng thông kết nối, tài nguyên xử lý thiết bị mạng… (2) cạn kiệt tài nguyên xử lý máy chủ thông qua ứng dụng/dịch vụ mà máy chủ cung cấp (application-level flooding attacks) như: nhớ chính, khả xử lý CPU, băng thông kết nối hay cổng vào ra…) Thông thường, công DDoS tin tặc thực qua mơi trường mạng sử dụng mạng máy tính ma (botnet) [35] Thông qua mạng botnet, tin tặc gửi tràn ngập liên tục gói tin yêu cầu tới đích cơng, làm cho hệ thống bị lỗi cạn kiệt tài nguyên rơi vào trạng thái từ chối dịch vụ Mạng botnet mạng máy tính bị nhiễm mã độc điều khiển máy chủ điều khiển (C&C Server) Để có mạng botnet, tin tặc tạo phần mềm độc hại phát tán chúng qua môi trường mạng hình thức khác gửi thư điện tử giả mạo, phát tán qua phần mềm khơng thống lừa người dùng truy cập vào trang thơng tin độc hại Hình mô tả thành phần mạng botnet: Tin tặc Các máy điều khiển Các máy mạng botnet Máy nạn nhân Hình 1.1 Thành phần mạng Botnet [89] Do số lượng lỗ hổng, điểm yếu an tồn thơng tin phát ngày nhiều nhận thức người sử dụng hạn chế nên việc xây dựng mạng botnet tin tặc gây hâu lớn, nhiều mạng botnet lớn có quy mơ hàng triệu máy tính tạo thành tin tặc lợi dụng để thực công DDoS quy mô lớn Theo báo cáo hãng bảo mật Abor [106], cơng DDoS ghi nhận có băng thơng lên tới 662Gbps 10 Sau thực công giả định khoảng thời gian 03 phút, thu tập liệu lưu trữ dạng PCAP có 66.851 gói tin [2] CSDL thu có cấu trúc bảng 3.1 bao gồm 1.310 yêu cầu, có yêu cầu cơng u cầu bình thường lưu trữ CSDL MySQL [111] Để đánh dấu nguồn gửi yêu cầu công phục vụ việc đánh giá thử nghiệm, yêu cầu gửi từ địa IP mạng botnet (trong mơ hình thử nghiệm môi trường ảo) đánh dấu nguồn gửi yêu cầu công Các IP nguồn khác không nằm dải địa IP mạng botnet đánh dấu nguồn gửi yêu cầu bình thường 3.6.4 Đánh giá thử nghiệm phương pháp FDDA 3.6.4.1 Kết xác định nguồn gửi yêu cầu công theo tiêu chí tần suất Sau áp dụng thuật tốn tập liệu [2], chúng tơi tìm tần suất gửi yêu cầu srcIP sau: Sau khoảng thời gian lấy mẫu vòng phút, thu tần suất truy cập 28 srcIP khác Trong có 16 srcIP cơng Số lượng địa srcIP thu tương đối thấp chúng tơi thu thập log truy cập vào website Viện Đào tạo Sau Đại học Trường Đại học Bách Khoa Hà Nội website có tần suất truy cập tương đối thấp Tôi chọn giá trị Δ = 10s, kết thực nghiệm thu tần suất truy cập ứng với mỗi srcIP sau: SrcIP f1 f2 f3 f4 f5 f6 f7 f8 f9 f10 f11 f12 f13 f14 f15 f16 f17 f18 103.16.1.144 31 31 31 31 31 28 24 24 24 24 21 13 13 13 13 0 103.192.237.10 54 53 51 49 46 44 40 37 33 30 25 21 15 3 103.192.237.11 68 65 59 56 53 50 45 42 37 34 28 22 18 16 13 10 103.192.237.12 54 48 44 42 39 39 38 35 35 30 26 23 20 16 11 103.192.237.13 40 36 29 25 18 14 24 23 20 20 16 16 13 103.192.237.14 61 56 54 51 45 41 38 34 31 30 25 19 15 15 11 103.192.237.15 68 65 59 54 52 48 44 42 40 35 32 24 18 17 13 10 103.192.237.16 64 61 61 57 56 50 49 44 41 36 34 31 24 20 18 15 103.192.237.2 65 59 57 55 49 47 45 42 38 34 32 28 24 21 16 14 103.192.237.21 68 66 63 59 51 48 43 42 36 31 29 25 21 15 13 103.192.237.3 65 61 57 53 47 43 41 40 36 35 31 28 24 19 12 103.192.237.4 61 60 58 61 61 59 55 52 47 44 37 35 33 25 21 14 10 103.192.237.5 66 61 60 51 48 39 35 30 26 20 19 18 18 17 16 13 103.192.237.6 76 69 63 59 57 53 51 46 42 37 33 28 23 18 16 14 103.192.237.7 57 70 67 63 61 58 52 47 41 38 30 27 25 21 16 13 11 103.192.237.8 51 49 44 43 39 37 34 28 25 23 22 17 15 12 103.192.237.9 82 80 76 73 71 66 59 55 50 45 42 40 38 32 28 22 17 103.254.16.182 67 67 67 60 52 48 48 48 37 26 9 0 103.7.36.15 10 10 10 0 0 0 0 0 0 0 117.1.182.136 11 11 11 11 11 11 11 11 11 0 0 0 0 123.16.244.47 27 14 14 14 14 14 14 11 10 10 10 10 10 6 0 123.24.204.44 19 16 15 15 15 15 15 8 8 5 0 99 123.30.175.181 1 1 1 1 1 1 1 1 1 14.181.208.119 12 12 12 12 12 12 12 12 12 0 0 0 0 14.239.6.125 13 13 13 13 13 13 13 13 13 13 13 13 13 0 0 27.67.181.184 28 28 28 28 28 28 27 0 0 0 0 0 66.249.66.208 1 1 0 0 0 0 0 0 0 95.25.119.105 4 4 4 4 4 4 4 0 Bảng 3.3 Bảng thực nghiệm xác định tần suất truy cập Tôi chọn số lần kiểm thử k = 18 Sau áp dụng thuật toán kiểm thử phát 12/16 nguồn gửi yêu cầu có tần suất gửi cao đồng đều, cịn 04 nguồn gửi u cầu cịn lại chúng tơi tiếp tục xác minh sử dụng tiêu chí tương quan 3.6.4.2 Kết xây dựng tập yêu cầu tương quan Tôi thực lấy mẫu log truy cập vào trang web Viện Đào tạo Sau Đại học Trường Đại học Bách Khoa Hà Nội từ thời điểm 17/10/2018, 18:21:22 đến 18/10/2018, 09:20:35 Kết thu 6.686 yêu cầu từ 372 srcIP khác Chúng tơi thiết lập tham số đầu vào cho thuật tốn Association Rule với Độ hỗ trợ = độ tin cậy ≥ 50% Kết thu 140 tập liệu tương quan 3.6.4.3 Kết đánh giá thử nghiệm phương pháp FDDA Tôi thực đánh giá thực nghiệm với tập liệu [2] sử dụng tham số sử dụng sau:      Ngưỡng phát yêu cầu nghi ngờ công FT (requests/second) Số lượng yêu cầu tập DSus Số lượng yêu cầu nghi ngờ công tập RA Tỷ lệ phát nguồn gửi công: Detection Rate - DR Tỷ lệ phát nhầm nguồn bình thường cơng: False Positive - FP Kết thực nghiệm cho thấy phương pháp chúng tơi có tỷ lệ phát cao bảng đây: FT DSus RA DR FP 50 250 185 75.32% 1.28% 100 150 200 300 500 750 1000 1310 365 668 897 863 92.56% 94.08% 88.75% 67.89% 1.11% 0.89% 1.47% 1.49% Bảng 3.4 Kết thực nghiệm phương pháp FDDA Từ kết thực nghiệm cho thấy tỷ lệ phát nguồn gửi yêu cầu công phụ thuộc vào giá trị FT Giá trị cần điều chỉnh cho phù hợp tương ứng với máy chủ cần bảo vệ 100 Trường hợp giá trị FT thiết lập nhỏ làm tăng tỷ lệ phát nhầm nguồn gửi yêu cầu bình thường nguồn công Trường hợp giá trị FT thiết lập lớn bỏ sót nguồn gửi cơng có tần suất gửi yêu cầu thấp làm ảnh hưởng tới tỷ lệ phát nguồn gửi công DR 3.6.5 So sánh hiệu phương pháp FDDA với phương pháp khác Trong phần này, phương pháp FDDA so sánh với phương pháp khác Chúng sử dụng 09 tham số tác giả Qin Liao [92] đưa để đánh giá thực nghiệm Giá trị tham số tính toán từ tập liệu [2] sử dụng làm tham số đầu vào cho thuật toán Naive Bayes (NB) [72] KNN [86] Các tham số bao gồm:          sourceAddress, requestTimes diffReqTimes timesOfCode200 totalLength sessionDuration sequenceOfUrlLevel sequenceOfRequestFrequency sequenceOfRequestInterval Kết so sánh hiệu phát công: Methods Detection Rate False Positive KNN [86] 89.03% 1.03% NB [72] 92.47% 1.47% FDDA 93.75% 0.89% Bảng 3.5 Bảng so sánh kết thực nghiệm FDDA KNN,NB Kết so sánh thời gian xử lý: 140 120 100 Time(s) 80 KNN 60 NB 40 PIDAD2 20 250 500 750 1000 1310 Số lượng yêu cầu nhận Hình 3.19 Thời gian xử lý liệu kiểm thử FDDA ,KNN NB Kết cho thấy, tập liệu kiểm thử, phương pháp FDDA có tỷ lệ phát yêu cầu công cao (Detection Rate - 93.75%) tỷ lệ phát nhầm u cầu bình thường u cầu cơng (False Positive - 0.89%) so với hai phương pháp so sánh 101 3.7 Kết luận chương Trong chương này, tập trung nghiên cứu đưa phương pháp phịng chống cơng Web App-DDoS, bao gồm nội dung sau:      Tổng quan công Web App-DDoS phương pháp phịng chống Mơ hình, phương pháp phịng chống công Web App-DDoS Phát công Web App-DDoS Phịng chống cơng Web App-DDoS sử dụng phương pháp FDDA Đánh giá thực nghiệm Trong đó, đóng góp chương bao gồm 03 nội dung:    Đề xuất phương pháp FDDA cho phép phát loại bỏ nhanh nguồn gửi yêu cầu cơng Phương pháp đưa mơ hình mở kết hợp nhiều tiêu chí để tăng mức độ xác hiệu việc phát phịng chống cơng Web AppDDoS Nghiên cứu, đề xuất giải pháp loại bỏ nhanh nguồn gửi yêu cầu cơng, sử dụng tiêu chí tần suất Nghiên cứu, đề xuất giải pháp xác minh nguồn gửi yêu cầu bình thường, sử dụng tiêu chí tương quan Đối với hướng nghiên cứu mở rộng tiếp theo, liên quan đến phát phịng chống cơng Web App-DDoS, tiếp tục nghiên cứu để tối ưu giải pháp đề xuất xây dựng tiêu chí khác để tăng cường hiệu phương pháp FDDA Bên cạnh đó, chúng tơi hướng đến việc nghiên cứu giải pháp để phòng chống dạng công Web App-DDoS nguy hiểm tinh vi 102 KẾT LUẬN VÀ ĐỀ XUẤT Kết luận Tơi thấy rằng, luận án cơng trình nghiên cứu có ý nghĩa khoa học thực tiễn a) Về ý nghĩa khoa học: Luận án đóng góp thêm tối thiểu 06 cơng trình nghiên cứu (chuẩn bị gửi đăng thêm 01 cơng trình nghiên cứu Tạp chí Khoa học Cơng nghệ) Những cơng trình có tính mở để tiếp tục phát triển mở rộng hướng nghiên cứu khác Cụ thể:     Đề xuất phương pháp việc phát loại bỏ gói tin giả mạo cơng TCP Syn Flood Đề xuất mơ hình phịng chống cơng cơng Web App-DDoS, có tính mở, cho phép kết hợp nhiều tiêu chí để làm tăng hiệu quả, mức độ xác việc phát phịng chống cơng Xây dựng 02 tiêu chí cho phép loại bỏ nhanh nguồn gửi yêu cầu công xác minh nguồn gửi yêu cầu bình thường cơng cơng Web App-DDoS Các thuật toán xây dựng cho phép xử lý nhanh số lượng lớn yêu cầu gửi đến máy chủ cần tài nguyên lưu trữ thời gian xử lý Xây dựng tập liệu kiểm thử cho hai dạng cơng có đặc trưng riêng TCP Syn Flood công Web App-DDoS hệ thống mạng xây dựng mơi trường ảo hóa b) Về nghĩa thực tiễn: Kết nghiên cứu luận án đóng góp vào hai đề tài nghiên cứu khoa học: (1) Đề tài nghiên cứu khoa học cấp Bộ, mã số B2016-BKA-06 “Xây dựng hệ thống xử lý công từ chối dịch vụ mạng botnet”; (2) Đề tài nghiên cứu khoa học cấp quốc gia mã số KC.01.05/16-20 “Nghiên cứu, phát triển hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường nguy an tồn thơng tin Chính phủ điện tử” với nội dung nghiên cứu phát triển, đề xuất kỹ thuật mới/cải tiến cho phát dấu hiệu công DoS/DDoS, công APT dựa phân tích liệu log truy cập Trong trình thực nhiệm vụ đề tài nghiên cứu khoa học, xây dựng hệ thống phịng chống cơng DDoS thực triển khai thử nghiệm trường Đại học Bách Khoa Hà Nội Bên cạnh đó, chúng tơi xây dựng mạng botnet môi trưởng ảo hóa cho phép thực nhiều hình thức công DDoS khác để tạo liệu kiểm thử cho nghiên cứu khác Chúng tải lên trang mạng trực tuyến địa tải liệu kiểm thử phần phụ lục luận án 103 Kiến nghị, đề xuất Tấn công DDoS dạng công nguy hiểm với nhiều hình thức cơng khác mà tin tặc sử dụng Trong nghiên cứu này, chúng tơi tập trung giải hai dạng công DDoS phổ biến TCP Syn Flood Web App-DDoS Đây hai dạng cơng có đặc trưng riêng nên nên việc đề xuất phương pháp phòng chống hiệu thách thức với nhiều nhà nghiên cứu Do đó, chúng tơi thấy rằng, cần tiếp tục nghiên cứu để đưa phương pháp phòng chống tối ưu hiệu phòng chống dạng công DDoS khác Tuy nhiên, phạm vi điều kiện thời gian, kinh tế cơng việc, chúng tơi có đóng góp định khoa học thực tiễn nghiên cứu Trên sở đó, chúng tơi xin kiến nghị, đề xuất Hội đồng tạo điều kiện giúp đỡ chúng tơi góp ý hồn thiện thơng qua luận án Xin trân thành cảm ơn! 104 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN T.M Thang, Van K Nguyen (2016), Synflood Spoof Source DDoS Attack Defence Based on Packet ID Anomaly Detection – PIDAD, 7th International Conference on Information Science and Applications 2016, HoChiMinh, Vietnam, February 15-18, 2016 Trần Mạnh Thắng, Nguyễn Linh Giang, Nguyễn Khanh Văn (2016), Mơ hình phương pháp phát giảm thiểu công DDoS dạng TCP Syn Flood giả mạo IP nguồn, Tạp chí Khoa học Công nghệ, số 114 năm 2016, tr 37-41 Trần Mạnh Thắng, Nguyễn Khanh Văn (2017), Phát lọc bỏ nhanh gói tin giả mạo cơng mạng TCP Syn Flood; Tạp chí Các cơng trình nghiên cứu, phát triển Công nghệ thông tin Truyền thông, Tập V-2, số 18 (38), tháng 12 năm 2017, tr 33-41 T.M Thang, Van K Nguyen (2017), FDDA: A Framework For Fast Detecting Source Attack In Web Application DDoS Attack, SoICT 17: Eighth International Symposium on Information and Communication Technology, December 7–8, 2017, Nha Trang City, Viet Nam ACM, New York, NY, USA, pages https://doi.org/10.1145/3155133.3155173 T.M Thang, Chi Nguyen Q, Van K Nguyen (2018), Synflood Spoof Source DDOS Attack Defence Based on Packet ID Anomaly Detection with Bloom Filter, The 5th Asian Conference on Defense Technology - ACDT 2018, Hanoi, Vietnam, 25-27 October 2018 T.M Thang, Van K Nguyen (2019), “Fast Detection and Mitigation to DDoS Web Attack based on Access Frequency”, 2019 IEEE-RIVF International Conference on Computing and Communication Technologies, March, 2019 105 TÀI LIỆU THAM KHẢO [1] E Y K Chan et al., Intrusion Detection Routers: Design, implementation and Evaluation Using an Experimental Testbed, IEEE Journal on Selected Areas in Communications, vol 24, no 10, pp 1889 1900, 2006 [2] B H Bloom, “Space/time trade-offs in hash coding with allowable errors,” Communications of the ACM, vol 13, no 7, pp 422–426, 1970 [3] BASKAR ZIMMERMANN (April 1980): "OSI Reference Model—The ISO Model of Architecture for Open Systems Interconnection" [4] J POSTEL: Transmission Control Protocol: DARPA internet program protocol specification, RFC 793, September 1981 [5] CERT TCP Syn Flooding and IP Spoofing Attacks Advisory CA-96.21, September 1996 [6] M Ester, H.P Kriegel, J Sander and X Xu, “A Density-Based Algorithm for Discovering Clusters in Large Spatial Databases with Noise,” in Proceedings of the 2nd International Conference on Knowledge Discovery and Data Mining, 1996 [7] M.I MIT, in Darpa Intrusion Detection Evaluation Retrieved from Lincoln Laboratory: https://www.ll.mit.edu/ideval/data/1998data.html [8] K A Bradley, S Cheung, N Puketza, B Mukherjee, and R A Olsson, Detecting Disruptive Routers: A Distributed Network Monitoring Approach, in Proc of the 1998 IEEE Symposium on Security and Privacy, May 1998 [9] J Lo et al., An IRC Tutorial, April, 2003, irchelp.com 1997, [online] http://www.irchelp.org/irchelp/irctutorial.html#part1 [10] B Hancock, Trinity v3, a DDoS tool, hits the streets, Computers & Security, Vol 19, no 7, pp 574-574, Nov., 2000 [11] P Ferguson, and D Senie, Network Ingress Filtering: Defeating Denial of Service Attacks that employ IP source address spoofing, Internet RFC 2827, 2000 [12] LIPPMANN: the 1999 DARPA Off-Line Intrusion Detection Evaluation Computer Networks 34(4), 579–595 (2000) [13] P J Criscuolo, Distributed Denial of Service, Tribe Flood Network 2000, and Stacheldraht CIAC-2319, Department of Energy Computer Incident Advisory Capability (CIAC), UCRL-ID-136939, Rev 1., Lawrence Livermore National Laboratory, February 14, 2000 [14] J Yan, S Early, and R Anderson, The XenoService - A Distributed Defeat for Distributed Denial of Service, in Proc of ISW 2000, October 2000 106 [15] Y Huang, and J M Pullen, Countering Denial of Service attacks using congestion triggered packet sampling and filtering, in Proc of the 10th International Conference on Computer Communiations and Networks, 2001 [16] T M Gil, and M Poleto, MULTOPS: a data-structure for bandwidth attack detection, in Proc of 10th Usenix Security Symposium, Washington, DC, pp 2338, August 1317, 2001 [17] K Park, and H Lee, On the effectiveness of probabilistic packet marking for IP traceback under denial of service attack, in Proc of IEEE INFOCOM 2001, pp 338347 [18] K Park, and H Lee, On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets, n Proc ACM SIGCOMM, August 2001 [19] Bysin, knight.c sourcecode, http://packetstormsecurity.org/distributed/ knight.c 2001, [online] [20] F Kargl, J Maier, and M Weber, “Protecting web servers from distributed denial of service attacks,” in WWW ’01: Proceedings of the 10th international conference on World Wide Web.NewYork, NY, USA: ACM Press, 2001, pp 514–524 [21] B JOAO, D CABRERA: Proactive Detection of Distributed Denial of Service Attacks Using MIB Traffic Variables A Feasibility Study, Integrated Network Management Proceedings, pp 609 622, 2001 [22] J Mirkovic, G Prier, and P Reiher, Attacking DDoS at the Source, in Proc of the 10th IEEE International Conference on Network Protocols (ICNP ’02), Washington DC, USA, 2002 [23] http://rivf2019.udn.vn/Datatinh.aspx?id=55&idmenu=55 [24] R Mahajan, S M Bellovin, S Floyd, J Ioannidis, V Paxson, and S Shenker, Controlling high bandwidth aggregates in the network, presented at Computer Communication Review, pp.62-73, 2002 [25] D Yau, J C S Lui, and F Liang, Defending against distributed denial of service attacks using max-min fair máy chủ centric router throttles, IEEE nternational conference on Quality of Service 2002 [26] J Mirkovic, P Reiher, and M Robinson, Forming Alliance for DDoS Defense, in Proc of New Security Paradigms Workshop, Centro Stefano Francini, Ascona, Switzerland, 2003 [27] C Wilson , DDoS and Security Reports: The Arbor Networks Security Blog, Arbor Networks, 2011, [online] http://ddos.arbornetworks.com/2012/02/ddos-tools/ [28] L V Ahn, M Blum, N J Hopper, and J Langford, CAPTCHA: using hard AI problems for security, in Proc of the 22nd international conference on Theory and 107 applications of cryptographic techniques (EUROCRYPT’03), Eli Biham (Ed.) SpringerVerlag, Berlin, Heidelberg, 294-311 2003 [29] C Papadopoulos, R Lindell, J Mehringer, A Hussain, and R Govindan, Cossack: Coordinated Suppression of Simultaneous Attacks, in Proc Of he DARPA Information Survivability Conference and Exposition, Vol 1, pp 13, Apr 2003 [30] S Abdelsayed, D Glimsholt, C Leckie, S Ryan, and S Shami, An efficient filter for denial-of-service bandwidth attacks, in Proc of the 46th IEEE Global Telecommunications Conference (GLOBECOM03), pp 13531357, 2003 [31] T PENG, C LECKIE, AND K RAMAMOHANARAO: Protection from distributed denial of service attacks using history-based IP filtering, ICC ’03 May, Vol.1, pp: 482- 486, 2003 [32] A YAAR, A PERRIG, AND D SONG: Pi: A Path Identification Mechanism to Defend against DDoS Attacks, in IEEE Symposium on Security and Privacy, pp 93, 2003 [33] J Mirkovic, G Prier, and P Reihe, Source-End DDoS Defense, in Proc of 2nd IEEE International Symposium on Network Computing and Applications, April 2003 [34] R Thomas, B Mark, T Johnson, and J Croall, “Netbouncer: client legitimacy-based high-performance ddos filtering,” in DARPA Information Survivability Conference and Exposition, 2003 Proceedings, vol.1 IEEE Press, 2003, pp 14–25 [35] R Puri, Bots and Botnet – an overview, Aug 08, 2003, [online] http://www.giac.org/practical/GSEC/Ramneek Puri GSEC.pdf [36] C Douligeris and A Mitrokotsa, “Ddos attacks and defense mechanisms: a classification,” in Signal Processing and Information Technology, 2003 ISSPIT 2003 Proceedings of the 3rd IEEE International Symposium on IEEE Press, 2003, pp 190–193 [37] M LI, J LIU, AND D LONG: Probability Principle of Reliable Approach to detect signs of DDOS Flood Attacks, PDCAT, Springer-Verlag Berlin Heidelberg, pp.596-599, 2004 [38] R R Kompella, S Singh, and G Varghese, “On scalable attack detection in the network,” in IMC ’04: Proceedings of the 4th ACM SIGCOMM conference on Internet measurement New York, NY, USA: ACM Press, 2004, pp 187–200 [39] J Mirkovic and P Reiher, A taxonomy of DDoS attack and DDoS defense mechanisms, ACM SIGCOMM Computer Communications Review, vol.34, no 2, pp 3953, April 2004 [40] V A Siris, and F Papaglou, Application of anomaly detection algorithms for detecting syn flooding attacks, in Proc of the IEEE GLOBECOM, 2004 [41] M Kim, H Kang, S Hong, S Chung, and J W Hong, A flow-based method for abnormal network traffic detection, in Network Operations and Management Symposium, vol 1, pp 599-612, April 2004 108 [42] B Claise, Cisco Systems NetFlow Services Export Version 9, RFC 3954, 2004 [43] R Chen, and J M Park, Attack Diagnosis: Throttling distributed denial-of-service attacks close to the attack sources, IEEE Int’l Conference on Computer Communications and Networks (ICCCN’05), Oct 2005 [44] Lawrence Berkeley National Laboratory (LBNL), ICSI, LBNL/ICSI Enterprise Tracing Project, 2005 (http://www.icir.org/enterprise-tracing/) [45] S Kandula, D Katabi, M Jacob, and A W BergerBotz-4-sale: Surviving organized ddos attacks that mimic flash crowds, in Proc Of Symposium on Networked Systems Design and Implementation (NSDI), Boston, May 2005 [46] https://drive.google.com/open?id=1nXUAAvOdV8rUE4Q6ePhXW_FajaT4dDb7 [47] R Chen, J M Park, and R Marchany, RIM: Router interface marking for IP traceback, in IEEE Global Telecommunications Conference (GLOBECOM’06), 2006 [48] S Ranjan, R Swaminathan, M Uysal, and E Knightly, DDoS-Resilient Scheduling to Counter Application Layer Attacks under Imperfect Detection, IEEE INFOCOM’06, 2006 [49] Y KIM, W C LAU, M C CHUAH, AND H J CHAO: PacketScore, A StatisticsBased Packet Filtering Scheme against Distributed Denial-of-Service Attacks, IEEE Trans On Dependable and Secure Computing, vol 3, no 2, pp 141-155, 2006 [50] M Walfish, M Vutukuru, H Balakrishnan, D Karger, and S Shenker, DDoS defense by offense, SIGCOMM Computer Communications Review, Vol 36, no 4, pp 303314, August 2006 [51] R Chen, J M Park, and R Marchany, TRACK: A novel approach for defending against distributed denial-of-service attacks, Technical Report TR-ECE-06-02, Dept of Electrical and Computer Engineering, Virginia Tech, Feb 2006 [52] A Dainotti, A Pescape, and G Ventre, Wavelet-based detection of dos attacks, in IEEE Global Telecommunications Conference, GLOBECOM, 2006 [53] D.M Powers, in Evaluation: from Precision, Recall and F-measure to ROC, Informedness, Markedness and Correlation, 23rd international conference on machine learning (Pitsburg,2006) [54] KDD Cup 1999 Online: http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html, Ocotber 2007 [55] J Yu, Z Li, H Chen, and X Chen, A Detection and Offense Mechanism to Defend Against Application Layer DDoS Attacks, the third International Conference on Networking and Services (ICNS’07), pp 54, June 19-25, 2007 [56] H WANG, C JIN, AND K G SHIN: Defense Against Spoofed IP Traffic Using Hop-Count Filtering, IEEE/ACM Trans On Networking, vol 15, no 1, pp.40-53, February 2007 109 [57] T Peng, C Leckie, and K Ramamohanarao, Survey of network-based defense mechanisms countering the DoS and DDoS problems, ACM Comput Surv 39, 1, Article 3, April 2007 [58] J Nazario, BlackEnergy DDoS Bot Analysis, Arbor Networks, 2007, [online] http://atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+ Analysis.pdf [59] A T Mizrak, S Savage, and K Marzullo, Detecting compromised routers via packet forwarding behavior, IEEE Network, pp.34-39, 2008 [60] team-cymru Inc., A Taste of HTTP Botnets, July, 2008, [online] http://www.teamcymru.com/ReadingRoom/Whitepapers/2008/http-botnets.pdf [61] G Kambourakis, T Moschos, D Geneiatakis, and S Gritzalis, Detecting DNS Amplification Attacks, in Critical Information Infrastructures Security Lecture Notes in Computer Science, Vol 5141, pp 185-196, 2008 [62] X Liu, X Yang, and Y Lu, To filter or to authorize: network-layer DoS defense against multimillion-node botnets, in Proc of the ACM SIGCOMM conference on Data communication (SIGCOMM ’08), NY, USA, pp 195-206, 2008 [63] G Oikonomou, and J Mirkovic, Modeling human behavior for defense against flashcrowd attacks, in Proc of the 2009 IEEE international conference on Communications (ICC’09), pp 625-630, 2009 [64] K Argyraki, and D R Cheriton, Scalable network-layer defense against internet bandwidth-flooding attacks, in IEEE/ACM Trans Netw., 17(4), pp 1284-1297, August 2009 [65] S Ranjan, R Swaminathan, M Uysal, A Nucci, and E Knightly, DDoS-shield: DDoS-resilient scheduling to counter application layer attacks, IEEE/ACM Trans Netw., Vol 17, no 1, pp 26-39, February 2009 [66] Y Xie, and S Z Yu, A large-scale hidden semi-Markov model for anomaly detection on user browsing behaviors, IEEE/ACM Transactions on Networking (TON), Vol 17, no 1, pp 54-65, February 2009 [67] Biswa Ranjan Swain, Bibhudatta Sahoo, “Mitigating DDoS attack and Saving Computational Time using a Probabilistic approach and HCF method”, IEEE International Conference on Advance Computing, NIT, Rourkela, India, pp 1170-1172, 6-7, March 2009 [68] Yang Li, Tian-Bo Lu, Li Guo, Li Guo, Li Guo, “Towards lightweight and efficient DDOS attacks detection for web server”, Proceedings of the 18th international conference on World wide web Pages 1139-1140, April, 2009 [69] A JOHN, AND T SIVAKUMAR: Survey of Traceback Methods, International Journal of Recent Trends in Engineering ACEEE (Association of Computer Electronics & ElectricalEngineers), vol 1, no 2, May 2009 110 [70] J Liu, Y Xiao, K Ghaboosi, H Deng, and J Zhang, Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures, EURASIP Journal on Wireless Communications and Networking, vol 2009, Article ID 692654, 11 pages, 2009 [71] Praetox Technologies Low https://github.com/NewEraCracker/LOIC/ Orbit Ion Cannon, 2010, [online] [72] K J Higgins, Researchers To Demonstrate New Attack That Exploits HTTP, Nov 01, 2010, [online] http://www.darkreading.com/vulnerability-management/167901026 security/attacks-breaches/228000532/index.html [73] S T Zargar, and J B D Joshi, A Collaborative Approach to Facilitate Intrusion Detection and Response against DDoS Attacks, the 6th Intl Conference on Collaborative Computing: Networking, Applications and Worksharing (CollaborateCom 2010), Chicago, IL, October 9-12, 2010 [74] Filipe Almeida (aka LiquidK), "idlescan (ip.id portscanner)", Retrieved 2010-11-09 [75] B Krishna Kumar, P.K Kumar, R Sukanesh, "Hop Count Based Packet Processing Approach to Counter DDoS Attacks," International Conference on Recent Trends in Information, Telecommunication and Computing, PET Engineering College, Thirunelvelli, India, pp 271-273, 12-13, March, 2010 [76] H I Liu, and K C Chang, Defending systems Against Tilt DDoS attacks, Telecommunication Systems, Services, and Applications (TSSA), pp 22-27, October 20-21, 2011 [77] CAIDA, The Cooperative (http://www.caida.org) Analysis for Internet Data Analysis, 2011 [78] Tran Manh Thang, Juntae Kim, “The Anomaly Detection by Using DBSCAN Clustering with Multiple Parameters”, 2011 International Conference on Information Science and Applications, May, 2011 [79] DEFCON, The SHMOO Group, 2011 (http://cctf.shmoo.com/) [80] C Wilson, DDoS and Security Reports: The Arbor Networks Security Blog, Arbor Networks, 2011, [online] http://ddos.arbornetworks.com/2012/02/ddos-tools/ [81] Acunetix web application security, ; 2012 [82] Google’s official googlebot, ; 2012 [83] Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks, Retrieved Oct 19, 2012, [online] http://www.cisco.com/en/US/tech/tk59/technologies/whitepaper09186a 0080174a5b.shtml [84] A Rahul, S K Prashanth, B S kumarand, and G Arun, Detection of Intruders and Flooding In Voip Using IDS, Jacobson Fast And Hellinger Distance Algorithms, IOSR Journal of Computer Engineering (IOSRJCE), Vol 2, no 2, pp 30-36, July-Aug 2012 111 [85] E Alomari, S Manickam, B B Gupta, S Karuppayah, and R Alfaris, Botnet-based Distributed Denial of Service (DDoS) Attacks on Web Servers: Classification and Art, International Journal of Computer Applications, Vol 49, no 7, pp 24-32, Jul., 2012 [86] RioRey, Inc 2009-2012, RioRey Taxonomy of DDoS Attacks, RioRey Taxonomy Rev 2.3 2012, 2012 [online] http://www.riorey.com/x-resources/2012/RioRey Taxonomy DDoS Attacks 2012.pdf [87] S Shekyan, Are you ready for slow reading? Jan 5, 2012, [online] https://community.qualys.com/blogs/securitylabs/2012/01/05/slow-read [88] ha.ckers.org, Slowloris HTTP DoS, http://ha.ckers.org/slowloris/ Retrieved Oct 19, 2012, [online] [89] S Taghavi Zargar and D Tipper “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks”, 11 Feb 2013 [90] Ritu Maheshwari, Dr C Rama Krishna, "Mitigation Of DDos Attacks Using Probability Based Distributed Hop Count Filtering And Round Trip Time," International Journal of Engineering Research & Technology, Vol Issue 7, July - 2013 [91] Luis Campo Giralte, Cristina Conde, Isaac Martin de Diego, Enrique Cabello, “Detecting denial of service by modelling web-server behaviour”, Computers & Electrical Engineering, Volume 39, Issue 7, Pages 2252-2262, October, 2013 [92] Qin Liao, Hong Li, Songlin Kang, Chuchu Liu, “Feature extraction and construction of application layer DDoS attack based on user behavior”, Proceedings of the 33rd Chinese Control Conference, July, 2014 [93] Monowar H Bhuyan, Dhruba K Bhattacharyya, Jugal K Kalita, “owards Generating Real-life Datasets for Network Intrusion Detection”, International Journal of Network Security, Vol.17, No.6, PP.683-701, Nov 2015 [94] Ko Ko Oo, Kyaw Zaw Ye, Hein Tun, Kyaw Zin Lin and E.M Portnov, “Enhancement of Preventing Application Layer Based on DDOS Attacks by Using Hidden Semi-Markov Model”, Genetic and Evolutionary Computing pp 125-135, August 2015 [95] Opeyemi.A Osanaiye, Mqhele Dlodl, “TCP/IP Header Classification for Detecting Spoofed DDoS Attack in Cloud Environment”, IEEE EUROCON 2015 - International Conference on Computer as a Tool, 978-1-4799-8569-2, Sept, 2015 [96] Alptugay Degirmencioglu, Hasan Tugrul Erdogan, Mehrdad A Mizani, Oğuz Yılmaz, “A classification approach for adaptive mitigation of SYN flood attacks: Preventing performance loss due to SYN flood attacks”, NOMS 2016 - 2016 IEEE/IFIP Network Operations and Management Symposium, pp 1109-1112, April, 2016 [97] Monika Sachdeva, Krishan Kumar, Gurvinder Singh “A comprehensive approach to discriminate DDoS attacks from flash events”, Journal of information security and applications 26 (2016) 8–22 112 [98] S Behala, K Kumarb “Trends in Validation of DDoS Research”, Procedia Computer Science, Volume 85, 2016, Pages 7-15 [99] L Kavisankar, C Chellappan, S Venkatesan, P Sivasankar “Efficient SYN Spoofing Detection and Mitigation Scheme for DDoS Attack”, Second International Conference on Recent Trends and Challenges in Computational Models, Feb, 2017 [100] Akshat Gaurav, Awadhesh Kumar Singh, “Entropy-score: A method to detect DDoS attack and flash crowd”, 2017 2nd IEEE International Conference on Recent Trends in Electronics, Information & Communication Technology, May, 2017 [101] T Alharbi, A Aljuhani, H Liu, “SYN Flooding Detection and Mitigation using NFV”, International Journal of Computer Engineering and Information Technology, VOL 10, NO 1, January 2018 [102] Ryosuke Nagai, Wataru Kurihara, Shun Higuchi, Toshio Hirotsu, “Design and Implementation of an OpenFlow-Based TCP Syn Flood Mitigation”, 2018 6th IEEE International Conference on Mobile Cloud Computing, Services, and Engineering, March, 2018 [103] K Munivara Prasad, A Rama Mohan Reddy, K Venu Gopal Rao, “An Experiential Metrics-Based Machine Learning Approach for Anomaly Based Real Time Prevention (ARTP) of App-DDoS Attacks on Web”, Artificial Intelligence and Evolutionary Computations in Engineering Systems pp 99-112, March, 2018 [104] Internet Engineering Task Force (IETF), RFC 791 [105] Mananet, FireWall.pdf Reverse Firewall, [online] http://www.cs3–inc.com/pubs/Reverse [106] Arbor networks worldwide infraestructure security report vol 4., [107] http://acdt2018.org/ [108] X Liu, X Yang, and Y Lu, StopIt: Mitigating DoS Flooding Attacks from MultiMillion Botnets, Technical Report 08-05, http://www.cs.duke.edu/ xinl/stopit-tr.pdf [109] https://www.gns3.com/ [110] https://drive.google.com/open?id=1xJRGgcfkKkAfbuxXlYU3DHlKfr4BU51Z [111] https://drive.google.com/open?id=1DM0uy4zEf4tfvNyhc4XwQ2-49BDf0OmT [112] https://drive.google.com/open?id=1B1_E5mQEPN5iC7vck7yFBpeLuac7Lwv4 113 ... chí đánh giá hiệu phương pháp đề xuất; Nghiên cứu khảo sát đánh giá thực nghiệm phương pháp phịng chống cơng DDoS 1.1 Tổng quan công từ chối dịch vụ phân tán DDoS Tấn công từ chối dịch vụ dạng. .. Tổng quan công từ chối dịch vụ phân tán DDoS; Các dạng công DDoS phổ biến; Các công cụ công DDoS phổ biến; Những thách thức việc phát phịng chống cơng DDoS; Tổng quan phương pháp phịng, chống cơng... Tổng quan công từ chối dịch vụ phân tán DDoS; Các dạng công DDoS phổ biến; Các công cụ công DDoS phổ biến; Những thách thức việc phát phịng chống cơng DDoS; Tổng quan phương pháp phịng chống cơng