Predicting Application Layer DDoS Attacks Using Machine Learning Algorithms Dự đoán công DDoS tầng ứng dụng sử dụng thuật toán máy tự học - Cơ chế hoạt động + dựa liệu có dấu vết ma trận truy cập tạo biễu diễn không gian thời gian phân loại Naive Bayes and KNN sử dụng để tìm kiếm công + Khi nhận biết luồng liệu làm tràn ngập server đường truyền tạo sách ngăn chặn gói tin Có thể thêm vào tường lửa thêm vào router - phân loại + Học không giám sát: thường sử dụng thuật toán như: K-means, K-modes, Gaussian Mixture Model (GMM), Self-Organizing Map(SOM), Density-Based Spatial Clustering of Applications with Noise (DBSCAN), Fuzzy Cmeans(FCM), + Học bán giám sát: thuật toán cực đại kỳ vọng(Expectation Maximization - EM), máy vectơhỗ trợ truyền dẫn (Transductive Support VectorMachine - TSVM),Self-training, Co-training phương pháp dựa đồ thị + Học giám sát: SVM; K láng giềnggần (K Nearest Neighbours - KNN); tiếp cận xác suất thống kê Naïve Bayes (NB); câyquyết định (Decision Tree - DT); mạng nơ ron nhân tạo (Artificial Neural Network - ANN),bản đồ tự tổ chức (SOM),… Phương pháp thích ứng để Giảm thiểu công Ddos - Cơ chế hoạt động + Tính toán dựa băng thông mạng Từ đưa giá trị ngưỡng cho phép (thresh hold) dựa thuật toán (SEM) Structured Equation Modeling + Dựa liệu trực tiếp, lên xuống băng thông vào để có điều chỉnh phù hợp SIP: Session initiation Protocol Trước H.323 + SIP chuẩn hóa IETF + SIP giao thức hoạt động lớp application mô hình OSI - Cơ chế hoạt động + UA gửi tin yêu cầu kết nối với UA thông qua SIP server(có thể Proxy Server, ) + SIP server check xem UA có xác muốn kết nối với UA hay k liệu đăng ký trước + Nếu check ok bắt đầu kết nối từ server sang UA xem UA nhận tin k? + UA nhận tin gửi phản hồi lại cho server từ thiết lập kết nối - Cơ chế ngăn chặn DDoS Basically, the proposed system is able to drop malformed SIP messages and deter Invite/Cancel/Bye flooding Any incoming SIP message must first pass the Malformed Message Detection module Once a message is determined to be malformed, the proposed system will update the black-list in the SIP server to block further connections from that user Về bản, đề xuất hệ thống có khả ngắt tin SIP bị thay đổi ngăn chặn gói tin ngập lụt Invite/Cancel/Bye flooding Bất kỳ tin nhắn SIP đến trước tiên phải vượt qua mô-đun Ngăn chặn tin nhắn sai Sau tin nhắn xác định không định dạng, hệ thống cập nhật danh sách đen máy chủ SIP để chặn kết nối tiếp từ người dùng Có cách tiếp cận là: IPtables Fail2ban