BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Trần Mạnh Thắng PHÁT HIỆN VÀ PHÒNG CHỐNG MỘT SỐ DẠNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN Ngành: Kỹ thuật phần mềm Mã số: 9480103 LUẬN ÁN TIẾN SĨ KỸ THUẬT PHẦN MỀM NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Khanh Văn PGS.TS Nguyễn Linh Giang Hà Nội - 2019 LỜI CAM ĐOAN Tôi xin cam đoan tất nội dung luận án “Phát phòng chống số dạng công từ chối dịch vụ phân tán” công trình nghiên cứu riêng tơi hướng dẫn tập thể hướng dẫn Các số liệu, kết luận án trung thực chưa tác giả khác cơng bố cơng trình Việc tham khảo nguồn tài liệu thực trích dẫn ghi nguồn tài liệu tham khảo quy định Hà Nội, ngày 11 tháng năm 2019 Tập thể hướng dẫn PGS.TS Nguyễn Khanh Văn Nghiên cứu sinh PGS.TS Nguyễn Linh Giang i Trần Mạnh Thắng LỜI CẢM ƠN Trước hết, xin trân trọng cảm ơn Trường Đại học Bách Khoa Hà Nội, Phòng Đào tạo, Viện Công nghệ thông tin Truyền thông, thầy cô bạn tạo điều kiện thuận lợi đóng góp nhiều ý kiến quý báu giúp tơi hồn thành luận án Đặc biệt, tơi xin bày tỏ lòng biết ơn chân thành sâu sắc đến hai Thầy hướng dẫn khoa học, PGS.TS Nguyễn Khanh Văn PGS.TS Nguyễn Linh Giang hết lòng hướng dẫn, giúp đỡ tạo điều kiện thuận lợi cho tơi suốt q trình thực Luận án Tơi xin cảm ơn gia đình người thân bên tôi, ủng hộ động viên suốt q trình nghiên cứu Tơi xin chân thành cảm ơn! Hà Nội, ngày 11 tháng năm 2019 Nghiên cứu sinh Trần Mạnh Thắng ii MỤC LỤC LỜI CAM ĐOAN i MỤC LỤC ii MỞ ĐẦU 1 Tính cấp thiết đề tài Đối tượng nghiên cứu phương pháp nghiên cứu Nội dung nghiên cứu Ý nghĩa khoa học ý nghĩa thực tiễn luận án Điểm luận án Cấu trúc luận án CHƯƠNG TỔNG QUAN VỀ TẤN CƠNG VÀ PHỊNG CHỐNG TẤN CƠNG DDOS 1.1 Tổng quan công từ chối dịch vụ phân tán DDoS 1.2 Các dạng công DDoS phổ biến 11 1.2.1 Tấn công DDoS lớp mạng 11 1.2.2 Tấn công DDoS vào lớp ứng dụng 12 1.3 Các công cụ công DDoS phổ biến 13 1.3.1 IRC-based 14 1.3.2 Web-based 14 1.4 Những thách thức việc phát phòng chống công DDoS 15 1.5 Tổng quan phương pháp phòng chống cơng DDoS 16 1.5.1 Nhóm phương pháp phòng chống công lớp mạng 18 1.5.1.1 Nhóm phương pháp áp dụng gần nguồn công 18 1.5.1.2 Nhóm phương pháp áp dụng phía đối tượng bảo vệ 18 1.5.1.3 Nhóm phương pháp áp dụng hạ tầng mạng trung gian 19 1.5.1.4 Nhóm phương pháp kết hợp 19 1.5.2 Nhóm phương pháp phòng chống cơng lớp ứng dụng 19 1.5.2.1 Nhóm phương pháp áp dụng phía đối tượng bảo vệ 20 1.5.2.2 Nhóm phương pháp kết hợp 20 1.5.3 Nhóm phương pháp theo giai đoạn phòng chống 20 1.5.3.1 Giai đoạn phòng thủ 20 1.5.3.2 Giai đoạn phát công 21 iii 1.5.3.3 Giai đoạn xử lý công 21 1.5.4 Phân tích lựa chọn phương pháp theo vị trí triển khai 22 1.5.5 Các nghiên cứu liên quan đến phòng chống công TCP Syn Flood 23 1.5.6 Các nghiên cứu liên quan đến phòng chống cơng Web App-DDoS 26 1.6 Nghiên cứu tiêu chí đánh giá hiệu phương pháp 27 1.7 Nghiên cứu, khảo sát đánh giá thực nghiệm 28 1.7.1 Khảo sát tập liệu đánh giá thực nghiệm 29 1.7.2 Đánh giá thực nghiệm với công TCP Syn Flood Web App-DDoS 31 1.8 Kết luận chương 33 CHƯƠNG PHÁT HIỆN VÀ PHỊNG CHỐNG TẤN CƠNG TCP SYN FLOOD 34 2.1 Giới thiệu toán 34 2.1.1 Tổng quan nội dung nghiên cứu chương 34 2.1.2 Về hạn chế phạm vi ứng dụng phương pháp giải 36 2.2 Tổng quan dạng công TCP Syn Flood 37 2.3 Mơ hình triển khai phương pháp phát phòng chống cơng TCP Syn Flood 38 2.3.1 Mơ hình tổng thể thành phần 39 2.3.2 Nguyên lý hoạt động 40 2.4 Phát công TCP Syn Flood 41 2.5 Phát loại bỏ gói tin giả mạo cơng DDoS TCP Syn Flood 43 2.5.1 Đặc trưng gói tin IP gửi từ máy nguồn 43 2.5.2 Kiểm chứng giả thuyết tính chất tăng dần giá trị PID 44 2.5.2.1 Kiểm chứng giả thuyết PID dựa quan sát ngẫu nhiên 45 2.5.2.2 Kiểm chứng giả thuyết PID toàn tập liệu thu 46 2.5.3 Giải pháp phát loại bỏ gói tin giả mạo PIDAD1 46 2.5.3.1 Thuật toán DBSCAN 47 2.5.3.2 Giải pháp PIDAD1 48 2.5.4 Giải pháp phát loại bỏ gói tin giả mạo PIDAD2 51 2.5.4.1 Cơ chế thuật toán lọc bỏ nhanh gói tin giả mạo 52 2.5.4.2 Phân tích đánh giá giải pháp PIDAD2 góc độ lý thuyết 55 2.5.4.3 Tăng tốc độ xử lý giải pháp PIDAD2 với thuật toán Bloom Filter 57 2.5.5 Phương pháp xác thực địa IP nguồn 58 2.6 Đánh giá thực nghiệm 60 iv 2.6.1 Xây dựng mơ hình liệu đánh giá thực nghiệm 60 2.6.2 Đánh giá thực nghiệm cho giải pháp PIDAD1 PIDAD2 63 2.6.2.1 Giải pháp PIDAD1 63 2.6.2.2 Giải pháp PIDAD2 64 2.6.2.3 So sánh hiệu giải pháp PIDAD1 PIDAD2 64 2.6.3 So sánh hiệu giải pháp PIDAD2 với giải pháp khác 66 2.7 Kết luận chương 68 CHƯƠNG PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG WEB APP-DDOS 70 3.1 Giới thiệu toán 70 3.2 Tổng quan công Web App-DDoS 71 3.2.1 Ứng dụng Web 71 3.2.1.1 Máy chủ Web 71 3.2.1.2 Nguyên lý hoạt động 71 3.2.1.3 Giao thức HTTP 72 3.2.2 Đặc trưng thách thức phòng chống cơng Web App-DDoS 73 3.1.2.1 Một số đặc trưng công Web App-DDoS 73 3.2.2.2 Vấn đề khó khăn phòng, chống cơng Web App-DDoS 73 3.3 Mơ hình, phương pháp phòng chống công Web App-DDoS 74 3.3.1 Mơ hình tổng thể thành phần 74 3.3.2 Nguyên lý hoạt động 75 3.4 Phát công Web App-DDoS 77 3.4.1 Tiêu chí phát công dựa tần suất truy nhập 78 3.4.2 Tiêu chí phát công dựa vào thời gian truy cập ngẫu nhiên 78 3.5 Phòng chống công Web App-DDoS sử dụng phương pháp FDDA 79 3.5.1 Ý tưởng phương pháp FDDA 80 3.5.2 Các khái niệm sử dụng phương pháp FDDA 81 3.5.3 Thiết lập tham số đầu vào cho phương pháp FDDA 82 3.5.4 Tiêu chí tần suất truy cập 82 3.5.4.1 Thiết kế bảng liệu lưu vết truy cập TraTab 83 3.5.4.2 Thiết lập tham số đầu vào chế đồng 85 3.5.4.3 Thuật toán chi tiết tính tần suất f thời gian thực 85 3.5.4.4 Cài đặt thuật toán 89 v 3.5.4.5 Tìm loại bỏ nhanh nguồn gửi yêu cầu công tần suất cao 89 3.5.5 Xây dựng tiêu chí tương quan phương pháp FDDA 91 3.5.5.1 Xây dựng tập liệu tương quan 91 3.5.5.2 Thiết kế cấu trúc liệu cho thuật toán 94 3.5.5.3 Phát nguồn gửi công sử dụng tập liệu tương quan 95 3.5.5 Thuật toán xử lý công phương pháp FDDA 96 3.6 Đánh giá thực nghiệm 98 3.6.1 Tạo liệu thử nghiệm 98 3.6.4 Đánh giá thử nghiệm phương pháp FDDA 99 3.6.4.1 Kết xác định nguồn gửi u cầu cơng theo tiêu chí tần suất 99 3.6.4.2 Kết xây dựng tập yêu cầu tương quan 100 3.6.4.3 Kết đánh giá thử nghiệm phương pháp FDDA 100 3.6.5 So sánh hiệu phương pháp FDDA với phương pháp khác 101 3.7 Kết luận chương 102 KẾT LUẬN VÀ ĐỀ XUẤT 103 Kết luận 103 Kiến nghị, đề xuất 104 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN 105 TÀI LIỆU THAM KHẢO 106 vi BẢN DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Các chữ viết tắt STT Chữ viết tắt CSDL Tiếng Anh Tiếng Việt Database Cơ sở liệu AS Autonomous System Tập hợp mạng có sách định tuyến thường thuộc quyền quản lý, khai thác chủ thể OSI Open Systems Interconnection Mơ hình tham chiếu kết nối hệ thống mở DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DBSCAN Density-based spatial clustering of applications with noise Thuật tốn gom nhóm phần tử dựa mật độ IP Internet Protocol Giao thức Internet ISP Internet service provider Nhà cung cấp dịch vụ Internet TCP Transmission Control Protocol Giao thức điều khiển truyền vận TTL Time to Live Thời gian sống gói tin 10 RTT Round Trip Time Thời gian trễ trọn vòng 11 MSS Maximum Segment Size Chiều dài tối đa kích thước thơng tin 12 DF Do not Fragment Gói tin khơng phân mảnh 13 TL Total length Chiều dài gói tin 14 FDDA Framework for Fast Detecting Source Attack In Web Application DDoS Attack Phương pháp phát nhanh nguồn gửi yêu cầu công DDoS vào ứng dụng Web 15 TL Internet Relay Chat Giao thức gửi nhận tin nhắn 16 IoT Internet of Things Internet kết nối vạn vật vii BẢN DANH MỤC CÁC BẢNG Bảng 1.1 So sánh hiệu phương pháp phòng chống cơng lớp mạng 23 Bảng 1.2 So sánh hiệu phương pháp phòng chống cơng lớp ứng dụng 23 Bảng 1.3 Bảng tiêu chí đánh giá hiệu phòng thủ 27 Bảng 1.4 Bảng thông tin tập liệu kiểm thử 29 Bảng 2.1 Kiểm chứng giá trị PID tập liệu DARPA 45 Bảng 2.2 Kiểm chứng giá trị PID tập liệu ĐHBK 46 Bảng 2.3 Kiểm chứng tỷ lệ gói tin có giá trị PID tăng dần 46 Bảng 2.4 Quy mô công giả định xác suất lỗi 56 Bảng 2.5 Bảng tham số điểu khiển công 62 Bảng 2.6 Kết thực nghiệm phương pháp PIDAD1 64 Bảng 2.7 Kết thực nghiệm phương pháp PIDAD2 64 Bảng 3.1 CSLD thành phần Web App-DDoS Defence 76 Bảng 3.2 Bảng cấu trúc lệnh công DDoS lớp ứng dụng 98 Bảng 3.3 Bảng thực nghiệm xác định tần suất truy cập 100 Bảng 3.4 Kết thực nghiệm phương pháp FDDA 100 Bảng 3.5 Bảng so sánh kết thực nghiệm FDDA KNN,NB 101 viii BẢN DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1.1 Thành phần mạng Botnet 10 Hình 1.2 Phân loại phương pháp phòng chống cơng DDoS 17 Hình 2.1 TCP handshakes 37 Hình 2.2 Thành phần TCP Syn Flood Defence 39 Hình 2.3 Mơ hình hệ thống phát xử lý công DDoS Syn Flood 40 Hình 2.4 Cơ chế giả mạo IP tin tặc 42 Hình 2.5 Phương pháp xác định tần số xuất gói tin TCP Reset 42 Hình 2.6 IP Header 44 Hình 2.7 Thuật tốn DBSCAN 47 Hình 2.8 Thuật toán PIDAD1 Training phase 50 Hình 2.9 Thuật tốn prương pháp PIDAD1 51 Hình 2.10 Sơ đồ giải pháp PIDAD2 53 Hình 2.11 Thuật tốn giải pháp PIDAD2 54 Hình 2.12 Hình minh họa thuật tốn Bloom filter 57 Hình 2.13 Mơ hình xác thực địa IP nguồn 59 Hình 2.14 Phương pháp xác thực địa IP nguồn sử dụng Bloom Filter 59 Hình 2.15 Mơ hình hệ thống đánh giá thực nghiệm 61 Hình 2.16 Thành phần hệ thống thực nghiệm máy chủ vật lý 01 61 Hình 2.17 Thành phần hệ thống thực nghiệm máy chủ vật lý 02 62 Hình 2.18 Thành phần hệ thống thực nghiệm máy chủ vật lý 03 62 Hình 2.19 Tỷ lệ phát gói tin giả mạo giải pháp PIDAD PIDAD2 65 Hình 2.20 Thời gian xử lý giải pháp PIDAD PIDAD2 65 Hình 2.21 Tỷ lệ True Positive giải pháp PIDAD2 C4.5 67 Hình 2.22 Tỷ lệ False Positive giải pháp PIDAD2 C4.5 67 Hình 2.23 Thời gian xử lý giải pháp PIDAD2 C4.5 68 Hình 3.1 Thành phần phòng chống cơng Web App-DDoS 75 Hình 3.2 Các chức thành phần Web App-DDoS Defence 75 Hình 3.3 Mơ hình phương pháp phát công Web App-DDoS 77 Hình Ví dụ thời điểm gửi yêu cầu tới máy chủ 79 Hình 3.5 Mơ hình phương pháp FDDA 80 Hình 3.6 Minh họa tần suất gửi yêu cầu từ srcIP 83 ix Sau thực công giả định khoảng thời gian 03 phút, thu tập liệu lưu trữ dạng PCAP có 66.851 gói tin [2] CSDL thu có cấu trúc bảng 3.1 bao gồm 1.310 yêu cầu, có u cầu cơng yêu cầu bình thường lưu trữ CSDL MySQL [111] Để đánh dấu nguồn gửi yêu cầu công phục vụ việc đánh giá thử nghiệm, yêu cầu gửi từ địa IP mạng botnet (trong mơ hình thử nghiệm mơi trường ảo) đánh dấu nguồn gửi yêu cầu công Các IP nguồn khác không nằm dải địa IP mạng botnet đánh dấu nguồn gửi yêu cầu bình thường 3.6.4 Đánh giá thử nghiệm phương pháp FDDA 3.6.4.1 Kết xác định nguồn gửi yêu cầu công theo tiêu chí tần suất Sau áp dụng thuật tốn tập liệu [2], chúng tơi tìm tần suất gửi yêu cầu srcIP sau: Sau khoảng thời gian lấy mẫu vòng phút, chúng tơi thu tần suất truy cập 28 srcIP khác Trong có 16 srcIP cơng Số lượng địa srcIP thu tương đối thấp thu thập log truy cập vào website Viện Đào tạo Sau Đại học Trường Đại học Bách Khoa Hà Nội website có tần suất truy cập tương đối thấp Tôi chọn giá trị Δ = 10s, kết thực nghiệm thu tần suất truy cập ứng với mỗi srcIP sau: SrcIP f1 f2 f3 f4 f5 f6 f7 f8 f9 f10 f11 f12 f13 f14 f15 f16 f17 f18 103.16.1.144 31 31 31 31 31 28 24 24 24 24 21 13 13 13 13 0 103.192.237.10 54 53 51 49 46 44 40 37 33 30 25 21 15 3 103.192.237.11 68 65 59 56 53 50 45 42 37 34 28 22 18 16 13 10 103.192.237.12 54 48 44 42 39 39 38 35 35 30 26 23 20 16 11 103.192.237.13 40 36 29 25 18 14 24 23 20 20 16 16 13 103.192.237.14 61 56 54 51 45 41 38 34 31 30 25 19 15 15 11 103.192.237.15 68 65 59 54 52 48 44 42 40 35 32 24 18 17 13 10 103.192.237.16 64 61 61 57 56 50 49 44 41 36 34 31 24 20 18 15 103.192.237.2 65 59 57 55 49 47 45 42 38 34 32 28 24 21 16 14 103.192.237.21 68 66 63 59 51 48 43 42 36 31 29 25 21 15 13 103.192.237.3 65 61 57 53 47 43 41 40 36 35 31 28 24 19 12 103.192.237.4 61 60 58 61 61 59 55 52 47 44 37 35 33 25 21 14 10 103.192.237.5 66 61 60 51 48 39 35 30 26 20 19 18 18 17 16 13 103.192.237.6 76 69 63 59 57 53 51 46 42 37 33 28 23 18 16 14 103.192.237.7 57 70 67 63 61 58 52 47 41 38 30 27 25 21 16 13 11 103.192.237.8 51 49 44 43 39 37 34 28 25 23 22 17 15 12 103.192.237.9 82 80 76 73 71 66 59 55 50 45 42 40 38 32 28 22 17 103.254.16.182 67 67 67 60 52 48 48 48 37 26 9 0 103.7.36.15 10 10 10 0 0 0 0 0 0 0 117.1.182.136 11 11 11 11 11 11 11 11 11 0 0 0 0 123.16.244.47 27 14 14 14 14 14 14 11 10 10 10 10 10 6 0 123.24.204.44 19 16 15 15 15 15 15 8 8 5 0 99 123.30.175.181 1 1 1 1 1 1 1 1 1 14.181.208.119 12 12 12 12 12 12 12 12 12 0 0 0 0 14.239.6.125 13 13 13 13 13 13 13 13 13 13 13 13 13 0 0 27.67.181.184 28 28 28 28 28 28 27 0 0 0 0 0 66.249.66.208 1 1 0 0 0 0 0 0 0 95.25.119.105 4 4 4 4 4 4 4 0 Bảng 3.3 Bảng thực nghiệm xác định tần suất truy cập Tôi chọn số lần kiểm thử k = 18 Sau áp dụng thuật toán kiểm thử phát 12/16 nguồn gửi yêu cầu có tần suất gửi cao đồng đều, 04 nguồn gửi u cầu lại chúng tơi tiếp tục xác minh sử dụng tiêu chí tương quan 3.6.4.2 Kết xây dựng tập yêu cầu tương quan Tôi thực lấy mẫu log truy cập vào trang web Viện Đào tạo Sau Đại học Trường Đại học Bách Khoa Hà Nội từ thời điểm 17/10/2018, 18:21:22 đến 18/10/2018, 09:20:35 Kết thu 6.686 yêu cầu từ 372 srcIP khác Chúng thiết lập tham số đầu vào cho thuật toán Association Rule với Độ hỗ trợ = độ tin cậy ≥ 50% Kết thu 140 tập liệu tương quan 3.6.4.3 Kết đánh giá thử nghiệm phương pháp FDDA Tôi thực đánh giá thực nghiệm với tập liệu [2] sử dụng tham số sử dụng sau:      Ngưỡng phát yêu cầu nghi ngờ công FT (requests/second) Số lượng yêu cầu tập DSus Số lượng yêu cầu nghi ngờ công tập RA Tỷ lệ phát nguồn gửi công: Detection Rate - DR Tỷ lệ phát nhầm nguồn bình thường cơng: False Positive - FP Kết thực nghiệm cho thấy phương pháp chúng tơi có tỷ lệ phát cao bảng đây: FT DSus RA DR FP 50 250 185 75.32% 1.28% 100 150 200 300 500 750 1000 1310 365 668 897 863 92.56% 94.08% 88.75% 67.89% 1.11% 0.89% 1.47% 1.49% Bảng 3.4 Kết thực nghiệm phương pháp FDDA Từ kết thực nghiệm cho thấy tỷ lệ phát nguồn gửi yêu cầu công phụ thuộc vào giá trị FT Giá trị cần điều chỉnh cho phù hợp tương ứng với máy chủ cần bảo vệ 100 Trường hợp giá trị FT thiết lập nhỏ làm tăng tỷ lệ phát nhầm nguồn gửi u cầu bình thường nguồn cơng Trường hợp giá trị FT thiết lập lớn bỏ sót nguồn gửi cơng có tần suất gửi yêu cầu thấp làm ảnh hưởng tới tỷ lệ phát nguồn gửi công DR 3.6.5 So sánh hiệu phương pháp FDDA với phương pháp khác Trong phần này, phương pháp FDDA so sánh với phương pháp khác Chúng sử dụng 09 tham số tác giả Qin Liao [92] đưa để đánh giá thực nghiệm Giá trị tham số tính tốn từ tập liệu [2] sử dụng làm tham số đầu vào cho thuật toán Naive Bayes (NB) [72] KNN [86] Các tham số bao gồm:          sourceAddress, requestTimes diffReqTimes timesOfCode200 totalLength sessionDuration sequenceOfUrlLevel sequenceOfRequestFrequency sequenceOfRequestInterval Kết so sánh hiệu phát công: Methods Detection Rate False Positive KNN [86] 89.03% 1.03% NB [72] 92.47% 1.47% FDDA 93.75% 0.89% Bảng 3.5 Bảng so sánh kết thực nghiệm FDDA KNN,NB Kết so sánh thời gian xử lý: 140 120 100 Time(s) 80 KNN 60 NB 40 PIDAD2 20 250 500 750 1000 1310 Số lượng yêu cầu nhận Hình 3.19 Thời gian xử lý liệu kiểm thử FDDA ,KNN NB Kết cho thấy, tập liệu kiểm thử, phương pháp FDDA có tỷ lệ phát yêu cầu công cao (Detection Rate - 93.75%) tỷ lệ phát nhầm yêu cầu bình thường u cầu cơng (False Positive - 0.89%) so với hai phương pháp so sánh 101 3.7 Kết luận chương Trong chương này, tập trung nghiên cứu đưa phương pháp phòng chống cơng Web App-DDoS, bao gồm nội dung sau:      Tổng quan công Web App-DDoS phương pháp phòng chống Mơ hình, phương pháp phòng chống cơng Web App-DDoS Phát cơng Web App-DDoS Phòng chống công Web App-DDoS sử dụng phương pháp FDDA Đánh giá thực nghiệm Trong đó, đóng góp chương bao gồm 03 nội dung:    Đề xuất phương pháp FDDA cho phép phát loại bỏ nhanh nguồn gửi yêu cầu cơng Phương pháp đưa mơ hình mở kết hợp nhiều tiêu chí để tăng mức độ xác hiệu việc phát phòng chống công Web AppDDoS Nghiên cứu, đề xuất giải pháp loại bỏ nhanh nguồn gửi yêu cầu công, sử dụng tiêu chí tần suất Nghiên cứu, đề xuất giải pháp xác minh nguồn gửi yêu cầu bình thường, sử dụng tiêu chí tương quan Đối với hướng nghiên cứu mở rộng tiếp theo, liên quan đến phát phòng chống cơng Web App-DDoS, chúng tơi tiếp tục nghiên cứu để tối ưu giải pháp đề xuất xây dựng tiêu chí khác để tăng cường hiệu phương pháp FDDA Bên cạnh đó, chúng tơi hướng đến việc nghiên cứu giải pháp để phòng chống dạng công Web App-DDoS nguy hiểm tinh vi 102 KẾT LUẬN VÀ ĐỀ XUẤT Kết luận Tôi thấy rằng, luận án cơng trình nghiên cứu có ý nghĩa khoa học thực tiễn a) Về ý nghĩa khoa học: Luận án đóng góp thêm tối thiểu 06 cơng trình nghiên cứu (chuẩn bị gửi đăng thêm 01 cơng trình nghiên cứu Tạp chí Khoa học Cơng nghệ) Những cơng trình có tính mở để tiếp tục phát triển mở rộng hướng nghiên cứu khác Cụ thể:     Đề xuất phương pháp việc phát loại bỏ gói tin giả mạo cơng TCP Syn Flood Đề xuất mơ hình phòng chống cơng cơng Web App-DDoS, có tính mở, cho phép kết hợp nhiều tiêu chí để làm tăng hiệu quả, mức độ xác việc phát phòng chống cơng Xây dựng 02 tiêu chí cho phép loại bỏ nhanh nguồn gửi yêu cầu công xác minh nguồn gửi yêu cầu bình thường cơng cơng Web App-DDoS Các thuật tốn xây dựng cho phép xử lý nhanh số lượng lớn yêu cầu gửi đến máy chủ cần tài nguyên lưu trữ thời gian xử lý Xây dựng tập liệu kiểm thử cho hai dạng cơng có đặc trưng riêng TCP Syn Flood công Web App-DDoS hệ thống mạng xây dựng mơi trường ảo hóa b) Về nghĩa thực tiễn: Kết nghiên cứu luận án đóng góp vào hai đề tài nghiên cứu khoa học: (1) Đề tài nghiên cứu khoa học cấp Bộ, mã số B2016-BKA-06 “Xây dựng hệ thống xử lý công từ chối dịch vụ mạng botnet”; (2) Đề tài nghiên cứu khoa học cấp quốc gia mã số KC.01.05/16-20 “Nghiên cứu, phát triển hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường nguy an tồn thơng tin Chính phủ điện tử” với nội dung nghiên cứu phát triển, đề xuất kỹ thuật mới/cải tiến cho phát dấu hiệu công DoS/DDoS, công APT dựa phân tích liệu log truy cập Trong q trình thực nhiệm vụ đề tài nghiên cứu khoa học, xây dựng hệ thống phòng chống cơng DDoS thực triển khai thử nghiệm trường Đại học Bách Khoa Hà Nội Bên cạnh đó, chúng tơi xây dựng mạng botnet môi trưởng ảo hóa cho phép thực nhiều hình thức cơng DDoS khác để tạo liệu kiểm thử cho nghiên cứu khác Chúng tải lên trang mạng trực tuyến địa tải liệu kiểm thử phần phụ lục luận án 103 Kiến nghị, đề xuất Tấn công DDoS dạng cơng nguy hiểm với nhiều hình thức cơng khác mà tin tặc sử dụng Trong nghiên cứu này, tập trung giải hai dạng công DDoS phổ biến TCP Syn Flood Web App-DDoS Đây hai dạng cơng có đặc trưng riêng nên nên việc đề xuất phương pháp phòng chống hiệu thách thức với nhiều nhà nghiên cứu Do đó, chúng tơi thấy rằng, cần tiếp tục nghiên cứu để đưa phương pháp phòng chống tối ưu hiệu phòng chống dạng công DDoS khác Tuy nhiên, phạm vi điều kiện thời gian, kinh tế công việc, chúng tơi có đóng góp định khoa học thực tiễn nghiên cứu Trên sở đó, chúng tơi xin kiến nghị, đề xuất Hội đồng tạo điều kiện giúp đỡ chúng tơi góp ý hồn thiện thơng qua luận án Xin trân thành cảm ơn! 104 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN T.M Thang, Van K Nguyen (2016), Synflood Spoof Source DDoS Attack Defence Based on Packet ID Anomaly Detection – PIDAD, 7th International Conference on Information Science and Applications 2016, HoChiMinh, Vietnam, February 15-18, 2016 Trần Mạnh Thắng, Nguyễn Linh Giang, Nguyễn Khanh Văn (2016), Mơ hình phương pháp phát giảm thiểu công DDoS dạng TCP Syn Flood giả mạo IP nguồn, Tạp chí Khoa học Công nghệ, số 114 năm 2016, tr 37-41 Trần Mạnh Thắng, Nguyễn Khanh Văn (2017), Phát lọc bỏ nhanh gói tin giả mạo cơng mạng TCP Syn Flood; Tạp chí Các cơng trình nghiên cứu, phát triển Công nghệ thông tin Truyền thông, Tập V-2, số 18 (38), tháng 12 năm 2017, tr 33-41 T.M Thang, Van K Nguyen (2017), FDDA: A Framework For Fast Detecting Source Attack In Web Application DDoS Attack, SoICT 17: Eighth International Symposium on Information and Communication Technology, December 7–8, 2017, Nha Trang City, Viet Nam ACM, New York, NY, USA, pages https://doi.org/10.1145/3155133.3155173 T.M Thang, Chi Nguyen Q, Van K Nguyen (2018), Synflood Spoof Source DDOS Attack Defence Based on Packet ID Anomaly Detection with Bloom Filter, The 5th Asian Conference on Defense Technology - ACDT 2018, Hanoi, Vietnam, 25-27 October 2018 T.M Thang, Van K Nguyen (2019), “Fast Detection and Mitigation to DDoS Web Attack based on Access Frequency”, 2019 IEEE-RIVF International Conference on Computing and Communication Technologies, March, 2019 105 TÀI LIỆU THAM KHẢO [1] E Y K Chan et al., Intrusion Detection Routers: Design, implementation and Evaluation Using an Experimental Testbed, IEEE Journal on Selected Areas in Communications, vol 24, no 10, pp 1889 1900, 2006 [2] B H Bloom, “Space/time trade-offs in hash coding with allowable errors,” Communications of the ACM, vol 13, no 7, pp 422–426, 1970 [3] BASKAR ZIMMERMANN (April 1980): "OSI Reference Model—The ISO Model of Architecture for Open Systems Interconnection" [4] J POSTEL: Transmission Control Protocol: DARPA internet program protocol specification, RFC 793, September 1981 [5] CERT TCP Syn Flooding and IP Spoofing Attacks Advisory CA-96.21, September 1996 [6] M Ester, H.P Kriegel, J Sander and X Xu, “A Density-Based Algorithm for Discovering Clusters in Large Spatial Databases with Noise,” in Proceedings of the 2nd International Conference on Knowledge Discovery and Data Mining, 1996 [7] M.I MIT, in Darpa Intrusion Detection Evaluation Retrieved from Lincoln Laboratory: https://www.ll.mit.edu/ideval/data/1998data.html [8] K A Bradley, S Cheung, N Puketza, B Mukherjee, and R A Olsson, Detecting Disruptive Routers: A Distributed Network Monitoring Approach, in Proc of the 1998 IEEE Symposium on Security and Privacy, May 1998 [9] J Lo et al., An IRC Tutorial, April, 2003, irchelp.com 1997, [online] http://www.irchelp.org/irchelp/irctutorial.html#part1 [10] B Hancock, Trinity v3, a DDoS tool, hits the streets, Computers & Security, Vol 19, no 7, pp 574-574, Nov., 2000 [11] P Ferguson, and D Senie, Network Ingress Filtering: Defeating Denial of Service Attacks that employ IP source address spoofing, Internet RFC 2827, 2000 [12] LIPPMANN: the 1999 DARPA Off-Line Intrusion Detection Evaluation Computer Networks 34(4), 579–595 (2000) [13] P J Criscuolo, Distributed Denial of Service, Tribe Flood Network 2000, and Stacheldraht CIAC-2319, Department of Energy Computer Incident Advisory Capability (CIAC), UCRL-ID-136939, Rev 1., Lawrence Livermore National Laboratory, February 14, 2000 [14] J Yan, S Early, and R Anderson, The XenoService - A Distributed Defeat for Distributed Denial of Service, in Proc of ISW 2000, October 2000 106 [15] Y Huang, and J M Pullen, Countering Denial of Service attacks using congestion triggered packet sampling and filtering, in Proc of the 10th International Conference on Computer Communiations and Networks, 2001 [16] T M Gil, and M Poleto, MULTOPS: a data-structure for bandwidth attack detection, in Proc of 10th Usenix Security Symposium, Washington, DC, pp 2338, August 1317, 2001 [17] K Park, and H Lee, On the effectiveness of probabilistic packet marking for IP traceback under denial of service attack, in Proc of IEEE INFOCOM 2001, pp 338347 [18] K Park, and H Lee, On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets, n Proc ACM SIGCOMM, August 2001 [19] Bysin, knight.c sourcecode, http://packetstormsecurity.org/distributed/ knight.c 2001, [online] [20] F Kargl, J Maier, and M Weber, “Protecting web servers from distributed denial of service attacks,” in WWW ’01: Proceedings of the 10th international conference on World Wide Web.NewYork, NY, USA: ACM Press, 2001, pp 514–524 [21] B JOAO, D CABRERA: Proactive Detection of Distributed Denial of Service Attacks Using MIB Traffic Variables A Feasibility Study, Integrated Network Management Proceedings, pp 609 622, 2001 [22] J Mirkovic, G Prier, and P Reiher, Attacking DDoS at the Source, in Proc of the 10th IEEE International Conference on Network Protocols (ICNP ’02), Washington DC, USA, 2002 [23] http://rivf2019.udn.vn/Datatinh.aspx?id=55&idmenu=55 [24] R Mahajan, S M Bellovin, S Floyd, J Ioannidis, V Paxson, and S Shenker, Controlling high bandwidth aggregates in the network, presented at Computer Communication Review, pp.62-73, 2002 [25] D Yau, J C S Lui, and F Liang, Defending against distributed denial of service attacks using max-min fair máy chủ centric router throttles, IEEE nternational conference on Quality of Service 2002 [26] J Mirkovic, P Reiher, and M Robinson, Forming Alliance for DDoS Defense, in Proc of New Security Paradigms Workshop, Centro Stefano Francini, Ascona, Switzerland, 2003 [27] C Wilson , DDoS and Security Reports: The Arbor Networks Security Blog, Arbor Networks, 2011, [online] http://ddos.arbornetworks.com/2012/02/ddos-tools/ [28] L V Ahn, M Blum, N J Hopper, and J Langford, CAPTCHA: using hard AI problems for security, in Proc of the 22nd international conference on Theory and 107 applications of cryptographic techniques (EUROCRYPT’03), Eli Biham (Ed.) SpringerVerlag, Berlin, Heidelberg, 294-311 2003 [29] C Papadopoulos, R Lindell, J Mehringer, A Hussain, and R Govindan, Cossack: Coordinated Suppression of Simultaneous Attacks, in Proc Of he DARPA Information Survivability Conference and Exposition, Vol 1, pp 13, Apr 2003 [30] S Abdelsayed, D Glimsholt, C Leckie, S Ryan, and S Shami, An efficient filter for denial-of-service bandwidth attacks, in Proc of the 46th IEEE Global Telecommunications Conference (GLOBECOM03), pp 13531357, 2003 [31] T PENG, C LECKIE, AND K RAMAMOHANARAO: Protection from distributed denial of service attacks using history-based IP filtering, ICC ’03 May, Vol.1, pp: 482- 486, 2003 [32] A YAAR, A PERRIG, AND D SONG: Pi: A Path Identification Mechanism to Defend against DDoS Attacks, in IEEE Symposium on Security and Privacy, pp 93, 2003 [33] J Mirkovic, G Prier, and P Reihe, Source-End DDoS Defense, in Proc of 2nd IEEE International Symposium on Network Computing and Applications, April 2003 [34] R Thomas, B Mark, T Johnson, and J Croall, “Netbouncer: client legitimacy-based high-performance ddos filtering,” in DARPA Information Survivability Conference and Exposition, 2003 Proceedings, vol.1 IEEE Press, 2003, pp 14–25 [35] R Puri, Bots and Botnet – an overview, Aug 08, 2003, [online] http://www.giac.org/practical/GSEC/Ramneek Puri GSEC.pdf [36] C Douligeris and A Mitrokotsa, “Ddos attacks and defense mechanisms: a classification,” in Signal Processing and Information Technology, 2003 ISSPIT 2003 Proceedings of the 3rd IEEE International Symposium on IEEE Press, 2003, pp 190–193 [37] M LI, J LIU, AND D LONG: Probability Principle of Reliable Approach to detect signs of DDOS Flood Attacks, PDCAT, Springer-Verlag Berlin Heidelberg, pp.596-599, 2004 [38] R R Kompella, S Singh, and G Varghese, “On scalable attack detection in the network,” in IMC ’04: Proceedings of the 4th ACM SIGCOMM conference on Internet measurement New York, NY, USA: ACM Press, 2004, pp 187–200 [39] J Mirkovic and P Reiher, A taxonomy of DDoS attack and DDoS defense mechanisms, ACM SIGCOMM Computer Communications Review, vol.34, no 2, pp 3953, April 2004 [40] V A Siris, and F Papaglou, Application of anomaly detection algorithms for detecting syn flooding attacks, in Proc of the IEEE GLOBECOM, 2004 [41] M Kim, H Kang, S Hong, S Chung, and J W Hong, A flow-based method for abnormal network traffic detection, in Network Operations and Management Symposium, vol 1, pp 599-612, April 2004 108 [42] B Claise, Cisco Systems NetFlow Services Export Version 9, RFC 3954, 2004 [43] R Chen, and J M Park, Attack Diagnosis: Throttling distributed denial-of-service attacks close to the attack sources, IEEE Int’l Conference on Computer Communications and Networks (ICCCN’05), Oct 2005 [44] Lawrence Berkeley National Laboratory (LBNL), ICSI, LBNL/ICSI Enterprise Tracing Project, 2005 (http://www.icir.org/enterprise-tracing/) [45] S Kandula, D Katabi, M Jacob, and A W BergerBotz-4-sale: Surviving organized ddos attacks that mimic flash crowds, in Proc Of Symposium on Networked Systems Design and Implementation (NSDI), Boston, May 2005 [46] https://drive.google.com/open?id=1nXUAAvOdV8rUE4Q6ePhXW_FajaT4dDb7 [47] R Chen, J M Park, and R Marchany, RIM: Router interface marking for IP traceback, in IEEE Global Telecommunications Conference (GLOBECOM’06), 2006 [48] S Ranjan, R Swaminathan, M Uysal, and E Knightly, DDoS-Resilient Scheduling to Counter Application Layer Attacks under Imperfect Detection, IEEE INFOCOM’06, 2006 [49] Y KIM, W C LAU, M C CHUAH, AND H J CHAO: PacketScore, A StatisticsBased Packet Filtering Scheme against Distributed Denial-of-Service Attacks, IEEE Trans On Dependable and Secure Computing, vol 3, no 2, pp 141-155, 2006 [50] M Walfish, M Vutukuru, H Balakrishnan, D Karger, and S Shenker, DDoS defense by offense, SIGCOMM Computer Communications Review, Vol 36, no 4, pp 303314, August 2006 [51] R Chen, J M Park, and R Marchany, TRACK: A novel approach for defending against distributed denial-of-service attacks, Technical Report TR-ECE-06-02, Dept of Electrical and Computer Engineering, Virginia Tech, Feb 2006 [52] A Dainotti, A Pescape, and G Ventre, Wavelet-based detection of dos attacks, in IEEE Global Telecommunications Conference, GLOBECOM, 2006 [53] D.M Powers, in Evaluation: from Precision, Recall and F-measure to ROC, Informedness, Markedness and Correlation, 23rd international conference on machine learning (Pitsburg,2006) [54] KDD Cup 1999 Online: http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html, Ocotber 2007 [55] J Yu, Z Li, H Chen, and X Chen, A Detection and Offense Mechanism to Defend Against Application Layer DDoS Attacks, the third International Conference on Networking and Services (ICNS’07), pp 54, June 19-25, 2007 [56] H WANG, C JIN, AND K G SHIN: Defense Against Spoofed IP Traffic Using Hop-Count Filtering, IEEE/ACM Trans On Networking, vol 15, no 1, pp.40-53, February 2007 109 [57] T Peng, C Leckie, and K Ramamohanarao, Survey of network-based defense mechanisms countering the DoS and DDoS problems, ACM Comput Surv 39, 1, Article 3, April 2007 [58] J Nazario, BlackEnergy DDoS Bot Analysis, Arbor Networks, 2007, [online] http://atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+ Analysis.pdf [59] A T Mizrak, S Savage, and K Marzullo, Detecting compromised routers via packet forwarding behavior, IEEE Network, pp.34-39, 2008 [60] team-cymru Inc., A Taste of HTTP Botnets, July, 2008, [online] http://www.teamcymru.com/ReadingRoom/Whitepapers/2008/http-botnets.pdf [61] G Kambourakis, T Moschos, D Geneiatakis, and S Gritzalis, Detecting DNS Amplification Attacks, in Critical Information Infrastructures Security Lecture Notes in Computer Science, Vol 5141, pp 185-196, 2008 [62] X Liu, X Yang, and Y Lu, To filter or to authorize: network-layer DoS defense against multimillion-node botnets, in Proc of the ACM SIGCOMM conference on Data communication (SIGCOMM ’08), NY, USA, pp 195-206, 2008 [63] G Oikonomou, and J Mirkovic, Modeling human behavior for defense against flashcrowd attacks, in Proc of the 2009 IEEE international conference on Communications (ICC’09), pp 625-630, 2009 [64] K Argyraki, and D R Cheriton, Scalable network-layer defense against internet bandwidth-flooding attacks, in IEEE/ACM Trans Netw., 17(4), pp 1284-1297, August 2009 [65] S Ranjan, R Swaminathan, M Uysal, A Nucci, and E Knightly, DDoS-shield: DDoS-resilient scheduling to counter application layer attacks, IEEE/ACM Trans Netw., Vol 17, no 1, pp 26-39, February 2009 [66] Y Xie, and S Z Yu, A large-scale hidden semi-Markov model for anomaly detection on user browsing behaviors, IEEE/ACM Transactions on Networking (TON), Vol 17, no 1, pp 54-65, February 2009 [67] Biswa Ranjan Swain, Bibhudatta Sahoo, “Mitigating DDoS attack and Saving Computational Time using a Probabilistic approach and HCF method”, IEEE International Conference on Advance Computing, NIT, Rourkela, India, pp 1170-1172, 6-7, March 2009 [68] Yang Li, Tian-Bo Lu, Li Guo, Li Guo, Li Guo, “Towards lightweight and efficient DDOS attacks detection for web server”, Proceedings of the 18th international conference on World wide web Pages 1139-1140, April, 2009 [69] A JOHN, AND T SIVAKUMAR: Survey of Traceback Methods, International Journal of Recent Trends in Engineering ACEEE (Association of Computer Electronics & ElectricalEngineers), vol 1, no 2, May 2009 110 [70] J Liu, Y Xiao, K Ghaboosi, H Deng, and J Zhang, Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures, EURASIP Journal on Wireless Communications and Networking, vol 2009, Article ID 692654, 11 pages, 2009 [71] Praetox Technologies Low https://github.com/NewEraCracker/LOIC/ Orbit Ion Cannon, 2010, [online] [72] K J Higgins, Researchers To Demonstrate New Attack That Exploits HTTP, Nov 01, 2010, [online] http://www.darkreading.com/vulnerability-management/167901026 security/attacks-breaches/228000532/index.html [73] S T Zargar, and J B D Joshi, A Collaborative Approach to Facilitate Intrusion Detection and Response against DDoS Attacks, the 6th Intl Conference on Collaborative Computing: Networking, Applications and Worksharing (CollaborateCom 2010), Chicago, IL, October 9-12, 2010 [74] Filipe Almeida (aka LiquidK), "idlescan (ip.id portscanner)", Retrieved 2010-11-09 [75] B Krishna Kumar, P.K Kumar, R Sukanesh, "Hop Count Based Packet Processing Approach to Counter DDoS Attacks," International Conference on Recent Trends in Information, Telecommunication and Computing, PET Engineering College, Thirunelvelli, India, pp 271-273, 12-13, March, 2010 [76] H I Liu, and K C Chang, Defending systems Against Tilt DDoS attacks, Telecommunication Systems, Services, and Applications (TSSA), pp 22-27, October 20-21, 2011 [77] CAIDA, The Cooperative (http://www.caida.org) Analysis for Internet Data Analysis, 2011 [78] Tran Manh Thang, Juntae Kim, “The Anomaly Detection by Using DBSCAN Clustering with Multiple Parameters”, 2011 International Conference on Information Science and Applications, May, 2011 [79] DEFCON, The SHMOO Group, 2011 (http://cctf.shmoo.com/) [80] C Wilson, DDoS and Security Reports: The Arbor Networks Security Blog, Arbor Networks, 2011, [online] http://ddos.arbornetworks.com/2012/02/ddos-tools/ [81] Acunetix web application security, ; 2012 [82] Google’s official googlebot, ; 2012 [83] Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks, Retrieved Oct 19, 2012, [online] http://www.cisco.com/en/US/tech/tk59/technologies/whitepaper09186a 0080174a5b.shtml [84] A Rahul, S K Prashanth, B S kumarand, and G Arun, Detection of Intruders and Flooding In Voip Using IDS, Jacobson Fast And Hellinger Distance Algorithms, IOSR Journal of Computer Engineering (IOSRJCE), Vol 2, no 2, pp 30-36, July-Aug 2012 111 [85] E Alomari, S Manickam, B B Gupta, S Karuppayah, and R Alfaris, Botnet-based Distributed Denial of Service (DDoS) Attacks on Web Servers: Classification and Art, International Journal of Computer Applications, Vol 49, no 7, pp 24-32, Jul., 2012 [86] RioRey, Inc 2009-2012, RioRey Taxonomy of DDoS Attacks, RioRey Taxonomy Rev 2.3 2012, 2012 [online] http://www.riorey.com/x-resources/2012/RioRey Taxonomy DDoS Attacks 2012.pdf [87] S Shekyan, Are you ready for slow reading? Jan 5, 2012, [online] https://community.qualys.com/blogs/securitylabs/2012/01/05/slow-read [88] ha.ckers.org, Slowloris HTTP DoS, http://ha.ckers.org/slowloris/ Retrieved Oct 19, 2012, [online] [89] S Taghavi Zargar and D Tipper “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks”, 11 Feb 2013 [90] Ritu Maheshwari, Dr C Rama Krishna, "Mitigation Of DDos Attacks Using Probability Based Distributed Hop Count Filtering And Round Trip Time," International Journal of Engineering Research & Technology, Vol Issue 7, July - 2013 [91] Luis Campo Giralte, Cristina Conde, Isaac Martin de Diego, Enrique Cabello, “Detecting denial of service by modelling web-server behaviour”, Computers & Electrical Engineering, Volume 39, Issue 7, Pages 2252-2262, October, 2013 [92] Qin Liao, Hong Li, Songlin Kang, Chuchu Liu, “Feature extraction and construction of application layer DDoS attack based on user behavior”, Proceedings of the 33rd Chinese Control Conference, July, 2014 [93] Monowar H Bhuyan, Dhruba K Bhattacharyya, Jugal K Kalita, “owards Generating Real-life Datasets for Network Intrusion Detection”, International Journal of Network Security, Vol.17, No.6, PP.683-701, Nov 2015 [94] Ko Ko Oo, Kyaw Zaw Ye, Hein Tun, Kyaw Zin Lin and E.M Portnov, “Enhancement of Preventing Application Layer Based on DDOS Attacks by Using Hidden Semi-Markov Model”, Genetic and Evolutionary Computing pp 125-135, August 2015 [95] Opeyemi.A Osanaiye, Mqhele Dlodl, “TCP/IP Header Classification for Detecting Spoofed DDoS Attack in Cloud Environment”, IEEE EUROCON 2015 - International Conference on Computer as a Tool, 978-1-4799-8569-2, Sept, 2015 [96] Alptugay Degirmencioglu, Hasan Tugrul Erdogan, Mehrdad A Mizani, Oğuz Yılmaz, “A classification approach for adaptive mitigation of SYN flood attacks: Preventing performance loss due to SYN flood attacks”, NOMS 2016 - 2016 IEEE/IFIP Network Operations and Management Symposium, pp 1109-1112, April, 2016 [97] Monika Sachdeva, Krishan Kumar, Gurvinder Singh “A comprehensive approach to discriminate DDoS attacks from flash events”, Journal of information security and applications 26 (2016) 8–22 112 [98] S Behala, K Kumarb “Trends in Validation of DDoS Research”, Procedia Computer Science, Volume 85, 2016, Pages 7-15 [99] L Kavisankar, C Chellappan, S Venkatesan, P Sivasankar “Efficient SYN Spoofing Detection and Mitigation Scheme for DDoS Attack”, Second International Conference on Recent Trends and Challenges in Computational Models, Feb, 2017 [100] Akshat Gaurav, Awadhesh Kumar Singh, “Entropy-score: A method to detect DDoS attack and flash crowd”, 2017 2nd IEEE International Conference on Recent Trends in Electronics, Information & Communication Technology, May, 2017 [101] T Alharbi, A Aljuhani, H Liu, “SYN Flooding Detection and Mitigation using NFV”, International Journal of Computer Engineering and Information Technology, VOL 10, NO 1, January 2018 [102] Ryosuke Nagai, Wataru Kurihara, Shun Higuchi, Toshio Hirotsu, “Design and Implementation of an OpenFlow-Based TCP Syn Flood Mitigation”, 2018 6th IEEE International Conference on Mobile Cloud Computing, Services, and Engineering, March, 2018 [103] K Munivara Prasad, A Rama Mohan Reddy, K Venu Gopal Rao, “An Experiential Metrics-Based Machine Learning Approach for Anomaly Based Real Time Prevention (ARTP) of App-DDoS Attacks on Web”, Artificial Intelligence and Evolutionary Computations in Engineering Systems pp 99-112, March, 2018 [104] Internet Engineering Task Force (IETF), RFC 791 [105] Mananet, FireWall.pdf Reverse Firewall, [online] http://www.cs3–inc.com/pubs/Reverse [106] Arbor networks worldwide infraestructure security report vol 4., [107] http://acdt2018.org/ [108] X Liu, X Yang, and Y Lu, StopIt: Mitigating DoS Flooding Attacks from MultiMillion Botnets, Technical Report 08-05, http://www.cs.duke.edu/ xinl/stopit-tr.pdf [109] https://www.gns3.com/ [110] https://drive.google.com/open?id=1xJRGgcfkKkAfbuxXlYU3DHlKfr4BU51Z [111] https://drive.google.com/open?id=1DM0uy4zEf4tfvNyhc4XwQ2-49BDf0OmT [112] https://drive.google.com/open?id=1B1_E5mQEPN5iC7vck7yFBpeLuac7Lwv4 113