BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Trần Mạnh Thắng PHÁT HIỆN VÀ PHÒNG CHỐNG MỘT SỐ DẠNG TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN Ngành: Kỹ thuật phần mềm Mã số: 9480103 LUẬN ÁN TIẾN SĨ KỸ THUẬT PHẦN MỀM NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Khanh Văn PGS.TS Nguyễn Linh Giang Hà Nội - 2019 LỜI CAM ĐOAN Tôi xin cam đoan tất nội dung luận án “Phát phòng chống số dạng công từ chối dịch vụ phân tán” công trình nghiên cứu riêng tơi hướng dẫn tập thể hướng dẫn Các số liệu, kết luận án trung thực chưa tác giả khác cơng bố cơng trình Việc tham khảo nguồn tài liệu thực trích dẫn ghi nguồn tài liệu tham khảo quy định Hà Nội, ngày 10 tháng năm 2019 Tập thể hướng dẫn PGS.TS Nguyễn Khanh Văn Nghiên cứu sinh PGS.TS Nguyễn Linh Giang i Trần Mạnh Thắng LỜI CẢM ƠN Trước hết, xin trân trọng cảm ơn Trường Đại học Bách Khoa Hà Nội, Phòng Đào tạo, Viện Công nghệ thông tin Truyền thông, thầy cô bạn tạo điều kiện thuận lợi đóng góp nhiều ý kiến quý báu giúp tơi hồn thành luận án Đặc biệt, tơi xin bày tỏ lòng biết ơn chân thành sâu sắc đến hai Thầy hướng dẫn khoa học, PGS.TS Nguyễn Khanh Văn PGS.TS Nguyễn Linh Giang hết lòng hướng dẫn, giúp đỡ tạo điều kiện thuận lợi cho tơi suốt q trình thực luận án Tơi xin cảm ơn gia đình người thân bên tôi, ủng hộ động viên suốt q trình nghiên cứu Tơi xin chân thành cảm ơn! Hà Nội, ngày 10 tháng năm 2019 Nghiên cứu sinh Trần Mạnh Thắng ii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT vii DANH MỤC CÁC BẢNG viii DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ ix DANH MỤC CÁC THUẬT TOÁN x MỞ ĐẦU 1 Tính cấp thiết đề tài Đối tượng nghiên cứu phương pháp nghiên cứu Nội dung nghiên cứu Ý nghĩa khoa học ý nghĩa thực tiễn luận án 5 Điểm luận án 6 Cấu trúc luận án CHƯƠNG TỔNG QUAN VỀ TẤN CƠNG VÀ PHỊNG CHỐNG TẤN CƠNG DDOS 1.1 Tổng quan cơng từ chối dịch vụ phân tán DDoS 1.2 Các dạng công DDoS phổ biến 11 1.2.1 Tấn công DDoS lớp mạng 11 1.2.2 Tấn công DDoS vào lớp ứng dụng 11 1.3 Các công cụ công DDoS phổ biến 13 1.3.1 Kênh điều khiển qua giao thức gửi nhận tin nhắn IRC 13 1.3.2 Kênh điều khiển qua giao thức HTTP 14 1.4 Những thách thức việc phát phòng chống công DDoS 14 1.5 Tổng quan phương pháp phịng chống cơng DDoS 16 1.5.1 Nhóm phương pháp phịng chống cơng lớp mạng 17 1.5.1.1 Nhóm phương pháp áp dụng gần nguồn công 17 1.5.1.2 Nhóm phương pháp áp dụng phía đối tượng bảo vệ 17 1.5.1.3 Nhóm phương pháp áp dụng hạ tầng mạng trung gian 18 1.5.1.4 Nhóm phương pháp kết hợp 18 1.5.2 Nhóm phương pháp phịng chống công lớp ứng dụng 19 iii 1.5.2.1 Nhóm phương pháp áp dụng phía đối tượng bảo vệ 19 1.5.2.2 Nhóm phương pháp kết hợp 19 1.5.3 Nhóm phương pháp theo giai đoạn phòng chống 20 1.5.3.1 Giai đoạn phòng thủ 20 1.5.3.2 Giai đoạn phát công 20 1.5.3.3 Giai đoạn xử lý công 20 1.5.4 Phân tích lựa chọn phương pháp theo vị trí triển khai 21 1.5.5 Các nghiên cứu liên quan đến phịng chống cơng TCP Syn Flood 22 1.5.5.1 Nhóm phương pháp dựa vào chế nhận dạng đường 22 1.5.5.2 Nhóm phương pháp dựa vào chế lịch sử truy cập 23 1.5.5.3 Nhóm phương pháp dựa vào chế nhận dạng đường 23 1.5.5.4 Nhóm phương pháp dựa vào chế xác thực nguồn 25 1.5.5.5 Đánh giá điểm hạn chế nhóm phương pháp đề xuất giải pháp 25 1.5.6 Các nghiên cứu liên quan đến phòng chống cơng Web App-DDoS 26 1.5.6.1 Nhóm phương pháp sử dụng thuật tốn phân nhóm 26 1.5.6.2 Nhóm phương pháp thống kê 27 1.5.6.3 Phương pháp mô tả hành vi người dùng từ log truy cập 27 1.5.6.4 Đánh giá điểm hạn chế nhóm phương pháp đề xuất giải pháp 28 1.6 Nghiên cứu tiêu chí đánh giá hiệu phương pháp 28 1.7 Nghiên cứu, khảo sát đánh giá thực nghiệm 30 1.7.1 Khảo sát tập liệu đánh giá thực nghiệm 30 1.7.2 Đánh giá thực nghiệm với công TCP Syn Flood Web App-DDoS 32 1.8 Kết luận chương 34 CHƯƠNG PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG TCP SYN FLOOD 35 2.1 Khái quát toán 35 2.1.1 Giới thiệu toán phương pháp đề xuất 35 2.1.2 Về hạn chế phương pháp giải 36 2.2 Tổng quan dạng công TCP Syn Flood 37 2.3 Mơ hình triển khai phương pháp phát phịng chống cơng TCP Syn Flood 39 2.3.1 Mơ hình tổng thể thành phần 40 2.3.2 Nguyên lý hoạt động 41 2.4 Phát công TCP Syn Flood 41 iv 2.5 Phát loại bỏ gói tin giả mạo công DDoS TCP Syn Flood 43 2.5.1 Đặc trưng gói tin IP gửi từ máy nguồn 43 2.5.2 Kiểm chứng giả thuyết tính chất tăng dần giá trị PID 44 2.5.2.1 Kiểm chứng giả thuyết PID dựa quan sát ngẫu nhiên 45 2.5.2.2 Kiểm chứng giả thuyết PID toàn tập liệu thu 46 2.5.3 Giải pháp phát loại bỏ gói tin giả mạo PIDAD1 47 2.5.3.1 Thuật toán DBSCAN 47 2.5.3.2 Giải pháp PIDAD1 48 2.5.4 Giải pháp phát loại bỏ gói tin giả mạo PIDAD2 51 2.5.4.1 Cơ chế thuật tốn lọc bỏ nhanh gói tin giả mạo 51 2.5.4.2 Tăng tốc độ xử lý giải pháp PIDAD2 với thuật toán Bloom Filter 55 2.5.5 Phương pháp xác thực địa IP nguồn 56 2.6 Đánh giá thực nghiệm 58 2.6.1 Xây dựng mô hình liệu đánh giá thực nghiệm 58 2.6.2 Đánh giá thực nghiệm cho giải pháp PIDAD1 PIDAD2 60 2.6.2.1 Giải pháp PIDAD1 60 2.6.2.2 Giải pháp PIDAD2 61 2.6.2.3 So sánh hiệu giải pháp PIDAD1 PIDAD2 62 2.6.3 So sánh hiệu giải pháp PIDAD2 với giải pháp khác 63 2.7 Kết luận chương 66 CHƯƠNG PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG WEB APP-DDOS 67 3.1 Giới thiệu toán 67 3.2 Tổng quan công Web App-DDoS 68 3.2.1 Ứng dụng Web 68 3.2.1.1 Máy chủ Web 68 3.2.1.2 Nguyên lý hoạt động 68 3.2.1.3 Giao thức HTTP 68 3.2.2 Đặc trưng thách thức phịng chống cơng Web App-DDoS 69 3.1.2.1 Một số đặc trưng công Web App-DDoS 69 3.2.2.2 Vấn đề khó khăn phịng, chống cơng Web App-DDoS 70 3.3 Phịng chống công Web App-DDoS với phương pháp FDDA 71 3.3.1 Ý tưởng phương pháp FDDA 71 v 3.3.2 Các tham số sử dụng phương pháp FDDA 72 3.3.3 Tiêu chí tần suất truy cập 73 3.3.3.1 Xác định tần suất gửi yêu cầu từ IP nguồn theo thời gian thực 74 3.3.3.2 Xác định địa IP nguồn gửi tần xuất đồng tần suất cao 79 3.3.4 Xây dựng tiêu chí tương quan phương pháp FDDA 80 3.3.4.1 Xây dựng tập liệu tương quan 81 3.3.4.2 Phát nguồn gửi công sử dụng tập liệu tương quan 83 3.3.5 Thuật toán xử lý công phương pháp FDDA 84 3.4 Đánh giá thực nghiệm 85 3.4.1 Tạo liệu thử nghiệm 85 3.4.2 Đánh giá thử nghiệm phương pháp FDDA 87 3.4.3 So sánh hiệu phương pháp FDDA với phương pháp khác 88 3.5 Kết luận chương 88 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 89 Kết Bàn luận 89 1.1 Kết đạt 89 1.2 Bàn luận 90 Hướng nghiên cứu 91 Kiến nghị đề xuất 93 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN 94 TÀI LIỆU THAM KHẢO 95 vi DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT STT Chữ viết tắt Tiếng Anh Tiếng Việt ATTT An toàn thông tin AS Autonomous System Hệ tự trị CSDL Database Cơ sở liệu CNTT Công nghệ thông tin CNPM Công nghệ phần mềm OSI Open Systems Interconnection Mơ hình tham chiếu kết nối hệ thống mở DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán DBSCAN Density-based spatial clustering of applications with noise Thuật tốn gom nhóm phần tử dựa mật độ IP Internet Protocol Giao thức Internet 10 ISP Internet service provider Nhà cung cấp dịch vụ Internet 11 TCP Transmission Control Protocol Giao thức điều khiển truyền vận 12 TTL Time to Live Thời gian sống gói tin 13 RTT Round Trip Time Thời gian trễ trọn vòng 14 MSS Maximum Segment Size Kích thước tối đa đoạn 15 DF Do not Fragment Gói tin khơng phân mảnh 16 TL Total length Chiều dài gói tin 17 FDDA Framework for Fast Detecting Source Attack In Web Application DDoS Attack Phương pháp FDDA 18 IRC Internet Relay Chat Giao thức gửi nhận tin nhắn 19 IoT Internet of Things Internet kết nối vạn vật 20 KNN K-Nearest Neighbors Thuật toán KNN 21 NB Naive Bayes Thuật toán NB vii DANH MỤC CÁC BẢNG Bảng 1.1 So sánh hiệu phương pháp phịng chống cơng lớp mạng 22 Bảng 1.2 So sánh hiệu phương pháp phịng chống cơng lớp ứng dụng 22 Bảng 1.3 Bảng tiêu chí đánh giá hiệu phịng thủ 29 Bảng 1.4 Bảng thông tin tập liệu kiểm thử 30 Bảng 2.1 Kiểm chứng giá trị PID tập liệu DARPA 46 Bảng 2.2 Kiểm chứng giá trị PID tập liệu ĐHBK 46 Bảng 2.3 Kiểm chứng tỷ lệ gói tin có giá trị PID tăng dần 46 Bảng 2.4 Bảng tham số điểu khiển công 59 Bảng 2.5 Kết thực nghiệm giải pháp PIDAD1 61 Bảng 2.6 Kết thực nghiệm giải pháp PIDAD2 62 Bảng 3.1 Bảng cấu trúc lệnh công DDoS lớp ứng dụng 86 Bảng 3.2 Bảng thực nghiệm xác định tần suất truy cập 87 Bảng 3.3 Kết thực nghiệm phương pháp FDDA 87 Bảng 3.4 Bảng so sánh kết thực nghiệm FDDA, KNN NB 88 viii DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ Hình 1.1 Thành phần mạng Botnet 10 Hình 1.2 Phân loại phương pháp phịng chống cơng DDoS 16 Hình 2.1 TCP handshakes 38 Hình 2.2 Thành phần TCP Syn Flood Defence 39 Hình 2.3 Mơ hình hệ thống phát xử lý cơng DDoS Syn Flood 40 Hình 2.4 Cơ chế giả mạo IP tin tặc 42 Hình 2.5 Mơ hình phương pháp xác định tần suất gói tin TCP Reset hệ thống thực 43 Hình 2.6 IP Header 44 Hình 2.7 Thuật toán DBSCAN 47 Hình 2.8 Mơ hình giải pháp PIDAD2 hệ thống thực 52 Hình 2.9 Hình minh họa thuật toán Bloom filter 55 Hình 2.10 Mơ hình xác thực địa IP nguồn 56 Hình 2.11 Phương pháp xác thực địa IP nguồn sử dụng Bloom Filter 57 Hình 2.12 Mơ hình hệ thống đánh giá thực nghiệm 58 Hình 2.13 Thành phần hệ thống thực nghiệm máy chủ vật lý 01 59 Hình 2.14 Thành phần hệ thống thực nghiệm máy chủ vật lý 02 59 Hình 2.15 Thành phần hệ thống thực nghiệm máy chủ vật lý 03 60 Hình 2.16 Tỷ lệ phát gói tin giả mạo giải pháp PIDAD PIDAD2 62 Hình 2.17 Thời gian xử lý giải pháp PIDAD PIDAD2 63 Hình 2.18 Tỷ lệ True Positive giải pháp PIDAD2 C4.5 64 Hình 2.19 Tỷ lệ False Positive giải pháp PIDAD2 C4.5 65 Hình 2.20 Thời gian xử lý giải pháp PIDAD2 C4.5 65 Hình 3.1 Mơ hình phương pháp FDDA 71 Hình 3.2 Minh họa tần suất gửi yêu cầu từ srcIP 73 Hình 3.3 Bảng liệu lưu vết truy cập TraTab 74 Hình 3.4 Minh họa xử lý bảng vết truy cập 75 Hình 3.5 Minh họa xử lý bảng vết truy cập (tiếp theo) 76 Hình 3.6 Minh họa phạm vi tần suất xác định yêu cầu công 79 Hình 3.7 Minh họa gửi yêu cầu tương quan từ máy tính 81 Hình 3.8 Ví dụ thời điểm gửi yêu cầu tới máy chủ 81 Hình 3.9 Cấu trúc bảng liệu TR 82 Hình 3.10 Cấu trúc bảng liệu TA 83 ix sót nguồn gửi cơng có tần suất gửi yêu cầu thấp làm ảnh hưởng tới tỷ lệ phát nguồn gửi công DR 3.4.3 So sánh hiệu phương pháp FDDA với phương pháp khác Trong phần này, phương pháp FDDA so sánh với phương pháp khác NCS sử dụng 09 tham số tác giả Qin Liao [92] đưa để đánh giá thực nghiệm Giá trị tham số tính tốn từ tập liệu sử dụng làm tham số đầu vào cho thuật toán Naive Bayes (NB) [72] KNN [86] Các tham số bao gồm:          sourceAddress, requestTimes diffReqTimes timesOfCode200 totalLength sessionDuration sequenceOfUrlLevel sequenceOfRequestFrequency sequenceOfRequestInterval Kết so sánh hiệu phát công: Methods TPR FPR KNN [86] 89.03% 1.03% NB [72] 92.47% 1.47% FDDA 92.08% 0.89% Bảng 3.4 Bảng so sánh kết thực nghiệm FDDA, KNN NB Kết cho thấy, tập liệu kiểm thử, phương pháp FDDA có tỷ lệ phát yêu cầu công cao TPR 92.08% tỷ lệ phát nhầm yêu cầu bình thường yêu cầu công FPR 0.89% so với hai phương pháp so sánh 3.5 Kết luận chương Trong chương này, NCS tập trung nghiên cứu đưa phương pháp phịng chống cơng Web App-DDoS (Phương pháp FDDA) dựa tính tốn tần suất truy cập theo thời gian thực tính tương quan yêu cầu truy cập Trong đó, mơ hình phương pháp FDDA có tính mở, cho phép kết hợp nhiều tiêu chí phát công để làm tăng hiệu quả, mức độ xác việc phát phịng chống công Trong phạm vi luận án, NCS đề xuất sử dụng 02 tiêu chí tần suất truy cập theo thời gian thực tính tương quan yêu cầu truy cập cho phương pháp FDDA Đối với tiêu chí tần suất truy cập, NCS trình bày giải pháp cho phép xác định tần suất gửi yêu cầu từ địa IP nguồn theo thời gian thực mà cần tài nguyên hệ thống xác định tần suất gửi yêu cầu nguồn gửi công công xảy số lượng gửi yêu cầu đến hệ thống bị cơng lớn Đối với tiêu chí tính tương quan yêu cầu truy cập, NCS trình bày ý tưởng tiêu chí tương quan để giải điểm hạn chế tiêu chí tần suất Bên cạnh đó, NCS hướng đến việc nghiên cứu giải pháp để phòng chống dạng công Web App-DDoS nguy hiểm tinh vi 88 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết Bàn luận 1.1 Kết đạt Trong trình làm nghiên cứu sinh trường Đại học Bách Khoa Hà Nội, NCS cố gắng tập trung nghiên cứu hồn thiện chương trình đào tạo tiến sĩ theo quy định Kết trình học tập, nghiên cứu đóng góp khoa học thực tiễn NCS trình bày luận án, bao gồm chương phần mở đầu kết luận NCS xin điểm lại nội dung đóng góp thể qua chương sau: Chương luận án trình bày khảo sát mang tính tổng quan hầu hết dạng công DDoS quen biết, nêu phân tích đặc trưng dạng cơng khó khăn thách thức việc phịng chống phương pháp phòng chống Đồng thời chương thể khảo sát chuyên sâu vào dạng công quan trọng quen thuộc, công TCP Syn Flood cơng Web-app, đối tượng nghiên cứu cụ thể luận án Chương trình bày kết liên quan đến phòng chống cơng TCP Syn Flood, đóng góp đề xuất giải pháp phát phòng chống cơng TCP Syn Flood dựa tính tăng dần số nhận dạng gói tin (PID) thơng qua thuật toán PIDAD1, PIDAD2 phương pháp xác thực địa IP nguồn Trong đó, giải pháp đề xuất cho phép phát loại bỏ nhanh gói tin giả mạo công TCP Syn Flood mà không yêu cầu can thiệp thiết bị định tuyến mạng Các giải pháp cho phép xác thực IP công xảy cho phép phát loại bỏ gói tin giả mạo gửi đến hệ thống mà khơng phải thực q trình học máy Chương trình bày đề xuất giải pháp phát phịng chống cơng Web-app DDoS dựa việc sử dụng phối hợp nhiều tiêu chí quan sát, có tiêu chí tần suất truy cập theo thời gian thực tiêu chí tương quan yêu cầu truy cập (phương pháp FDDA) Giải pháp đề xuất có tính mở, cho phép kết hợp nhiều tiêu chí phát công để làm tăng hiệu quả, mức độ xác việc phát phịng chống công, nhiên luận án tập trung khai thác vào 02 tiêu chí tần suất truy cập theo thời gian thực tính tương quan yêu cầu truy cập Đối với tiêu chí tần suất truy cập, NCS đề xuất xác định tần suất gửi yêu cầu từ địa IP nguồn theo thời gian thực mà cần tài nguyên hệ thống xác định tần suất gửi yêu cầu nguồn gửi công công xảy số lượng gửi yêu cầu đến hệ thống bị cơng lớn Từ đó, NCS triển khai giải pháp kỹ thuật chi tiết, bao gồm thuật toán cấu trúc liệu lưu trữ phù hợp Đối với tiêu chí tương quan yêu cầu truy cập, NCS tạm dừng mức nêu phân thích ý tưởng giải pháp bản, xác định phương hướng triển khai cụ thể nghiên cứu phát triển tương lai gần a) Về ý nghĩa khoa học: Luận án đóng góp 06 cơng trình nghiên cứu, bao gồm 02 tạp chí khoa học chuyên ngành nước có phản biện 04 báo cáo hội nghị khoa học quốc tế chun ngành có uy tín Trong đó, kết nghiên cứu bao gồm 02 đóng góp chính: (1) Đề xuất giải pháp phát phịng chống cơng TCP Syn Flood dựa tính tăng dần số nhận dạng gói tin (PID) thơng qua thuật tốn PIDAD1, PIDAD2 phương pháp xác thực địa IP nguồn; 89 (2) Đề xuất giải pháp phát phòng chống cơng Web-app DDoS dựa tính tốn tần suất truy cập theo thời gian thực tính tương quan yêu cầu truy cập Đối với cộng đồng nghiên cứu khoa học, kết luận án cung cấp thêm nguồn tài liệu tham khảo tập liệu kiểm thử, phục vụ việc nghiên cứu đề xuất phương pháp phịng chống cơng DDoS b) Về nghĩa thực tiễn: Kết nghiên cứu luận án đóng góp vào hai đề tài nghiên cứu khoa học: (1) Đề tài nghiên cứu khoa học cấp Bộ, mã số B2016-BKA-06 “Xây dựng hệ thống xử lý công từ chối dịch vụ mạng botnet”; (2) Đề tài nghiên cứu khoa học cấp quốc gia mã số KC.01.05/16-20 “Nghiên cứu, phát triển hệ thống phân tích vết truy cập dịch vụ cho phép phát hiện, cảnh báo hành vi bất thường nguy an tồn thơng tin Chính phủ điện tử” với nội dung nghiên cứu phát triển, đề xuất kỹ thuật mới/cải tiến cho phát dấu hiệu công DoS/DDoS dựa phân tích liệu log truy cập Trong q trình thực nhiệm vụ đề tài nghiên cứu khoa học, NCS xây dựng hệ thống phịng chống cơng DDoS thực triển khai thử nghiệm trường Đại học Bách Khoa Hà Nội Bên cạnh đó, NCS xây dựng mạng botnet mơi trưởng ảo hóa cho phép thực nhiều hình thức cơng DDoS khác để tạo liệu kiểm thử cho nghiên cứu khác 1.2 Bàn luận Công nghệ phần mềm ngành quan tâm phát triển nhiều lĩnh vực Cơng nghệ thơng tin, vấn đề đảm bảo an toàn cho giải pháp hệ thống thơng tin nói chung hệ phần mềm nói riêng ln ln vấn đề đóng vai trị quan trọng Mặc dù luận án không đóng góp trực tiếp cho định hướng lý thuyết đặc thù công nghệ phần mềm, nhiên, NCS tin tưởng nghiên cứu luận án xem đóng góp định cho lĩnh vực rộng CNTT nói chung CNPM nói riêng Đặc biệt là, với quan tâm liên quan đến việc phát triển hệ phần mềm phục vụ phát triển Cách mạng cơng nghiệp 4.0, Chính phủ điện tử, dịch vụ thương mại điện tử, ….Để phát triển phần mềm bảo đảm tính an tồn, ổ định vấn đề phịng chống dạng cơng phá hoại trở nên then chốt, đòi hỏi nghiên cứu học thuật chun sâu đảm bảo an tồn thơng tin từ trình thiết kế phần mềm xây dựng qui trình kỹ thuật phát triển lập trình nói riêng phần mềm nói chung Do đó, thấy an tồn thơng tin ln đơi gắn liền với phát triển ngành CNTT nói chung CNPM nói riêng Liên quan đến tốn an tồn thơng tin việc bảo vệ hệ thống thơng tin trước công DDoS vấn đề lớn Mặc dù, thực có nhiều giải pháp phịng chống nghiên cứu, cơng bố công DDoS gây hậu nghiêm trọng hệ thống thông tin bị cơng Do đó, việc tiếp tục nghiên cứu đề xuất giải pháp phịng chống cơng DDoS cần thiết nhiều nhà nghiên cứu quan tâm NCS lựa chọn hướng nghiên cứu liên quan đến tốn phịng chống cơng DDoS 90 Trong q trình cơng tác thực tế, NCS thấy hai dạng công TCP Syn Flood Web App-DDoS hai dạng công thường tin tặc sử dụng để công vào hệ thống thơng tin, cơng DDoS có nhiều dạng công khác Đây lý để NCS lựa chọn tập trung vào việc đề xuất phương pháp phịng chống hai dạng cơng Trong trình nghiên cứu, NCS phải đối mặt với khó khăn định Hai dạng cơng mà NCS nghiên cứu có vấn đề khó để đưa giải pháp phù hợp hiệu Đối với dạng cơng TCP Syn Flood vấn đề đặt gói tin Syn cơng gửi đến hệ thống có trường thơng tin hồn tồn gói tin bình thường Các gói tin khơng có liên hệ với phân tích gói tin dựa vào nguyên lý hoạt động giao thức TCP Do đó, việc phát gói tin giả mạo công TCP Syn Flood thách thức lớn phương pháp xử lý Thêm nữa, số lượng gói tin cơng đến hệ thống lớn việc xử lý phát nhanh gói tin giả mạo tốn quan trọng phức tạp nhiều Đối với dạng công Web App-DDoS vấn đề đặt lại khác hồn tồn dạng công TCP Syn Flood Đối với dạng cơng vấn đề cần giải làm để tin tặc khó thay đổi hình thức cơng để vượt qua giải pháp phòng chống đề xuất Nếu giải pháp tập trung giải vào khía cạnh vấn đề dựa vào tần suất phân tích đặc trưng u cầu gửi đến mà khơng có kết hợp khía cạnh lại với để thành giải pháp hồn chỉnh khơng hiệu Bởi giải pháp thuật tốn cơng bố tin tặc thay đổi phương pháp công để vượt qua biện pháp bảo vệ Thêm nữa, bận công tác nên NCS không tập trung thời gian thường xuyên liên tục trình nghiên cứu Mặc dù vậy, kết nghiên cứu NCS tập thể hướng dẫn có đóng góp khoa học kỹ thuật: Cơng bố 06 cơng trình nghiên cứu với giải pháp phịng chống cơng TCP Syn Flood Web App-DDoS, nội dung nghiên cứu đóng góp vào đề tài cấp cấp nhà nước, xây dựng hệ thống đánh giá thực nghiệm tập liệu kiểm thử Tuy nhiên, NCS thấy kết nghiên cứu điểm hạn chế cần tiếp tục nghiên cứu, hoàn thiện thời gian tới đề cập phần Hướng nghiên cứu Tấn công DDoS dạng công nguy hiểm với nhiều hình thức cơng khác mà tin tặc sử dụng Trong phạm vi luận án, NCS tập trung giải hai dạng công DDoS phổ biến TCP Syn Flood Web App-DDoS Trong đó, nghiên cứu, đề xuất tập trung giải số vấn đề cụ thể Do đó, NCS thấy rằng, cần tiếp tục nghiên cứu, đề xuất phương pháp khác liên quan đến hai dạng công để giải vấn đề mà đề xuất chưa giải sau: a) Bài toán liên quan đến phịng chống cơng TCP Syn Flood NCS chưa khảo sát so sánh hết với cơng trình nghiên cứu liên quan tới dạng công TCP Syn Flood Các cơng trình nghiên cứu liên quan đề cập luận án cơng 91 trình tiêu biểu cơng bố tạp chí uy tín Do đó, phạm vi số lượng cơng trình nghiên cứu liên quan khảo sát cần tiếp tục thực Liên quan đến toán phát công TCP Syn Flood dựa vào tần suất gói tin Reset nhận được, NCS chưa giải vấn đề trường hợp IP giả mạo trùng vào địa IP máy thật Trường hợp hệ thống khơng nhận gói tin Reset mong muốn làm ảnh hưởng đến mức độ xác việc thiết lập ngưỡng phát công trường hợp Đối với giải pháp PIDAD1 PIDAD2 có vấn đề đặt tỷ lệ phát gói giả mạo đạt hiệu cao máy tham gia công gửi tối thiểu 03 gói tin có PID tăng liên đợt Tuy nhiên có nhiều trường hợp máy tính tham gia cơng gửi tối đa 02 gói tin ngắt qng giải pháp bỏ sót trường hợp Để giải vấn đề máy tính tham gia cơng gửi tối đa 02 gói tin ngắt quãng phương pháp PIDAD1 PIDAD2 bàn luận trên, NCS đề xuất hướng nghiên cứu dựa ý tưởng hướng nghiên cứu là: Khi công TCP Syn Flood xảy ra, tỷ lệ gói tin SYN giả mạo so với gói tin SYN thực cao Do đó, tìm cách nhóm gói tin SYN theo giá trị PID tăng dần để có số lượng gói tin SYN nhóm nhiều Các gói tin nhóm coi gói tin giả mạo có tham số để xác định gói tin gửi tới thuộc nhóm Trong nghiên cứu trước [88], NCS đề xuất phương pháp sử dụng giải pháp DBSCAN với giá trị epsilon minpts cho Cluster khác (DBSCAN-MP) Do đó, hướng nghiên cứu NCS sử dụng phương pháp DBSCAN-MP để nhóm gói tin SYN theo giá trị PID tăng dần ngắt quãng Mỗi Cluster xác định giá trị epsilon minpts riêng Đây tham số để xác định gói tin giả mạo gửi đến hệ thống b) Bài tốn liên quan đến phịng chống cơng Web App-DDoS Trong phạm vi luận án, NCS đề xuất ý tưởng thuật toán tiêu chí tương quan sử dụng phương pháp FDDA mà chưa hoàn thiện đánh giá thực nghiệm Các nghiên cứu liên quan đến phịng chống cơng Web App-DDoS, NCS tập trung công trình tiêu biểu cơng bố tạp chí uy tín mà chưa mở rộng phạm vi khảo sát Do đó, phương pháp phịng, chống cơng Web App-DDoS, NCS thấy cần tiếp tục nghiên cứu hồn thiện tiêu chí tương quan, đặc biệt việc xác định thiết lập tham số đầu vào cho tiêu chí cách phù hợp có khoa học Thêm nữa, NCS cần tiếp tục nghiên cứu tiêu chí khác cho phương pháp FDDA để việc phát nguồn gửi yêu cầu công xác hiệu Bên cạnh đó, NCS tiếp tục mở rộng phạm vi nghiên cứu việc phịng chống dạng cơng DDoS khác để để xuất phương pháp phịng chống công tổng thể hiệu 92 Kiến nghị đề xuất Mặc dù phạm vi điều kiện thời gian, kinh tế công việc, NCS có đóng góp định khoa học thực tiễn nghiên cứu Kết nghiên cứu NCS Hội đồng đánh giá cấp đánh giá đáp ứng đủ yêu cầu luận án tiến sĩ Để kết nghiên cứu luận án tiếp tục đóng góp lĩnh vực nghiên cứu áp dụng thực tiễn, NCS xin kiến nghị đề xuất sau: a) Đối với lĩnh vực nghiên cứu Mặc dù nội dung nghiên cứu luận án khơng kiên quan trực tiếp đến ngành kỹ thuật phần mềm Tuy nhiên, an tồn thơng tin u cầu khơng thể thiếu việc nghiên cứu phát triển phần mềm Do đó, NCS xin kiến nghị coi kết nghiên cứu tài liệu tham khảo phục vụ cho việc nghiên cứu, phát triển phần mềm Với tài liệu tham khảo này, nhà nghiên cứu có thêm thông tin dạng công mạng, nguy an tồn thơng tin phần mềm, giao thức mạng Từ đó, nhà nghiên cứu quan tâm đến an tồn thơng tin trình thiết kế xây dựng phần mềm Bên cạnh đó, kết nghiên cứu thuật tốn phương pháp hai dạng cơng TCP Syn Flood Web App-DDoS hồn tồn kết hợp với nghiên cứu ngành kỹ thuật phần mềm để thiết kế xây dựng giải pháp phòng chống cơng DDoS hồn thiện sử dụng hệ thống thông tin Việt Nam b) Đối với việc áp dụng kết nghiên cứu thực tiễn Kết nghiên cứu NCS có đóng góp định mặt thực tiễn, đặc biệt môi trường, tập liệu thử nghiệm hệ thống phịng chống cơng DDoS thử nghiệm Trường Đại học Bách Khoa Hà Nội Do đó, NCS xin đề xuất cơng bố tập liệu thử nghiệm đề nghị nhà nghiên cứu xem xét sử dụng tập liệu thử nghiệm để đánh giá giải pháp đề xuất liên quan NCS mong muốn có thêm ý kiến góp ý nhà nghiên cứu để tiếp tục hoàn thiện tập liệu thử nghiệm tốt Đối với hệ thống phịng chống cơng DDoS, NCS xin đề nghị quan, tổ chức cho phép mở rộng triển khai thử nghiệm hệ thống hệ thống thông tin khác Trên sở thử nghiệm giải pháp, NCS có sở để tiếp tục nghiên cứu nâng cấp hồn thiện hệ thống Bên cạnh đó, NCS xin kiến nghị với Bộ Giáo dục Đào tạo, Bộ Khoa học Công nghệ ưu tiên bố trí kinh phí chương trình khoa học cơng nghệ để hỗ trợ NCS tiếp tục phát triển hoàn thiện sản phẩm NCS mong muốn sản phẩm trở thành sản phẩm an tồn thơng tin sử dụng rộng rãi hệ thống thông tin nước nhằm góp phần bảo đảm an tồn thơng tin cho hệ thống thơng tin nói chung hệ thống thơng tin phục vụ phát triển Chính phủ điện tử nói riêng Cuối cùng, NCS xin kiến nghị, đề xuất Trường Đại học Bách Khoa Hà Nội xem xét, tạo điều kiện cho NCS hoàn thiện luận án cấp tiến sĩ theo quy định Xin chân thành cảm ơn! 93 DANH MỤC CÁC CƠNG TRÌNH ĐÃ CƠNG BỐ CỦA LUẬN ÁN T.M Thang, Van K Nguyen (2016), Synflood Spoof Source DDoS Attack Defence Based on Packet ID Anomaly Detection – PIDAD, 7th International Conference on Information Science and Applications 2016, HoChiMinh, Vietnam, February 15-18, 2016 Trần Mạnh Thắng, Nguyễn Linh Giang, Nguyễn Khanh Văn (2016), Mô hình phương pháp phát giảm thiểu công DDoS dạng TCP Syn Flood giả mạo IP nguồn, Tạp chí Khoa học Cơng nghệ, số 114 năm 2016, tr 37-41 Trần Mạnh Thắng, Nguyễn Khanh Văn (2017), Phát lọc bỏ nhanh gói tin giả mạo cơng mạng TCP Syn Flood; Tạp chí Các cơng trình nghiên cứu, phát triển Cơng nghệ thơng tin Truyền thông, Tập V-2, số 18 (38), tháng 12 năm 2017, tr 33-41 T.M Thang, Van K Nguyen (2017), FDDA: A Framework For Fast Detecting Source Attack In Web Application DDoS Attack, SoICT 17: Eighth International Symposium on Information and Communication Technology, December 7–8, 2017, Nha Trang City, Viet Nam ACM, New York, NY, USA, pages https://doi.org/10.1145/3155133.3155173 T.M Thang, Chi Nguyen Q, Van K Nguyen (2018), Synflood Spoof Source DDOS Attack Defence Based on Packet ID Anomaly Detection with Bloom Filter, 2018 5th Asian Conference on Defense Technology (ACDT), Hanoi, Vietnam, 25-27 October 2018 T.M Thang, Van K Nguyen (2019), “Fast Detection and Mitigation to DDoS Web Attack based on Access Frequency”, 2019 IEEE-RIVF International Conference on Computing and Communication Technologies (RIVF), March, 2019 94 TÀI LIỆU THAM KHẢO [1] B H Bloom, “Space/time trade-offs in hash coding with allowable errors,” Communications of the ACM, vol 13, no 7, pp 422–426, 1970 [2] BASKAR ZIMMERMANN (April 1980): "OSI Reference Model—The ISO Model of Architecture for Open Systems Interconnection" [3] J POSTEL: Transmission Control Protocol: DARPA internet program protocol specification, RFC 793, September 1981 [4] CERT TCP Syn Flooding and IP Spoofing Attacks Advisory CA-96.21, September 1996 [5] E Y K Chan et al., Intrusion Detection Routers: Design, implementation and Evaluation Using an Experimental Testbed, IEEE Journal on Selected Areas in Communications, vol 24, no 10, pp 1889 1900.2006 [6] M Ester, H.P Kriegel, J Sander and X Xu, “A Density-Based Algorithm for Discovering Clusters in Large Spatial Databases with Noise,” in Proceedings of the 2nd International Conference on Knowledge Discovery and Data Mining, 1996 [7] M.I MIT, in Darpa Intrusion Detection Evaluation Retrieved from Lincoln Laboratory: https://www.ll.mit.edu/ideval/data/1998data.html [8] K A Bradley, S Cheung, N Puketza, B Mukherjee, and R A Olsson, Detecting Disruptive Routers: A Distributed Network Monitoring Approach, in Proc of the 1998 IEEE Symposium on Security and Privacy, May 1998 [9] J Lo et al., An IRC Tutorial, April, 2003, irchelp.com 1997, [online] http://www.irchelp.org/irchelp/irctutorial.html#part1 [10] B Hancock, Trinity v3, a DDoS tool, hits the streets, Computers & Security, Vol 19, no 7, pp 574-574, Nov., 2000 [11] P Ferguson, and D Senie, Network Ingress Filtering: Defeating Denial of Service Attacks that employ IP source address spoofing, Internet RFC 2827, 2000 [12] LIPPMANN: the 1999 DARPA Off-Line Intrusion Detection Evaluation Computer Networks 34(4), 579–595 (2000) [13] P J Criscuolo, Distributed Denial of Service, Tribe Flood Network 2000, and Stacheldraht CIAC-2319, Department of Energy Computer Incident Advisory Capability (CIAC), UCRL-ID-136939, Rev 1., Lawrence Livermore National Laboratory, February 14, 2000 [14] J Yan, S Early, and R Anderson, The XenoService - A Distributed Defeat for Distributed Denial of Service, in Proc of ISW 2000, October 2000 [15] Y Huang, and J M Pullen, Countering Denial of Service attacks using congestion triggered packet sampling and filtering, in Proc of the 10th International Conference on Computer Communiations and Networks, 2001 95 [16] T M Gil, and M Poleto, MULTOPS: a data-structure for bandwidth attack detection, in Proc of 10th Usenix Security Symposium, Washington, DC, pp 2338, August 1317, 2001 [17] K Park, and H Lee, On the effectiveness of probabilistic packet marking for IP traceback under denial of service attack, in Proc of IEEE INFOCOM 2001, pp 338347 [18] K Park, and H Lee, On the Effectiveness of Route-Based Packet Filtering for Distributed DoS Attack Prevention in Power-Law Internets, n Proc ACM SIGCOMM, August 2001 [19] Bysin, knight.c sourcecode, 2001, [online] http://packetstormsecurity.org/distributed/ knight.c [20] F Kargl, J Maier, and M Weber, “Protecting web servers from distributed denial of service attacks,” in WWW ’01: Proceedings of the 10th international conference on World Wide Web.NewYork, NY, USA: ACM Press, 2001, pp 514–524 [21] B JOAO, D CABRERA: Proactive Detection of Distributed Denial of Service Attacks Using MIB Traffic Variables A Feasibility Study, Integrated Network Management Proceedings, pp 609 622, 2001 [22] J Mirkovic, G Prier, and P Reiher, Attacking DDoS at the Source, in Proc of the 10th IEEE International Conference on Network Protocols (ICNP ’02), Washington DC, USA, 2002 [23] http://rivf2019.udn.vn/Datatinh.aspx?id=55&idmenu=55 [24] R Mahajan, S M Bellovin, S Floyd, J Ioannidis, V Paxson, and S Shenker, Controlling high bandwidth aggregates in the network, presented at Computer Communication Review, pp.62-73, 2002 [25] D Yau, J C S Lui, and F Liang, Defending against distributed denial of service attacks using max-min fair máy chủ centric router throttles, IEEE nternational conference on Quality of Service 2002 [26] J Mirkovic, P Reiher, and M Robinson, Forming Alliance for DDoS Defense, in Proc of New Security Paradigms Workshop, Centro Stefano Francini, Ascona, Switzerland, 2003 [27] C Wilson , DDoS and Security Reports: The Arbor Networks Security Blog, Arbor Networks, 2011, [online] http://ddos.arbornetworks.com/2012/02/ddos-tools/ [28] L V Ahn, M Blum, N J Hopper, and J Langford, CAPTCHA: using hard AI problems for security, in Proc of the 22nd international conference on Theory and applications of cryptographic techniques (EUROCRYPT’03), Eli Biham (Ed.) Springer-Verlag, Berlin, Heidelberg, 294-311 2003 [29] C Papadopoulos, R Lindell, J Mehringer, A Hussain, and R Govindan, Cossack: Coordinated Suppression of Simultaneous Attacks, in Proc Of he DARPA Information Survivability Conference and Exposition, Vol 1, pp 13, Apr 2003 [30] S Abdelsayed, D Glimsholt, C Leckie, S Ryan, and S Shami, An efficient filter for denial-of-service bandwidth attacks, in Proc of the 46th IEEE Global Telecommunications Conference (GLOBECOM03), pp 13531357, 2003 96 [31] T PENG, C LECKIE, AND K RAMAMOHANARAO: Protection from distributed denial of service attacks using history-based IP filtering, ICC ’03 May, Vol.1, pp: 482- 486, 2003 [32] A YAAR, A PERRIG, AND D SONG: Pi: A Path Identification Mechanism to Defend against DDoS Attacks, in IEEE Symposium on Security and Privacy, pp 93, 2003 [33] J Mirkovic, G Prier, and P Reihe, Source-End DDoS Defense, in Proc of 2nd IEEE International Symposium on Network Computing and Applications, April 2003 [34] R Thomas, B Mark, T Johnson, and J Croall, “Netbouncer: client legitimacy-based high-performance ddos filtering,” in DARPA Information Survivability Conference and Exposition, 2003 Proceedings, vol.1 IEEE Press, 2003, pp 14–25 [35] R Puri, Bots and Botnet – an overview, Aug http://www.giac.org/practical/GSEC/Ramneek Puri GSEC.pdf 08, 2003, [online] [36] C Douligeris and A Mitrokotsa, “Ddos attacks and defense mechanisms: a classification,” in Signal Processing and Information Technology, 2003 ISSPIT 2003 Proceedings of the 3rd IEEE International Symposium on IEEE Press, 2003, pp 190–193 [37] M LI, J LIU, AND D LONG: Probability Principle of Reliable Approach to detect signs of DDOS Flood Attacks, PDCAT, Springer-Verlag Berlin Heidelberg, pp.596-599, 2004 [38] R R Kompella, S Singh, and G Varghese, “On scalable attack detection in the network,” in IMC ’04: Proceedings of the 4th ACM SIGCOMM conference on Internet measurement New York, NY, USA: ACM Press, 2004, pp 187–200 [39] J Mirkovic and P Reiher, A taxonomy of DDoS attack and DDoS defense mechanisms, ACM SIGCOMM Computer Communications Review, vol.34, no 2, pp 39-53, April 2004 [40] V A Siris, and F Papaglou, Application of anomaly detection algorithms for detecting syn flooding attacks, in Proc of the IEEE GLOBECOM, 2004 [41] M Kim, H Kang, S Hong, S Chung, and J W Hong, A flow-based method for abnormal network traffic detection, in Network Operations and Management Symposium, vol 1, pp 599-612, April 2004 [42] B Claise, Cisco Systems NetFlow Services Export Version 9, RFC 3954, 2004 [43] R Chen, and J M Park, Attack Diagnosis: Throttling distributed denial-of-service attacks close to the attack sources, IEEE Int’l Conference on Computer Communications and Networks (ICCCN’05), Oct 2005 [44] Lawrence Berkeley National Laboratory (LBNL), ICSI, LBNL/ICSI Enterprise Tracing Project, 2005 (http://www.icir.org/enterprise-tracing/) [45] S Kandula, D Katabi, M Jacob, and A W BergerBotz-4-sale: Surviving organized ddos attacks that mimic flash crowds, in Proc Of Symposium on Networked Systems Design and Implementation (NSDI), Boston, May 2005 [46] https://drive.google.com/open?id=1nXUAAvOdV8rUE4Q6ePhXW_FajaT4dDb7 97 [47] R Chen, J M Park, and R Marchany, RIM: Router interface marking for IP traceback, in IEEE Global Telecommunications Conference (GLOBECOM’06), 2006 [48] S Ranjan, R Swaminathan, M Uysal, and E Knightly, DDoS-Resilient Scheduling to Counter Application Layer Attacks under Imperfect Detection, IEEE INFOCOM’06, 2006 [49] Y KIM, W C LAU, M C CHUAH, AND H J CHAO: PacketScore, A StatisticsBased Packet Filtering Scheme against Distributed Denial-of-Service Attacks, IEEE Trans On Dependable and Secure Computing, vol 3, no 2, pp 141-155, 2006 [50] M Walfish, M Vutukuru, H Balakrishnan, D Karger, and S Shenker, DDoS defense by offense, SIGCOMM Computer Communications Review, Vol 36, no 4, pp 303-314, August 2006 [51] R Chen, J M Park, and R Marchany, TRACK: A novel approach for defending against distributed denial-of-service attacks, Technical Report TR-ECE-06-02, Dept of Electrical and Computer Engineering, Virginia Tech, Feb 2006 [52] A Dainotti, A Pescape, and G Ventre, Wavelet-based detection of dos attacks, in IEEE Global Telecommunications Conference, GLOBECOM, 2006 [53] D.M Powers, in Evaluation: from Precision, Recall and F-measure to ROC, Informedness, Markedness and Correlation, 23rd international conference on machine learning (Pitsburg,2006) [54] KDD Cup 1999 Online: http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html, Ocotber 2007 [55] J Yu, Z Li, H Chen, and X Chen, A Detection and Offense Mechanism to Defend Against Application Layer DDoS Attacks, the third International Conference on Networking and Services (ICNS’07), pp 54, June 19-25, 2007 [56] H WANG, C JIN, AND K G SHIN: Defense Against Spoofed IP Traffic Using HopCount Filtering, IEEE/ACM Trans On Networking, vol 15, no 1, pp.40-53, February 2007 [57] T Peng, C Leckie, and K Ramamohanarao, Survey of network-based defense mechanisms countering the DoS and DDoS problems, ACM Comput Surv 39, 1, Article 3, April 2007 [58] J Nazario, BlackEnergy DDoS Bot Analysis, Arbor Networks, 2007, [online] http://atlas-public.ec2.arbor.net/docs/BlackEnergy+DDoS+Bot+ Analysis.pdf [59] A T Mizrak, S Savage, and K Marzullo, Detecting compromised routers via packet forwarding behavior, IEEE Network, pp.34-39, 2008 [60] team-cymru Inc., A Taste of HTTP Botnets, July, 2008, [online] http://www.teamcymru.com/ReadingRoom/Whitepapers/2008/http-botnets.pdf [61] G Kambourakis, T Moschos, D Geneiatakis, and S Gritzalis, Detecting DNS Amplification Attacks, in Critical Information Infrastructures Security Lecture Notes in Computer Science, Vol 5141, pp 185-196, 2008 98 [62] X Liu, X Yang, and Y Lu, To filter or to authorize: network-layer DoS defense against multimillion-node botnets, in Proc of the ACM SIGCOMM conference on Data communication (SIGCOMM ’08), NY, USA, pp 195-206, 2008 [63] G Oikonomou, and J Mirkovic, Modeling human behavior for defense against flashcrowd attacks, in Proc of the 2009 IEEE international conference on Communications (ICC’09), pp 625-630, 2009 [64] K Argyraki, and D R Cheriton, Scalable network-layer defense against internet bandwidth-flooding attacks, in IEEE/ACM Trans Netw., 17(4), pp 1284-1297, August 2009 [65] S Ranjan, R Swaminathan, M Uysal, A Nucci, and E Knightly, DDoS-shield: DDoSresilient scheduling to counter application layer attacks, IEEE/ACM Trans Netw., Vol 17, no 1, pp 26-39, February 2009 [66] Y Xie, and S Z Yu, A large-scale hidden semi-Markov model for anomaly detection on user browsing behaviors, IEEE/ACM Transactions on Networking (TON), Vol 17, no 1, pp 54-65, February 2009 [67] Biswa Ranjan Swain, Bibhudatta Sahoo, “Mitigating DDoS attack and Saving Computational Time using a Probabilistic approach and HCF method”, IEEE International Conference on Advance Computing, NIT, Rourkela, India, pp 1170-1172, 6-7, March 2009 [68] Yang Li, Tian-Bo Lu, Li Guo, Li Guo, Li Guo, “Towards lightweight and efficient DDOS attacks detection for web server”, Proceedings of the 18th international conference on World wide web Pages 1139-1140, April, 2009 [69] A JOHN, AND T SIVAKUMAR: Survey of Traceback Methods, International Journal of Recent Trends in Engineering ACEEE (Association of Computer Electronics & ElectricalEngineers), vol 1, no 2, May 2009 [70] J Liu, Y Xiao, K Ghaboosi, H Deng, and J Zhang, Botnet: Classification, Attacks, Detection, Tracing, and Preventive Measures, EURASIP Journal on Wireless Communications and Networking, vol 2009, Article ID 692654, 11 pages, 2009 [71] Praetox Technologies Low https://github.com/NewEraCracker/LOIC/ Orbit Ion Cannon, 2010, [online] [72] K J Higgins, Researchers To Demonstrate New Attack That Exploits HTTP, Nov 01, 2010, [online] http://www.darkreading.com/vulnerability-management/167901026 security/attacks-breaches/228000532/index.html [73] S T Zargar, and J B D Joshi, A Collaborative Approach to Facilitate Intrusion Detection and Response against DDoS Attacks, the 6th Intl Conference on Collaborative Computing: Networking, Applications and Worksharing (CollaborateCom 2010), Chicago, IL, October 9-12, 2010 [74] Filipe Almeida (aka LiquidK), "idlescan (ip.id portscanner)", Retrieved 2010-11-09 [75] B Krishna Kumar, P.K Kumar, R Sukanesh, "Hop Count Based Packet Processing Approach to Counter DDoS Attacks," International Conference on Recent Trends in 99 Information, Telecommunication and Computing, PET Engineering College, Thirunelvelli, India, pp 271-273, 12-13, March, 2010 [76] H I Liu, and K C Chang, Defending systems Against Tilt DDoS attacks, Telecommunication Systems, Services, and Applications (TSSA), pp 22-27, October 20-21, 2011 [77] CAIDA, The Cooperative (http://www.caida.org) Analysis for Internet Data Analysis, 2011 [78] Tran Manh Thang, Juntae Kim, “The Anomaly Detection by Using DBSCAN Clustering with Multiple Parameters”, 2011 International Conference on Information Science and Applications, May, 2011 [79] DEFCON, The SHMOO Group, 2011 (http://cctf.shmoo.com/) [80] C Wilson, DDoS and Security Reports: The Arbor Networks Security Blog, Arbor Networks, 2011, [online] http://ddos.arbornetworks.com/2012/02/ddos-tools/ [81] Acunetix web application security, ; 2012 [82] Google’s official googlebot, ; 2012 [83] Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks, Retrieved Oct 19, 2012, [online] http://www.cisco.com/en/US/tech/tk59/technologies/whitepaper09186a 0080174a5b.shtml [84] A Rahul, S K Prashanth, B S kumarand, and G Arun, Detection of Intruders and Flooding In Voip Using IDS, Jacobson Fast And Hellinger Distance Algorithms, IOSR Journal of Computer Engineering (IOSRJCE), Vol 2, no 2, pp 30-36, July-Aug 2012 [85] E Alomari, S Manickam, B B Gupta, S Karuppayah, and R Alfaris, Botnet-based Distributed Denial of Service (DDoS) Attacks on Web Servers: Classification and Art, International Journal of Computer Applications, Vol 49, no 7, pp 24-32, Jul., 2012 [86] RioRey, Inc 2009-2012, RioRey Taxonomy of DDoS Attacks, RioRey Taxonomy Rev 2.3 2012, 2012 [online] http://www.riorey.com/x-resources/2012/RioRey Taxonomy DDoS Attacks 2012.pdf [87] S Shekyan, Are you ready for slow reading? Jan 5, 2012, [online] https://community.qualys.com/blogs/securitylabs/2012/01/05/slow-read [88] ha.ckers.org, Slowloris http://ha.ckers.org/slowloris/ HTTP DoS, Retrieved Oct 19, 2012, [online] [89] S Taghavi Zargar and D Tipper “A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks”, 11 Feb 2013 [90] Ritu Maheshwari, Dr C Rama Krishna, "Mitigation Of DDos Attacks Using Probability Based Distributed Hop Count Filtering And Round Trip Time," International Journal of Engineering Research & Technology, Vol Issue 7, July - 2013 100 [91] Luis Campo Giralte, Cristina Conde, Isaac Martin de Diego, Enrique Cabello, “Detecting denial of service by modelling web-server behaviour”, Computers & Electrical Engineering, Volume 39, Issue 7, Pages 2252-2262, October, 2013 [92] Qin Liao, Hong Li, Songlin Kang, Chuchu Liu, “Feature extraction and construction of application layer DDoS attack based on user behavior”, Proceedings of the 33rd Chinese Control Conference, July, 2014 [93] Monowar H Bhuyan, Dhruba K Bhattacharyya, Jugal K Kalita, “owards Generating Real-life Datasets for Network Intrusion Detection”, International Journal of Network Security, Vol.17, No.6, PP.683-701, Nov 2015 [94] Ko Ko Oo, Kyaw Zaw Ye, Hein Tun, Kyaw Zin Lin and E.M Portnov, “Enhancement of Preventing Application Layer Based on DDOS Attacks by Using Hidden Semi-Markov Model”, Genetic and Evolutionary Computing pp 125-135, August 2015 [95] Opeyemi.A Osanaiye, Mqhele Dlodl, “TCP/IP Header Classification for Detecting Spoofed DDoS Attack in Cloud Environment”, IEEE EUROCON 2015 - International Conference on Computer as a Tool, 978-1-4799-8569-2, Sept, 2015 [96] Alptugay Degirmencioglu, Hasan Tugrul Erdogan, Mehrdad A Mizani, Oğuz Yılmaz, “A classification approach for adaptive mitigation of SYN flood attacks: Preventing performance loss due to SYN flood attacks”, NOMS 2016 - 2016 IEEE/IFIP Network Operations and Management Symposium, pp 1109-1112, April, 2016 [97] Monika Sachdeva, Krishan Kumar, Gurvinder Singh “A comprehensive approach to discriminate DDoS attacks from flash events”, Journal of information security and applications 26 (2016) 8–22 [98] S Behala, K Kumarb “Trends in Validation of DDoS Research”, Procedia Computer Science, Volume 85, 2016, Pages 7-15 [99] L Kavisankar, C Chellappan, S Venkatesan, P Sivasankar “Efficient SYN Spoofing Detection and Mitigation Scheme for DDoS Attack”, Second International Conference on Recent Trends and Challenges in Computational Models, Feb, 2017 [100] Akshat Gaurav, Awadhesh Kumar Singh, “Entropy-score: A method to detect DDoS attack and flash crowd”, 2017 2nd IEEE International Conference on Recent Trends in Electronics, Information & Communication Technology, May, 2017 [101] T Alharbi, A Aljuhani, H Liu, “SYN Flooding Detection and Mitigation using NFV”, International Journal of Computer Engineering and Information Technology, VOL 10, NO 1, January 2018 [102] Ryosuke Nagai, Wataru Kurihara, Shun Higuchi, Toshio Hirotsu, “Design and Implementation of an OpenFlow-Based TCP Syn Flood Mitigation”, 2018 6th IEEE International Conference on Mobile Cloud Computing, Services, and Engineering, March, 2018 [103] K Munivara Prasad, A Rama Mohan Reddy, K Venu Gopal Rao, “An Experiential Metrics-Based Machine Learning Approach for Anomaly Based Real Time Prevention (ARTP) 101 of App-DDoS Attacks on Web”, Artificial Intelligence and Evolutionary Computations in Engineering Systems pp 99-112, March, 2018 [104] Internet Engineering Task Force (IETF), RFC 791 [105] Mananet, FireWall.pdf Reverse Firewall, [online] http://www.cs3–inc.com/pubs/Reverse [106] Arbor networks worldwide infraestructure security report vol 4., [107] Jema David Ndibwile, A Govardhan, Kazuya Okada, Youki Kadobayashi, "Web Server Protection against Application Layer DDoS Attacks using Machine Learning and Traffic Authentication", 2015 IEEE 39th Annual Computer Software and Applications Conference, July 2015 [108] Satyajit Yadav, Selvakumar Subramanian, "Detection of Application Layer DDoS attack by feature learning using Stacked AutoEncoder", 2016 International Conference on Computational Techniques in Information and Communication Technologies (ICCTICT), March 2016 [109] Mikhail Zolotukhin, Timo Hämäläinen, Tero Kokkonen, Jarmo Siltanen, "Increasing web service availability by detecting application-layer DDoS attacks in encrypted traffic", 2016 23rd International Conference on Telecommunications (ICT), May 2016 [110] Jianguo Jiang, Qian Yu, Min Yu, Gang Li, Jiuming Chen, Kunying Liu, Chao Liu, Weiqing Huang, "ALDD: A Hybrid Traffic-User Behavior Detection Method for Application Layer DDoS", 2018 17th IEEE International Conference On Trust, Security And Privacy In Computing And Communications/ 12th IEEE International Conference On Big Data Science And Engineering (TrustCom/BigDataSE), Aug 2018 [111] Hsing-Chung Chen, Shyi-Shiun Kuo, "DoS Attack Pattern Mining Based on Association Rule Approach for Web Server", Barolli L., Xhafa F., Javaid N., Enokido T (eds) Innovative Mobile and Internet Services in Ubiquitous Computing, June 2018 102 ... phịng chống cơng DDoS 1.1 Tổng quan công từ chối dịch vụ phân tán DDoS Tấn công từ chối dịch vụ dạng công mạng với mục đích làm tính khả dụng hệ thống thông tin Tấn công từ chối dịch vụ thực từ. .. VỀ TẤN CÔNG VÀ PHỊNG CHỐNG TẤN CƠNG DDOS 1.1 Tổng quan công từ chối dịch vụ phân tán DDoS 1.2 Các dạng công DDoS phổ biến 11 1.2.1 Tấn công DDoS lớp mạng 11 1.2.2 Tấn. .. liên quan đến công từ chối dịch vụ phân tán DDoS, Các dạng công Các công cụ công DDoS phổ biến NCS thấy thách thức việc phát phịng chống cơng DDoS làm sở để đề xuất phương pháp phòng chống phù hợp