Trong nghiên cứu của mình về tấn công DDoS sử dụng TCP SYN năm 2003, Hinning Wang [24] đã dựa vào lý thuyết về điểm thay đổi (Sequential Change Point Detection) để nhận biết thời điểm có nhiều các gói tin TCP SYN. Wang cho rằng số lượng các cặp TCP SYN - FIN là phải xấp xỉ nhau do cơ chế báo hiệu của TCP quy định. Nhưng trong trường hợp xảy ra tấn công DDOS bằng SYN TCP thì các địa chỉ gửi đến là những địa chỉ giả mạo cho nên máy chủ dịch vụ sẽ không thể nhận được gói tin ACK để hoàn thành việc bắt tay 3 bước. Wang triển khai một hệ thống theo dõi đặt tại các Router đầu cuối kết nối với Internet của máy chủ hoặc của kẻ tấn công. Sơ đồ thuật toán xử lý như hình dưới:
Hình 8 Thuật toán xử lý cờ SYN
Wang sử dụng một thuật toán phát hiện là CUSUM [3]. Lý do sử dụng thuật toán này là do vấn đề về mô hình của các kết nối TCP. Theo Wang, các kết nối TCP từ Internet đến một máy chủ là rất khó xác định mô hình. Một nghiên cứu từ Feldman [7] cho thấy : mô hình các kết nối TCP từ Internet đã có nhiều sự thay đổi ứng với sự phát triển của Internet. Vào đầu những năm 90, khi mà kết nối chủ yếu là FTP và Telnet thì mô hình phân bố của các kết nối là Poisson[4]. Tuy nhiên, khi các ứng dụng WEB trở nên phổ biến thì các kết nối TCP lại có sự thay đổi phân bố rõ rệt. Các kết nối không còn phân bố đều nữa mà phụ thuộc vào tần suất kết nối trung bình. Phân bố sẽ là bùng nổ hoặc phụ thuộc thời gian dài khi có tần suất thấp, phân bố là Poisson khi có tần suất cao.