Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022)

Áp dụng phương pháp học máy để phát hiện tấn công
DDoS trong môi trường thực nghiệm mạng SDN
Cấn Quang Trường, Nguyễn Thanh Tùng, Phạm Minh Bảo, Nguyễn Tiến Đạt, Lâm Xuân Toàn,
Đinh Thị Thái Mai
Bộ môn Hệ thống Viễn thông, Khoa Điện tử - Viễn thông
Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội
Email:

quản lý tập trung là một điểm yếu của SDN bởi cả hệ thống sẽ
sụp đổ nếu controller bị tấn công. Đặc biệt là với DDoS, khi
tại 1 thời điểm, rất nhiều gói tin với địa chỉ giả sẽ được gửi đến
controller. Điều này sẽ gây ra sự q tải băng thơng, lãng phí
tài ngun và dẫn đến việc bộ điều khiển không thể tiếp nhận
được u cầu dịch vụ người dùng. Chính vì thế, việc phát hiện
sớm và ngăn chặn các cuộc tấn công DDoS là một yêu cầu cấp
bách và cần thiết cho mạng này để đảm bảo được vấn đề an
ninh mạng.

Tóm tắt nội dung—Mạng định nghĩa bằng phần mềm (Software
Defined Network - SDN) là một kiến trúc mạng mới, hướng đến
sự linh hoạt trong hệ thống và sự đơn giản trong cách vận hành,
quản lý qua việc kiểm soát tập trung. Điều này giúp cho SDN rất
dễ thích nghi với nhu cầu về mạng hiện nay nhưng nó cũng là 1
yếu điểm lớn khi SDN phải đối mặt với các cuộc tấn công mạng.
Tấn công từ chối dịch vụ (Distributed Denial of Service - DDoS)
là một kiểu tấn công phổ biến trong mạng nhằm chiếm dụng tài
nguyên hệ thống gây ra sự tắc nghẽn cho toàn mạng và sẽ đặc biệt
nguy hiểm với các hệ thống quản lý tập trung như mạng SDN.
Trong nghiên cứu này, chúng tôi nghiên cứu một mô hình phát

hiện các cuộc tấn cơng DDoS trong mạng SDN dựa trên phương
pháp học máy, mà cụ thể là Support Vector Machine (SVM) bằng
việc sử dụng các tham số trong mạng. Bằng kết quả mô phỏng và
đặc biệt chúng tôi đã xây dựng một mơ hình mạng SDN thực tế và
áp dụng mơ hình nghiên cứu vào thực nghiệm, kết quả cho thấy
phương án của chúng tơi có khả năng phát hiện nhanh các cuộc
tấn công DDoS và đem lại độ chính xác rất cao.
Index Terms—SDN, tấn cơng DDoS, an ninh mạng, học máy,
phương pháp SVM.

I. GIỚI THIỆU
Ngày nay, với sự phát triển nhanh chóng của cơng nghệ cùng
với sự bùng nổ của Internet thì nhu cầu trong việc sử dụng
dịch vụ mạng từ người dùng ngày càng tăng, kéo theo đó là
thách thức về việc kiểm sốt mạng cho người quản lý. Với mơ
hình mạng truyền thống, việc quản lý lên đến hàng triệu thiết
bị là cực kỳ khó khăn và phức tạp. Từ đó, SDN, một kiến trúc
mạng mới ra đời với hy vọng xóa bỏ những hạn chế và khuyết
điểm của mạng truyền thống nhờ khả năng cho phép quản lý tâp
trung cùng tính mở rộng và linh động cao. Kiến trúc mạng SDN
bao gồm 3 lớp tách biệt: Lớp ứng dụng (application layer), lớp
điều khiển (control layer) và lớp cơ sở hạ tầng (infrastructure
layer) [1].
Lớp ứng dụng bao gồm các ứng dụng và những chức năng
cần thiết cho mạng. Lớp này sẽ kết nối trực tiếp đến lớp điều
khiển thông qua các API, các API này sẽ cho phép người quản
lý ở lớp ứng dụng có thể lập trình các chức năng điều khiển
trong mạng. Bộ điều khiển trong lớp điều khiển đóng vai trị
cực kỳ quan trọng trong việc quản lý tất cả các hoạt động mạng.
Bộ điều khiển sẽ tiếp nhận các gói tin và xử lý các gói tin đến

các thiết bị ở lớp dưới. Lớp cơ sở hạ tầng bao gồm các thiết bị
phần cứng trong mạng thực hiện chức năng chuyển tiếp gói tin
dưới sự điều khiển của bộ điều khiển. Việc sử dụng kiến trúc

ISBN 978-604-80-7468-5

Hình 1. Kiến trúc mạng SDN

Một số nghiên cứu áp dụng các phương pháp học máy vào
việc phát hiện tấn công DDoS đã được đưa ra trước đây. Nhóm
tác giả của bài báo [7] đã phát triển phương pháp phát hiện tấn
công dựa trên việc trích xuất sáu biến trạng thái lưu lượng lấy
từ bảng luồng trong thiết bị chuyển mạch và sử dụng nó làm
đầu vào cho mơ hình thuật tốn SVM. Sau đó, họ cũng dùng
thuật toán SVM để phân loại dữ liệu giúp phát hiện tấn cơng
một cách chính xác. Dựa trên số liệu nghiên cứu, độ chính xác
của phương pháp này là 95.24% mặc dù chỉ một lượng nhỏ các
luồng dữ liệu được thu lại.
Cùng chủ đề trên, nhóm nghiên cứu trong [8] đã đề xuất
ra một ý tưởng mới và phức tạp hơn với hệ thống phát hiện

165


Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022)

DDoS thời gian thực trong mơi trường SDN sử dụng thuật tốn
PCA (Principal Component Analysis) để phân tích trạng thái
mạng dựa trên các dữ liệu lưu lượng. Để giảm thiếu khối lượng
phải tính toán, mạng sẽ được chia ra thành nhiều phần. Giá trị

vector thặng dư (residual vector value) sẽ được ước tính trong
thời gian thực và cuộc tấn công sẽ được xác định nếu giá trị này
giảm xuống dưới một ngưỡng trong một khoảng thời gian nhất
định.
Vẫn với kỹ thuật PCA nhưng cải tiến hơn, nhóm tác giả đã sử
dụng các thành phần chính có trọng số để đối phó với kiểu tấn
công DDoS ở bài báo [9]. Kỹ thuật PCA cải tiến này sẽ được áp
dụng riêng rẽ cho từng mạng con sau khi toàn bộ mạng được
chia nhỏ. Phương pháp này giúp phát hiện ra các mục tiêu bị
tấn công DDoS thành công tại bộ điều khiển với tỷ lệ chính xác
là 95.24%.
Ở nghiên cứu [10], một kỹ thuật khác được áp dụng để phát
hiện tấn công DDoS. Nghiên cứu này đề xuất một kỹ thuật
làm cho sử dụng các giá trị entropy của địa chỉ nguồn và đích
của luồng mà các controller SDN đã có được. Sau đó, giá trị
sẽ được đối chiếu với ngưỡng xác định trước để xác định xem
kiến trúc mạng có đang bị tấn cơng hay không. Tuy nhiên, hiệu
suất thành công của phương pháp này chỉ là 63.4%.
Khác với các nghiên cứu khác, bài báo của chúng tôi chủ
yếu tập trung vào việc triển khai trên mơi trường thực tế. Một
mơ hình phân loại SVM được sử dụng dựa trên năm giá trị đặc
trưng được trích xuất từ bảng luồng thu được trong bộ chuyển
mạch. Chúng tơi đánh giá hiệu suất của mơ hình này thông qua
mô phỏng và thử nghiệm qua mạng thực bằng phần mềm POX
và bộ chuyển mạch Aruba.
Phần còn lại của bài báo sẽ được trình bày như sau: Trong
Phần II, chúng tôi sẽ giới thiệu tổng quan về mô hình hệ thống,
và trong Phần III, chúng tơi sẽ đánh giá hiệu suất của hệ thống
trong cả hai môi trường (mô phỏng và môi trường thực) và đưa
ra kết quả thực hiện. Phần IV kết thúc với kết luận của chúng

tơi và hướng thực hiện cơng việc cịn lại.

Điểm mạnh của SVM nằm ở khả năng biểu diễn dữ liệu dưới
dạng điểm trong không gian n-chiều (n – số lượng đối tượng).
Như minh họa trong Hình. 2, SVM chuyển đổi một tập mẫu có
thể phân tách khơng tuyến tính thành một chiều không gian cao
hơn, cho phép phân tách tuyến tính mẫu dữ liệu. Sau đó, một
siêu mặt phẳng sẽ được tạo ra để phân loại rõ ràng hai lớp mẫu.
Siêu mặt phẳng này được gọi là "ranh giới quyết định"và hình
dạng của nó sẽ dựa trên số lượng các đặc tính.

II. MƠ HÌNH HỆ THỐNG

Hình 3. Quy trình phát hiện DDoS sử dụng SVM

Trong phần này, chúng tôi đề cập về định nghĩa và công thức
được sử dụng để huấn luyện Support Vector Machine (SVM).
Sau đó, cuộc tấn cơng DDoS và kỹ thuật phát hiện sẽ được
thảo luận. Cuối cùng, kỹ thuật học máy mà chúng tôi sử dụng
để phân biệt các cuộc tấn công và lưu lượng truy cập thơng
thường sẽ được đề cập trong mơ hình thực tế.

Lưu đồ trong Hình. 3 có thể được sử dụng để tổng hợp q
trình phân loại. Đầu tiên, thơng tin trên bảng lưu lượng phải
được thu thập. Sau đó, các giá trị đặc trưng sẽ được trích xuất
từ luồng trạng thái. Sau đó, nó sẽ được tính tốn và sử dụng
làm đầu vào dữ liệu cho mơ hình SVM. Cuối cùng, đầu ra của
mơ hình phải cho biết hệ thống có bị tấn cơng hay khơng.
Các giá trị đặc trưng là tham số được sử dụng để đại diện cho
trạng thái hệ thống và chúng được thu thập như các tính năng

huấn luyện cho mơ hình bộ phân loại. Giá trị trong một sự kiện
tấn công sẽ khác bất thường với giá trị của nó trong sự kiện
bình thường, vì vậy bằng cách kiểm tra sự khác biệt giữa cuộc
tấn cơng và giá trị bình thường, chúng tơi có thể phát hiện được
cuộc tấn cơng. Có 5 đặc điểm [2] mà chúng tôi sẽ thu thập để
phát hiện các cuộc tấn cơng DDoS:
• Tốc độ gói tin nguồn (Speed of Source IP - SSIP): Đại diện
cho tổng số gói tin đến trong một khoảng thời gian nhất
định
Sum_IPsrc
SSIP =
(1)
T

Hình 2. Siêu mặt phẳng và không gian SVM (e ( />
B. Phát hiện tấn cơng trong mơi trường SDN sử dụng thuật
tốn SVM
Trong phần này, chúng ta sẽ tìm hiểu cách SVM có thể được
sử dụng để phát hiện các cuộc tấn công DDoS. Để hiểu rõ về
quy trình này, trước hết, ta cần tìm hiểu cách thu được các luồng
trạng thái.

A. Support Vector Machine (SVM)
Các thuật tốn học máy có thể được phân thành bốn loại:
Học có giám sát, học khơng giám sát, học bán giám sát và học
củng cố. Support Vector Machine là một thuật tốn học tập có
giám sát, có nghĩa là SVM sẽ dự đoán kết quả cho dữ liệu mới
dựa trên tập dữ liệu được huấn luyện từ trước. SVM so sánh
dữ liệu đầu vào mới với dữ liệu gắn nhãn được huấn luyện từ
trước để tìm nhãn chính xác cho dữ liệu mới. Trong nghiên cứu

này, lưu lượng truy cập bình thường sẽ được gắn nhãn là “0”
trong khi lưu lượng truy cập tấn công sẽ được gắn nhãn là “1”.
SVM có thể phân loại dữ liệu thành các lớp khác nhau và nó
được cho là thuật toán học máy tốt nhất để phân loại dữ liệu.

ISBN 978-604-80-7468-5

166


Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thơng và Cơng nghệ Thơng tin (REV-ECIT2022)

•

Trong (1), Sum_IPsrc là tổng số gói tin được trích xuất
từ các luồng vào (flow entries) và T là thời gian (3 giây).
Khi tấn cơng xảy ra, một số lượng lớn các gói tin giả mạo
địa chỉ sẽ được gửi nhằm gây tắc nghẽn đường truyền và
gây ra một số giá trị lớn SSIP so với bình thường.
Độ lệch chuẩn gói tin (Standard Deviation of Flowpacket
- SDFP): Độ lệch chuẩn của gói tin trong một khoảng thời
gian nhất định

SDF P =

•

1
N


N

(n_packetsi − M ean_packets)
i=1

1
N

III. THỰC THI VÀ KẾT QUẢ
A. Mô phỏng trong môi trường ảo
Qúa trình mơ phỏng của chúng tơi được thực hiện trên máy
tính ASUS F570zd với hệ điều hành Ubuntu 20.04. Chúng
tôi sử dụng Mininet [8] làm công cụ giả lập mạng cùng Pox
controller cho mục đích mơ phỏng. POX là bộ điều khiển SDN
dựa trên python và là một phiên bản cải tiến của NOX. So sánh
với các bộ điều khiển khác, việc áp dụng POX vào các thuật
toán phát hiện sẽ đơn giản và hiệu quả hơn. Với Mininet [3] ta
có thể tạo ra một cuộc tấn cơng lên các server ảo và đánh giá
kết quả của mô hình phát hiện tấn cơng DDoS.
Trong nghiên cứu này, chúng tôi sẽ giả lập một cuộc tấn
công DDoS với 64 hosts và 9 Open vSwitch, trong đó có 1 bộ
chuyển mạch tập trung. Để các hosts kết nối với nhau thông
qua POX [5], chúng tôi sẽ sử dụng module l2_learning trong
POX. l2_learning sẽ phân tích và trích xuất các địa chỉ IP từ
mỗi gói tin đến. Thơng tin này sẽ được so sánh với danh sách
luồng đã có và nếu khơng có sự trùng khớp thì module sẽ khởi
động giao thức ARP để bắt đầu yêu cầu giao tiếp.
Hping3 [4] chịu trách nhiệm trong việc khởi tạo và truyền
tải gói tin. Hping3 được sử dụng để tạo ra và flood các gói tin
TCP/UDP/ICMP cũng như giả mạo các địa chỉ IP nguồn để

thực hiện luồng lưu lượng bình thường và tấn công trong hệ
thống mô phỏng.
Giả sử nếu dataset [11] mà chúng tơi đề cập trước đó đã được
sử dụng để huấn luyện và xây dựng mơ hình phân loại SVM.
Q trình mơ phỏng có thể chia thành bốn giai đoạn như sau:
i) chạy mơ hình topo mạng; ii) chạy lưu lượng bình thường; iii)
chạy chương trình phát hiện tấn công và cuối cùng là iv) tạo lưu
lượng tấn công. Trong mô phỏng, 3 hosts trong mạng sẽ tạo ra
một luồng bình thường, bao gồm host 6, 7 và 8 thơng qua cơng
cụ hping3. Sau đó, chương trình mơ phỏng sẽ được chạy để thu
thập lại các tham số mạng tại thời điểm đó và chuyển nó vào
mơ hình dự đốn. Sau đó, nó sẽ trả về trạng thái của hệ thống,
trong trường hợp bình thường này thì sẽ có thơng báo "Network
is normal"hiện lên trên màn hình.
Lưu lượng tấn công được tạo ra bằng cách sử dụng cùng một
chương trình với lưu lượng truy cập thơng thường (Hping3).
Máy tấn công sẽ là máy chủ 2. Sử dụng Hping3, lưu lượng giả

N
2

(n_bytesi − M ean_bytes)

(3)

i=1

M ean_bytes =

1

N

N
j=1

number_bytesi

Ở (3), giá trị của M ean_bytes biểu diễn cho số lượng
trung bình các bytes đến trong khoảng thời gian T .
number_packetsi là số lượng gói tin ở luồng vào thứ i.
Khi hệ thống bị tấn cơng, lưu lượng tấn cơng thường chứa
ít bytes trên mỗi dữ liệu gửi đi so với bình thường, từ đó
giá trị SDFB khi tấn cơng sẽ suy giảm so với bình thường.
Tốc độ các luồng vào (Speed of Flow Entries - SFE): Đây
là tổng số các luồng đi vào bộ chuyển mạch trong một
khoảng thời gian nhất định. Nó cũng thể hiện được cách
bộ điều khiển xử lý các luồng vào nhanh đến đâu.
SF E =

•

2

(2)
1
N
number_packeti
M ean_packets =
N j=1
Trong (2), N là tổng số các luồng vào mới trong khoảng

thời gian T . M ean_packets đại điện cho số lượng trung
bình các gói tin đến trong khoảng thời gian T . Trong khi
number_packetsi là số lượng gói tin ở luồng vào thứ i.
Khi có cuộc tấn cơng xảy ra, các gói tin có kích thước nhỏ
sẽ được sử dụng để tăng tốc độ tấn cơng, kéo theo đó là
độ lệch chuẩn các gói tin cũng sẻ nhỏ hơn bình thường.
Độ lệch chuẩn gói tin theo bytes (Standard Deviation of
Flow Bytes - SDFB: Đại diện cho độ lệch chuẩn các bits
trong một khoảng thời gian nhất định

SDF B =

•

Trong (5), P air_sum là số các luồng vào tương tác trong
khi N là tổng số các luồng vào. Hai luồng được gọi là
tương tác nếu nó thỏa mãn các yêu cầu sau:
Src_IPi = Dst_IPj
Src_porti = Dst_portj
Src_IPj = Dst_IPi
Dst_portj = Src_porti
Trong đó Src_IPi là IP nguồn thứ i, Dst_IPj là IP đích
thứ j, Src_porti là cổng nguồn thứ i và Dst_portj là cổng
nguồn thứ j. Có những luồng vào tương tác này bởi nếu 2
nodes muốn giao tiếp với nhau thì phải có ít nhất 1 luồng
vào tương tác giữa chúng. Khi có cuộc tấn cơng xảy ra, số
các gói tin đến sẽ tăng nhanh và controller sẽ chưa thể đáp
ứng việc xử lý các gói tin đủ nhanh khiến cho giá trị NIFE
sẽ giảm so với bình thường.


N
T

(4)

Ở (4), như đã nhắc đến trước nó, N là tổng số các luồng
vào trong khoảng thời gian T . Nếu cuộc tấn công xảy ra,
số lượng các luồng vào sẽ tăng rất nhanh và kéo theo giá
trị SFE sẽ rất lớn so với nó ở lưu lượng bình thường.
Tỷ lệ các luồng vào tương tác (Number of Interactive
Flowentries ratio - NIFE): Đại diện cho tỷ lệ giữa luồng
tương tác và luồng vào.
N IF E =

ISBN 978-604-80-7468-5

2xP air_sum
N

(5)

167


Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022)

được nhắm vào mục tiêu máy chủ 1 có thể dễ dàng được thực
hiện bằng một dòng lệnh. Luồng lưu lượng đến máy chủ mục
tiêu 1 có tốc độ 100 gói mỗi giây và sử dụng hoàn toàn IP nguồn
giả. Sau khi thu thập và tính tốn tất cả các giá trị đặc trưng và

sử dụng các giá trị này cho mơ hình dự đốn, chương trình phát
hiện thơng báo rằng hệ thống đang bị tấn công.

thực tế, sẽ là các mạng lưới hàng nghìn nút và với lưu lượng
truy cập tăng lên, việc phân loại lưu lượng bình thường và bất
thường sẽ trở nên khó khăn hơn, dẫn đến độ chính xác sẽ giảm
đi đôi chút.
D. So sánh hai môi trường
Các tham số hệ thống được thu thập và sau đó so sánh với
mô phỏng của hệ thống thực với cùng một cấu trúc liên kết tốc
độ tấn công. Kết quả được trình bày ở Hình. 5 - Hình. 8. Bốn
giá trị đặc trưng được đánh giá ngoại trừ SFE vì giá trị SFE gần
giống với giá trị SSIP. Các đường màu đỏ trên biểu đồ đại diện
cho các tham số được thu thập trong trường hợp mô phỏng và
các đường màu xanh lam là dữ liệu được thu thập trong thiết bị
phần cứng thực.
Đầu tiên, trong Hình. 5, biểu đồ hiển thị giá trị SSIP. Chúng
tơi có thể quan sát thấy rằng trong cả phần cứng thực và mô
phỏng, tốc độ của địa chỉ IP trong trường hợp tấn công tăng
lên, do bản chất của cuộc tấn công DDoS là giả mạo IP. Tuy
nhiên, có một sự khác biệt nhỏ là tốc độ của địa chỉ IP trong
trường hợp thực thấp hơn một chút so với tốc độ trong trường
hợp giả lập. Điều này có thể được giải thích là do khi cuộc tấn
công xảy ra, do giới hạn của thiết bị phần cứng, một lượng lớn
tin nhắn sẽ bị rớt ra và không được bộ điều khiển xử lý kịp thời.
Do đó, khơng cài đặt các mục để tính tốn. Trong mơ phỏng, số
lượng gói tin bị rơi ít hơn trong thực tế, do đó, số lượng luồng
vào được sử dụng để tính tốn cao hơn làm cho tốc độ IP cao
hơn. Kết luận tương tự có thể được rút ra đối với tham số SFE
vì SFE và SSIP rất giống nhau.


B. Thực hiện trong mơi trường thực tế
Trước đó, chúng tôi phát hiện cuộc tấn công DDoS trong môi
trường mơ phỏng. Trong phần này, mơ hình sẽ được đưa vào
thực tế trên Aruba Switch 2930F trong đó giao thức OpenFlow
được kích hoạt.
Chúng tơi xây dựng cấu trúc liên kết thực tế với 1 controller,
1 bộ chuyển mạch và 4 máy chủ như hình 4. Máy chủ 10.10.0.6
là máy tấn công. Máy chủ 10.10.0.4 là mục tiêu tấn công. Trong
khi máy chủ 10.10.0.3 và 10.10.0.5 tạo ra các mẫu lưu lượng
truy cập bình thường.

Hình 4. Topology của mơ hình thực nghiệm

Bằng cách sử dụng địa chỉ IP và cổng lắng nghe của giao
diện của controller, chúng ta có thể thu được trạng thái luồng
của công tắc. Kịch bản tấn công sẽ được thực hiện bằng cách sử
dụng hping3. Máy có ip 10.10.0.6 là máy tấn cơng, từ đó chúng
ta sử dụng hping3 để làm tràn lưu lượng truy cập đến mục tiêu,
host 10.10.0.4. Mạng bị ảnh hưởng bởi DDoS và khơng thể
giao tiếp như bình thường.
C. Các thơng số đo đạc
Chúng tôi đã tập hợp 4000 mẫu để đánh giá số liệu cho
phương pháp SVM. Bảng I dưới đây cho thấy tổng quan về
tham số hệ thống. Các tham số như trong [6] để xác định hiệu
suất của các phương pháp.

Hình 5. Giá trị SSIP

Tiếp theo, trong Hình. 6 và Hình. 7, đây là các đồ thị đại

diện cho độ lệch chuẩn của gói tin và bytes (SDFP và SDFB).
Có thể nói rằng các tham số của độ lệch chuẩn rất giống nhau
trong cả trường hợp thực tế cũng như trong mơ phỏng. Bởi vì
độ lệch chuẩn thể hiện độ lệch của giá trị so với giá trị trung
bình. Trong trường hợp bị tấn công, để đảm bảo tốc độ, các
cuộc tấn cơng DDoS thường sử dụng các gói tin có kích thước
và số lượng gói tin cố định trong một lần truyền. Điều này làm
cho độ lệch chuẩn giảm xuống, điều này đúng với cả mô phỏng
và tạo ra sự tương đồng như ta thấy trong hình.
Cuối cùng, ở Hình. 8, biểu đồ thể hiện tham số NIFE. Tham
số này được tính dựa trên số các luồng vào tương tác trên tổng

Bảng I
CÁC THAM SỐ ĐÁNH GIÁ CỦA PHƯƠNG PHÁP SVM
TP
(%)
100

FN
(%)
0.2

FP
(%)
0

TN
(%)
99.80


Precision
(%)
100

Accuracy
(%)
99.9

Kết quả ở Bảng I thực sự rất ấn tượng. Giải thích cho kết quả
này, chúng tơi đề xuất nên triển khai một topo tương đối đơn
giản chỉ có 4 host nên lưu lượng thấp giúp dễ dàng phân loại
lưu lượng nên độ chính xác tương đối cao. Tuy nhiên, trong

ISBN 978-604-80-7468-5

168


Hội nghị Quốc gia lần thứ 25 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2022)

cụ thể là mơ hình phân loại SVM với đầu vào là các giá trị đặc
điểm lưu lượng được tính tốn sử dụng chính các luồng trạng
thái trong mạng. Các vấn đề liên quan đến tấn công DDoS trong
mạng SDN là rất cần thiết bởi vì tồn bộ kiến trúc của mạng
SDN có một điểm tập trung để quản lý toàn bộ mặt phẳng dữ
liệu dưới nó.
Trong khn khổ của nghiên cứu này, việc mô phỏng được
thực hiện bằng cách sử dụng mạng SDN ảo. Mơ hình phân loại
SVM sử dụng một bộ năm giá trị đặc điểm lưu lượng được thu
thập từ các luồng dữ liệu trong mạng. Kết quả chỉ ra rằng SVM

có thể được sử dụng như một phương pháp có độ chính xác cao
để phát hiện các cuộc tấn cơng DDoS. Đặc biệt hơn, mơ hình
cũng đã được thử nghiệm thành công trên hệ thống thưc.
Kết quả thu được cho thấy rằng mơ hình có thể được thực thi
trên một hệ thống mạng thực, các test cases và các phép đánh
giá có thể được thực hiện thêm trên hệ thống để cải thiện mơ
hình này.
Có rất nhiều hướng mà chủ đề này có thể phát triển thêm
trong tương lai. Một trong số đó có thể kể đến như kết hơp học
máy với các giá trị thống kê để xây dựng một mơ hình kết hợp
chơng DDoS hoặc bổ sung các phương pháp giảm thiểu sự ảnh
hưởng của DDoS. Hoặc có thể hướng đến việc nâng cao hiệu
năng trong thời gian thực cho mơ hình. Điều này có thể được
thực hiện bằng cách nâng cao các tính năng hoặc các giá trị lưu
lượng cho mơ hình để tăng tốc độ phát hiện tấn cơng.

Hình 6. Giá trị SDFP

Hình 7. Giá trị SDFB

TÀI LIỆU
[1] SDX Central, “Understanding the SDN Architecture”, [Online].
Available:
[Accessed Feb., 2022].
[2] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack detection
method based on SVM in software defined network”, Security and
Communication Networks, 2018.
[3] (2014, Feb) Mininet. [Online]. Available at: http:/ mininet.org/
[4] Hping3. [Online]. Available at: />[5] Pox Controller. [Online]. Available at: />[6] Gulshan Kumar, "Evaluation Metrics for Intrusion Detection Systems
- A Study", , International Journal of Computer Science and Mobile

Applications, 2014.
[7] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack detection
method based on SVM in software defined network”, Security and
Communication Networks, 2018.
[8] Cui Y, Yan L, Li S, Xing H, Pan W, Zhu J, Zheng X, “SD-Anti-DDoS:
fast and efficient DDoS defense in software-defined networks”, J. Netw.
Comput. Appl, 2016, pp. 65–79.
[9] D. Wu, J. Li, S. K. Das, J. Wu, Y. Ji and Z. Li, ”A Novel Distributed
Denial-of-Service Attack Detection Scheme for Software Defined Networking Environments,” 2018 IEEE International Conference on Communications (ICC), 2018, pp. 1-6.
[10] S. Salaria, S. Arora, N. Goyal, P. Goyal and S. Sharma, ”Implementation
and Analysis of an Improved PCA technique for DDoS Detection,” 2020
IEEE 5th International Conference on Computing Communication and
Automation (ICCCA), 2020, pp. 280-285.
[11] The dataset. [Online]. Available at: />[12] Reference
code.
[Online].
Available
at:
/>
số luồng vào hệ thống. Có thể dễ thấy sự khác biệt giữa trường
hợp thực nghiệm và mơ phỏng ở tham số này.

Hình 8. Giá trị NIFE

Kết quả cho thấy rằng hệ thống hồn tồn có khả năng để
phát hiện các cuộc tấn công DDoS và mô hình SVM cũng có
thể chạy trên thiết bị phần cứng thực. Tuy nhiên, topo mạng
vẫn còn rất đơn giản và hệ thống sẽ cần thay đổi để có thể hoạt
động tốt ở một mơ hình mạng lớn hơn. Hơn nữa, việc tính tốn
hoặc thêm các test cases để kiểm tra hiệu năng hệ thống có thể

được thực hiện. Đây sẽ là một hướng để nghiên cứu có thể tiếp
tục phát triển trong tương lai.
IV. KẾT LUẬN
Nội dung chính của nghiên cứu xoay quanh việc phát hiện
các cuộc tấn công DDoS sử dụng phương pháp học máy, mà

ISBN 978-604-80-7468-5

169