Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)

Phát hiện tấn công DDoS trong mạng SDN
sử dụng giá trị ngưỡng entropy động
Lương Đức Huy, Đỗ Văn Nhất, Vũ Kim Thư, Bùi Quang Hiệu, Bùi Trung Ninh, Đinh Thị Thái Mai
Bộ môn Hệ thống Viễn thông, Khoa Điện tử - Viễn thông
Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội
{18020647, 18020974, 18021244, 18020522, ninhbt, dttmai}@vnu.edu.vn

Tóm tắt— Mạng định nghĩa bằng phần mềm
(Software-Defined Network - SDN) là một mơ
hình mạng mới dựa trên sự phân tách giữa mặt
phẳng dữ liệu và mặt phẳng điều khiển, giúp cho
mạng trở nên linh hoạt, dễ quản lý, vận hành và
được kiểm soát một cách tập trung. Tuy nhiên,
đây cũng là một nhược điểm với SDN trước tác
động của các cuộc tấn công mạng. Các cuộc tấn
cơng DDoS vào máy chủ gây ra tình trạng tắc
nghẽn (băng thông bị chiếm dụng), thiếu hụt
nguồn tài nguyên và khiến máy chủ không thể
truy cập. Các nghiên cứu trước đây đã dựa trên
giá trị của entropy được tính tốn từ địa chỉ IP
đích/nguồn nhằm phát hiện sớm các cuộc tấn công
DDoS. Tuy nhiên, hạn chế của việc áp dụng các
ngưỡng tĩnh trong các phương pháp hiện có bao
gồm sự phụ thuộc vào cấu trúc liên kết mạng, cơ
sở hạ tầng phần cứng tốn kém cũng như độ chính
xác của thuật tốn. Trong nghiên cứu này chúng
tơi đề xuất phương pháp phân tích thống kê để xác
định giá trị ngưỡng động thay đổi theo thời gian,
tùy thuộc vào lưu lượng được gửi đến mạng. Việc

sử dụng ngưỡng động sẽ làm tăng tính linh hoạt
và khơng phụ thuộc vào cấu trúc của mạng. Kết
quả khảo sát, mô phỏng cho thấy, phương án của
chúng tơi hồn tồn khả thi để phát hiện nhanh
chóng các cuộc tấn cơng DDoS cũng như giúp
nâng cao độ tin cậy so với các phương pháp sử
dụng giá trị ngưỡng tĩnh.

Hình 1. Kiến trúc mạng SDN [1]

Mặt phẳng dữ liệu bao gồm các bộ chuyển mạch
và bộ định tuyến tham gia vào quá trình chuyển tiếp
lưu lượng mạng. Mặt phẳng điều khiển - nơi chứa bộ
điều khiển, được coi là hệ điều hành của SDN. Nó có
chức năng xử lý các gói tin và đưa ra các quyết định
chuyển tiếp hoặc loại bỏ rồi gửi tới bộ chuyển mạch.
Chính việc xử lý tập trung các gói tin tại bộ điều khiển
cũng là một bất lợi khi mạng có thể dễ bị tấn cơng từ
chối dịch vụ phân tán (DDoS). Khi đó, một số lượng
rất lớn các gói tin với địa chỉ nguồn giả mạo được gửi
tới bộ điều khiển. Điều này sẽ khiến cho hệ thống
mạng bị đình trệ do thiếu hụt nguồn tài nguyên và
khiến nó khơng thể hoạt động. Do vậy, những lưu
lượng truy cập hợp lệ từ những người dùng bình
thường sẽ khơng thể tiếp cận tới máy chủ. Phương
pháp bảo vệ hiệu quả nhất để chống lại các cuộc tấn
cơng này chính là phát hiện sớm cuộc tấn công DDoS
ngay từ giai đoạn đầu.

Từ khóa— SDN, tấn cơng DDoS, an ninh mạng,

entropy, ngưỡng động, phân tích thống kê.

I.

Trong tài liệu [2], nhóm tác giả đã đề xuất một
phương pháp để phát hiện cuộc tấn cơng DDoS dựa
trên việc trích xuất sáu giá trị đặc trưng từ lưu lượng
trong bảng luồng (flow table) mà thu thập từ bộ
chuyển mạch. Sau đó, họ sử dụng thuật toán SVM để
hỗ trợ việc đánh giá lưu lượng, giúp phát hiện chính
xác các cuộc tấn cơng DDoS. Kết quả thực nghiệm
cho thấy, tỷ lệ chính xác trung bình của phương pháp
là 95.24% với việc chỉ thu thập một phần nhỏ lưu
lượng.

GIỚI THIỆU

Ngày nay, với sự phát triển không ngừng của công
nghệ mạng, sự bùng nổ của các thiết bị di động cũng
như nhu cầu sử dụng các dịch vụ mạng ngày càng
tăng nhanh. SDN là một kiến trúc mạng mới ra đời có
thể khắc phục được những hạn chế của mạng truyền
thống. Kiến trúc SDN bao gồm ba lớp: ứng dụng, mặt
phẳng điều khiển và mặt phẳng dữ liệu [1].

ISBN 978-604-80-5958-3

107



Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)

Trong bài báo [3], một phương pháp đơn giản hơn
được khai thác để phát hiện các cuộc tấn cơng DDoS
chính là dựa trên các giá trị entropy của địa chỉ nguồn
và đích của các luồng được quan sát bởi bộ điều khiển
SDN. Các giá trị này sau đó sẽ được so sánh với
ngưỡng đặt trước. Ngồi ra, bài báo cũng cung cấp
một mơ-đun để giảm thiểu các cuộc tấn công vào hệ
thống mà đã được phát hiện.

vị được sử dụng để xác định và đo lường mức độ ngẫu
nhiên của một sự kiện nào đó. Giá trị entropy có thể
được tính dựa trên các trường như địa chỉ cổng
nguồn/đích hoặc địa chỉ IP nguồn/đích. Ở bài nghiên
cứu này, chúng tơi sẽ đánh giá trạng thái của lưu
lượng sử dụng địa chỉ IP đích trong tiêu đề gói tin
đến, thu thập bởi bộ điều khiển trung tâm. Nếu tính
ngẫu nhiên càng cao, tức là các gói tin được gửi đến
ngẫu nhiên các địa chỉ đích khác nhau mà khơng có
sự gia tăng bất ngờ đến một địa chỉ nào, điều đó sẽ
giữ cho entropy ở ngưỡng bình thường.

Một phương pháp phát hiện tấn cơng DDoS khác
được đề xuất trong [4]. Bài báo này đề xuất một cơ
chế sử dụng bốn mơ-đun: kích hoạt phát hiện tấn
công, phát hiện tấn công, truy vết tấn công và giảm
thiểu tấn công. Điều này sẽ giúp giảm khối lượng
cơng việc của bộ điều khiển và chuyển mạch, trong
đó thuật toán mạng nơ-ron được áp dụng. Sự kết hợp

của các thuật toán phân loại và dựa trên entropy cũng
được phân tích. Kết quả thử nghiệm cho thấy cơ chế
được đề xuất có thể nhanh chóng phát hiện cuộc tấn
cơng trong chưa đầy một giây và có thể truy vết chính
xác nguồn tấn cơng.

Xét một cửa sổ (window) gồm N địa chỉ IP, được
mơ tả bởi tập hợp 𝑊 có 𝑛 phần tử (𝑛 ≤ N) là số các
địa chỉ IP đích khác nhau trong tiêu đề gói tin đến (do
các địa chỉ IP trong cửa sổ 𝑊 có thể giống nhau):
𝑊 = { 𝑥1 , 𝑥2 , 𝑥3 … 𝑥𝑁 }
Khi đó, giá trị entropy được tính dựa theo cơng thức
sau:
𝑛

𝐻 = − ∑ 𝑝𝑖 𝑙𝑜𝑔𝑝𝑖

Ngồi ra, từ nghiên cứu [5], các tác giả đã đề cập
đến các cơ chế phát hiện và giảm thiểu các cuộc tấn
công DDoS. Thêm vào đó, cơ chế Pro Defense cũng
được họ đề xuất, tạo ra các cảnh báo tấn công DDoS
dựa trên yêu cầu bảo mật của ứng dụng.

Xác suất xuất hiện của một địa chỉ IP trong 𝑊 là:
𝑥𝑖
𝑝𝑖 =
(2)
𝑁

Từ các thảo luận ở trên, chúng tơi nhận thấy việc

tính giá trị entropy cố định với một giá trị cửa sổ nhất
định vẫn còn nhiều hạn chế. Giá trị entropy thực tế
phụ thuộc vào cấu trúc liên kết của mạng. Do đó, việc
sử dụng giá trị entropy cố định sẽ làm giảm tính linh
hoạt cũng như khơng phù hợp với các nhà mạng khác
nhau. Ngồi ra, đối với các kích cỡ window nhỏ, xác
suất xuất hiện của một địa chỉ IP chênh lệch nhiều so
với các giá trị khác sẽ làm dao động giá trị entropy
càng lớn, dẫn đến sự sai khác trong việc xác định thời
gian tấn công DDoS. Trong bài báo này, chúng tôi
xem xét phương pháp điều chỉnh ngưỡng động thay
đổi theo thời gian dựa trên sự biến thiên của các giá
trị entropy của từng window. Dựa vào giá trị ngưỡng
động này và so sánh nó với giá trị entropy hiện tại, ta
có thể đưa ra dự đốn về trạng thái của hệ thống.

Trong đó, 𝑥𝑖 là số lần xuất hiện của địa chỉ IP 𝑥 trong
𝑊 và ∑𝑛𝑖=1 𝑥𝑖 = 𝑁 với N là kích thước (tổng số địa
chỉ IP) của tập 𝑊. Vì vậy, N sẽ đại diện cho kích cỡ
của một window.
Từ cơng thức (1), nếu 𝐻 nhỏ dần và tiến về 0, điều
đó thể hiện rằng có một sự kiện bất thường đang xảy
ra trong tồn bộ hệ thống và xác suất có một cuộc tấn
công DDoS là rất cao. Ngược lại, nếu như các gói tin
được gửi đến nhiều đích với tần suất gần như bằng
nhau, khơng có đích đến nào nhận được gói tin nhiều
hơn hẳn so với các đích khác, điều đó có nghĩa là 𝐻
sẽ ở trạng thái xấp xỉ trung bình tối ưu. Khi này, xác
suất đang có một cuộc tấn công DDoS là rất thấp.
Trong tài liệu [6], để phát hiện có cuộc tấn cơng

DDoS, một ngưỡng tĩnh thử nghiệm được chọn dựa
trên việc thực hiện một số cuộc tấn cơng.

Phần cịn lại của bài báo được tổ chức như sau:
trong Phần II, chúng tôi sẽ mô tả về mơ hình đề xuất.
Phần III, chúng tơi sẽ đánh giá hiệu năng của hệ thống
và cung cấp các kết quả mô phỏng. Cuối cùng, các
kết luận cũng như định hướng cơng việc tương lai
được trình bày trong Phần IV.

II.

𝜎
Khoảng Tin Cậy = 𝑋̅ ± 𝑍𝑎⁄2 .

√𝑛

(3)

Ở công thức trên, 𝑋̅ là giá trị trung bình, phần cịn lại
gọi là phạm vi sai số. Trong đó, Z là hệ số tin cậy ứng
với 𝑎 là mức độ tin cậy, σ là độ lệch chuẩn và 𝑛 là
kích thước mẫu. Mức độ tin cậy được chọn là 95%.
Ban đầu, ta sẽ tìm sự chênh lệch ∆ = 𝐻𝑛𝑚𝑖𝑛 - 𝐻𝑎𝑚𝑎𝑥 .
𝐻𝑛𝑚𝑖𝑛 tương đương entropy của lưu lượng truy cập
trung bình bình thường trừ đi phạm vi sai số của nó,

MƠ HÌNH HỆ THỐNG

Trong phần này, chúng tơi sẽ trình bày định nghĩa

và cơng thức tính giá trị entropy. Entropy là một đơn

ISBN 978-604-80-5958-3

(1)

𝑖=1

108


Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)

entropy. Bằng cách sử dụng Mininet, chúng tơi có thể
tạo ra một cuộc tấn cơng trên máy chủ ảo và phân tích
kết quả thuật tốn phát hiện tấn cơng DDoS của mình.
Chúng tơi mô phỏng một cuộc tấn công DDoS trên
mạng với 64 host và 9 Open vSwitch, trong đó có 1
bộ chuyển mạch tập trung và 8 bộ chuyển mạch lớp
dưới, mỗi bộ được kết nối với 8 host.

𝐻𝑎𝑚𝑎𝑥 là giá trị entropy trung bình khi có tấn cơng
cộng với phạm vi sai số tương ứng. Cuối cùng,
ngưỡng tĩnh được xác định bằng 𝐻𝑛𝑚𝑎𝑥 - ∆. Ngưỡng
tĩnh này là cố định, bất kì giá trị entropy nhất thời nào
thấp hơn ngưỡng tĩnh này sẽ được coi là có cuộc tấn
cơng đang xảy ra [6]. Tuy nhiên, giá trị ngưỡng tĩnh
này phụ thuộc vào dữ liệu tấn cơng trong q khứ,
chính vì vậy nó làm giảm tính linh hoạt trong việc xác
định ngưỡng để phát hiện tấn công mới. Trong nghiên

cứu này, ngưỡng được chúng tôi xem xét thử nghiệm
sẽ không cố định mà thay đổi liên tục theo thời gian
dựa vào việc biến động giá trị entropy của lưu lượng
đến. Các giá trị entropy sau khi được tính tốn sẽ
được lưu trữ vào window. Dựa vào thông số được lưu
trữ từ các window này, chúng tơi sẽ tính tốn được
̅𝑡 và độ lệch chuẩn 𝜎𝑡 .
giá trị entropy trung bình 𝐻
𝑡

1
̅𝑡 = ∑ 𝐻𝑖
𝐻
𝑡

(4)

Hình 2. Mơ hình mơ phỏng hệ thống

𝑖=1

𝑡

𝑡

1
1
̅𝑡 )2 = ∑ 𝐻𝑖 2 − 𝐻
̅𝑡 2
𝜎𝑡 = ∑(𝐻𝑖 − 𝐻

𝑡
𝑡
𝑖=1

Để giúp bộ điều khiển POX có thể kiểm sốt giao
tiếp trong mạng, chúng tôi sử dụng mô-đun l3
learning [11]. Mô-đun này cung cấp khả năng học ở
lớp 3 bằng cách lưu giữ các thông tin về khả năng tiếp
cận mạng giữa các nút vào một danh sách. Khi có gói
tin mới đến, l3 learning sẽ xử lý và trích xuất địa chỉ
cổng và địa chỉ MAC. Từ những thông tin này, nó sẽ
kiểm tra liên kết trong danh sách lưu trữ. Nếu khơng
có đường liên kết, mơ-đun này sẽ sử dụng giao thức
ARP để khởi tạo yêu cầu. Ngoài ra, chúng tơi cịn
chỉnh sửa và tích hợp những thuật tốn giúp bộ điều
khiển POX có thể tính tốn giá trị entropy và các
thơng số cần thiết để có thể phát hiện các cuộc tấn
công. Việc khởi tạo, giả mạo và gửi các gói tin được
thực hiện bởi Scapy [10]. Scapy được sử dụng để tạo
cái gói tin UDP và giả mạo địa chỉ IP nguồn của
chúng để thực hiện các luồng lưu lượng tấn công cũng
như là lưu lượng bình thường trong hệ thống mơ
phỏng. Địa chỉ IP của các host trong mơ hình được
gán tăng dần, bắt đầu từ 10.0.0.1.

(5)

𝑖=1

Ở công thức (4) và (5), 𝐻𝑖 là giá trị entropy trong

các khoảng thời gian khác nhau được tính tốn dựa
trên cơng thức (1) như chúng tơi đã đề cập. Dựa vào
các thơng số kể trên được tính tốn, chúng tôi xem
xét một giá trị ngưỡng động 𝑇𝑑𝑦𝑛𝑎𝑚𝑖𝑐 [7] với công
thức được định nghĩa như sau:
̅𝑡 + 𝐶𝑑 . 𝜎𝑡
𝑇𝑑𝑦𝑛𝑎𝑚𝑖𝑐 = 𝐻

(6)

̅𝑡 và 𝜎𝑡 lần lượt là giá trị entropy trung
Trong đó, 𝐻
bình và độ lệch chuẩn tại thời điểm t. Theo quy tắc
phân phối chuẩn (normal distribution), 95% các giá
̅𝑡 ± 2 𝜎𝐻 . Các giá
trị entropy sẽ nằm trong khoảng 𝐻
𝑡
̅𝑡 − 2 𝜎𝐻 sẽ không ảnh hưởng nhiều đến
trị nhỏ hơn 𝐻
𝑡
kết quả của bài toán, vì vậy chúng ta có thể dựa vào
cơ sở đó để lựa chọn 𝐶𝑑 cho hệ thống này. 𝐶𝑑 là giá
trị hằng số không đổi dựa trên các kết quả thực
nghiệm và ở đây nó được đặt bằng -2 [8].

III.

Trạng thái hệ thống được chia thành 2 giai đoạn
riêng biệt. Giai đoạn 1 là khi hệ thống hoạt động ở
trạng thái bình thường với cường độ lưu lượng khơng

có sự thay đổi quá nhiều về tần suất gửi gói tin đến
các địa chỉ đích khác nhau. Ở Giai đoạn 2, chúng tôi
sử dụng Scapy để tạo ra lưu lượng tấn cơng, khi này
tốc độ gửi các gói đến hệ thống tăng lên đồng thời
tính ngẫu nhiên của địa chỉ đích trong tiêu đề các gói
tin sẽ giảm đi. Một hoặc một vài đích nhất định sẽ
nhận được lượng gói tin nhiều hơn đột biến so với
bình thường. Kích cỡ của một window được lựa chọn
tối ưu để thử nghiệm là N = 50 gói tin. Việc lựa chọn
này có mục đích là giới hạn kết nối mới đến cho mỗi
host trong mạng. Ngồi ra, kích cỡ window phù hợp
này cịn giúp giảm tải tính tốn cho CPU của hệ

MƠ PHỎNG VÀ KẾT QUẢ THỬ NGHIỆM

Thử nghiệm của chúng tôi được chạy trên máy
tính MSI, chạy bộ vi xử lý Intel® Core™ i5-9300H,
xung nhịp 2.4GHz - 4.1GHz, đi kèm với 16GB RAM
DDR4 2666MHz. Hệ điều hành được sử dụng là
Ubuntu 20.04. Để phục vụ cho việc mô phỏng, chúng
tôi chọn Mininet [9] là trình giả lập mạng với bộ điều
khiển POX. POX là phiên bản cải tiến của NOX, sử
dụng ngôn ngữ Python. Việc sử dụng bộ điều khiển
POX đơn giản và hiệu quả hơn khi thiết lập thử
nghiệm cho thuật tốn phát hiện tấn cơng dựa trên

ISBN 978-604-80-5958-3

109



Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)

thống, đáp ứng được việc phát hiện các cuộc tấn cơng
nhanh chóng trong khi vẫn đảm bảo được độ chính
xác và tin cậy [6].

một host. Trước tiên, chúng tôi thực hiện một cuộc
tấn công với tỷ lệ 25% trên một host trong 10 lần.
Ngưỡng này là entropy thấp nhất trong tất cả các
trường hợp, vì vậy nó sẽ cho phép bộ điều khiển phát
hiện bất kỳ cuộc tấn cơng nào với các gói chiếm 25%
lưu lượng truy cập đến hoặc nhiều hơn.

Thử nghiệm đầu tiên được diễn ra khi hệ thống
đang ở trạng thái bình thường (Giai đoạn 1). Chúng
tơi sử dụng 1 host để khởi tạo lưu lượng và gửi chúng
đến hệ thống. Tốc độ gửi các gói tin là 0.1 gói/giây
với cổng đích là 80 và cổng nguồn là 2. Trong một
lần chạy, sẽ có tổng cộng 500 gói tin được gửi đi,
tương đương với 10 window.

Bảng I đưa ra các số liệu mà chúng tôi đã thu thập
được với các lưu lượng tấn cơng khác nhau, từ đó ta
có thể so sánh các giá trị entropy của chúng. Để có
được những giá trị này, chúng tôi thực hiện những
bước sau:
1. Tính giá trị entropy thấp nhất mà lưu lượng truy
cập thơng thường có thể đạt được. Điều này bằng
với giá trị trung bình của lưu lượng truy cập thơng

thường trừ đi phạm vi sai số, thu được 1.4283.
2. Tính giá trị entropy cao nhất mà lưu lượng tấn
cơng có thể đạt được. Ta lấy giá trị trung bình của
lưu lượng tấn công cộng với phạm vi sai số tương
ứng, tương đương 1.2046.
3. Giá trị chênh lệch giữa bước 1 và 2 là 0.2237. Ta
xác định được tỷ lệ sụt giảm entropy là 15.66%.
4. Ngưỡng được xác định bằng giá trị entropy cao
nhất của lưu lượng truy cập thông thường trừ đi
khoảng chênh lệch tìm được tại bước 3. Ngưỡng
lúc này sẽ là 1.2242.

Hình 3. Hệ thống đang ở trạng thái bình thường (Giai đoạn 1)

Hình 3 chỉ ra các số liệu thống kê trong một
window mà bộ điều khiển POX đã thu thập được
trong quá trình thử nghiệm. Dễ dàng có thể nhìn thấy
rằng các gói tin được gửi đến nhiều địa chỉ đích khác
nhau trong mạng. Vì vậy, tính ngẫu nhiên sẽ tăng lên
đồng nghĩa với giá trị entropy tại thời điểm đó cũng
có sự gia tăng. Giá trị entropy tức thời trong window
khi này là 1.5214, trong khi đó giá trị của ngưỡng
động tính tốn được là 1.3894. Do giá trị entropy tức
thời lớn hơn giá trị ngưỡng động, hệ thống có thể kết
luận rằng nó đang ở trạng thái bình thường và chưa
có cuộc tấn cơng nào đến hệ thống.

BẢNG I
THỐNG KÊ, SO SÁNH GIỮA CÁC KỊCH BẢN KIỂM TRA


Kịch bản tấn công ở Giai đoạn 2 được chúng tôi
lựa chọn liên quan đến 3 trường hợp với những cường
độ tấn công khác nhau lên hệ thống, lần lượt là 25%,
50% và 75%. Tốc độ/tỷ lệ của cuộc tấn công được
xác định bằng công thức (7), trong đó 𝐼𝑎 và 𝐼𝑛 lần lượt
là khoảng thời gian giữa các lần gửi những gói tin của
lưu lượng tấn cơng và lưu lượng thông thường.
𝑅𝑎𝑡𝑡𝑎𝑐𝑘 𝑟𝑎𝑡𝑒 = 1 −

𝐼𝑎
⋅ 100%
(𝐼𝑛 + 𝐼𝑎 )

(7)

Việc mô phỏng lưu lượng thông thường sẽ diễn ra
trên 1 host, trong khi đó 2 host khác sẽ đảm nhận việc
gửi một số lượng lớn các bản tin truy cập không hợp
lệ đến hệ thống. Trong hệ thống, lưu lượng truy cập
thông thường được chuyển tiếp đến tất cả các host,
trong khi lưu lượng tấn công chỉ nhắm mục tiêu đến

ISBN 978-604-80-5958-3

110


Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)

Các giá trị ngưỡng động được tính tốn sẽ liên tục

được so sánh với giá trị entropy tức thời trong một
window. Trong Hình 4, chúng tôi thử nghiệm khi tỷ
lệ tấn công vào hệ thống là 25%, cho thấy bộ điều
khiển đã phát hiện được những sự bất thường trong
lưu lượng đến mạng.

cho biết giá trị trung bình và giá trị ngưỡng động biến
đổi trong q trình mơ phỏng.
Để xem xét các cuộc tấn công tập trung hơn, hai
thử nghiệm tốc độ cao hơn đã được đưa ra. Hình 6
cho thấy một cuộc tấn cơng với tỷ lệ 50% và Hình 7
là cuộc tấn công tỷ lệ 75% đều nhằm vào một host.
Hai cuộc tấn công này cho thấy rõ hơn sự khác biệt
của giá trị entropy trong cả hai kịch bản kiểm tra có
cường độ cao hơn này.

Hình 4. Cuộc tấn cơng DDoS đã được phát hiện

Ở hình trên, giá trị entropy tức thời khi có sự tấn
cơng có sự suy giảm đáng kể so với khi chỉ có lưu
lượng bình thường. Giá trị này là 1.0897, nhỏ hơn so
với giá trị ngưỡng động là 1.2517. Do vậy, bộ điều
khiển POX phát ra cảnh báo hệ thống đang bị tấn
công, đồng thời ngăn chặn cổng của bộ chuyển mạch
mà gói tin được gửi đến.

Hình 6. Tấn cơng một host với tỉ lệ 50%

Hình 7. Tấn cơng một host với tỉ lệ 75%
Hình 5. Tấn công một host với tỉ lệ 25%


Trong các cuộc tấn cơng tỷ lệ 50% và 75%, hình
dạng biểu đồ gần giống như khi tỷ lệ là 25% nhưng
độ sâu của entropy tấn công cũng như độ dốc của mức
ngưỡng và mức trung bình sẽ lớn hơn. Khi tốc độ tấn
cơng tăng, số lượng gói tấn cơng được tạo ra sẽ nhiều
hơn, tỷ lệ phần trăm của các gói tấn công trong
window sẽ lớn. Điều này sẽ dẫn đến một biểu đồ tấn
công sâu hơn và hẹp hơn so với trước.

Hình 5 là biểu đồ thể hiện kết quả của một cuộc
tấn công tỉ lệ 25% trên một host. Chúng ta có thể nhận
thấy sự giảm sút mạnh của entropy tấn cơng, ngưỡng
và entropy trung bình khi có cuộc tấn công diễn ra.
Biểu đồ là kết quả của 10 lần chạy với 500 gói cho
mỗi lần kiểm tra. Mỗi điểm trên trục hoành hiển thị
cho khoảng thời gian và trục dọc hiển thị giá trị
entropy cho khoảng thời gian đó. Trong biểu đồ,
đường màu xanh cho thấy sự chuyển đổi từ trạng thái
lưu lượng truy cập thông thường sang trạng thái bị tấn
cơng và trở lại bình thường. Đường màu đỏ và vàng

ISBN 978-604-80-5958-3

Việc sử dụng ngưỡng động cho phát hiện tấn công
DDoS rõ ràng mang lại những ưu thế hơn so với
ngưỡng tĩnh. Theo các nghiên cứu trước đây [12], độ

111



Hội nghị Quốc gia lần thứ 24 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2021)

[2] Ye J, Cheng X, Zhu J, Feng L, Song L, “A DDoS attack
detection method based on SVM in software defined
network”, Security and Communication Networks, 2018.

tin cậy của hệ thống đạt 92% khi sử dụng giá trị
ngưỡng tĩnh. Ngưỡng tĩnh có đặc điểm là thích nghi
kém với mơi trường mạng thay đổi, trong khi đó lưu
lượng đến mạng có đặc điểm là biến động theo thời
gian. Nếu một ngưỡng duy nhất và cố định được sử
dụng để đánh giá hệ thống liệu có bị tấn cơng hay
khơng, thì rất có thể có những sai số nhất định. Do
đó, dựa trên số liệu thống kê và quan sát hiện trạng
hệ thống, giá trị ngưỡng động sẽ liên tục thay đổi và
bám sát theo giá trị entropy thực tùy thuộc vào lưu
lượng đến mạng. Vì vậy, phương pháp này mang lại
sự tin cậy hơn so với ngưỡng tĩnh, hạn chế được tình
trạng cảnh báo giả khi mà lưu lượng đến mạng không
may thay đổi bất ngờ nhưng không phải xuất phát từ
các cuộc tấn công mạng có chủ đích.

IV.

[3] Jawad Dalou, Basheer Al-Duwairi, Mohammad AlJarrah, “Adaptive entropy-based detection and mitigation
of ddos attacks in software defined networks”,
International Journal of Computing, 2020, pp. 399-410.
[4] Cui Y, Yan L, Li S, Xing H, Pan W, Zhu J, Zheng X,
“SD-Anti-DDoS: fast and efficient DDoS defense in

software-defined networks”, J. Netw. Comput. Appl, 2016,
pp. 65–79.
[5] N. Bawany, J. Shamsi, K. Salah, “DDoS Attack
Detection and Mitigation Using SDN: Methods, Practices,
and Solutions”, in IEEE International Conference on
Dependable Systems and Networks (SDN), 2017, pp. 6-7.
[6] T. Nakashima, T. Sueyoshi, S. Oshima, "Early
DoS/DDoS Detection Method using Short-term Statistics",
in International Conference on Complex, Intelligent and
Software Intensive Systems, 2010, pp. 168-173.

KẾT LUẬN

SDN là kiểu kiến trúc mạng đang dần trở nên phổ
biến, mang đến hy vọng thay thế mơ hình mạng
truyền thống hiện tại, cung cấp tính linh hoạt cho cấu
hình mạng thơng qua bộ điều khiển SDN tập trung.
Để cải thiện và nâng cao tính bảo mật, chúng tôi đã
đề xuất hệ thống phát hiện tấn cơng DDoS dựa trên
việc tính tốn các giá trị entropy và xác định ngưỡng
động. Theo các kết quả thử nghiệm, có thể thấy
phương pháp xác định ngưỡng động được đề xuất có
tính linh hoạt, có khả năng phát hiện nhanh chóng các
cuộc tấn cơng DDoS và khơng phụ thuộc vào cấu trúc
mạng của các nhà sản xuất. Bài nghiên cứu này đã
định lượng phát hiện sớm cho 250 gói tin đầu tiên
trong vòng 40s, điều này cho thấy phương pháp đề
xuất này có thể phát hiện các cuộc tấn cơng DDoS ở
giai đoạn sớm ngay cả khi hệ thống chỉ nhận được
một lượng nhỏ các gói tin.


[7] S. Oshima, T. Nakashima, T. Sueyoshi, "DDoS
Detection Technique using Statistical Analysis to Generate
Quick Response Time", in International Conference on
Broadband, Wireless Computing, Communication and
Applications, 2010, pp. 673-674.
[8] Guo-Chih Hong, Chung-Nan Lee, Ming-Feng Lee,
2019, “Dynamic Threshold for DDoS Mitigation in SDN
Environment”, 2019 Asia-Pacific Signal and Information
Processing Association Annual Summit and Conference
(APSIPA ASC), Lanzhou, China, 2019, pp. 1-7.
[9] Mininet. [Online]. Available: />[Accessed Oct., 2021].
[10] Scapy. [Online].
[Accessed Oct., 2021].

Trong tương lai, chúng tôi sẽ tiếp tục thực hiện
những sự thay đổi để cải tiến hiệu năng của tồn bộ
hệ thống. Sự cải thiện có thể đến từ việc sử dụng các
tập dữ liệu (dataset) chuyên nghiệp và thực tế hơn cho
việc thử nghiệm. Ngoài ra, việc áp dụng Học máy
(Machine Learning) vào thuật toán cũng là một cơng
cụ rất mạnh để giúp nâng cao độ chính xác trong khả
năng ngăn chặn các cuộc tấn công phức tạp và tinh vi
hơn.

/>
[11] GitHub, POX Controller. [Online]. Available:
[Accessed Oct.,
2021].
[12] Merlin J. R. Dennis, “Machine-Learning and

Statistical Methods For DDoS Attack Detection and
Defense System in Software Defined Networks”, Master of
Applied Science, Ryerson University, 2018, pp. 47-48.

TÀI LIỆU THAM KHẢO
[1] SDX Central, “Understanding the SDN Architecture”,
Mar.
13,
2015.
[Online].
Available:
[Accessed Oct., 2021].

ISBN 978-604-80-5958-3

Available:

112