Trong bài báo này, đề xuất mô hình phát hiện tấn công DDoS sử dụng kết hợp ba mô hình thực hiện rút gọn tập đặc trưng từ tập đặc trưng đầu vào thay vì sử dụng các mô hình/ phương pháp riêng lẻ được sử dụng trong một số các nghiên cứu tấn công DDoS gần đây. Mời các bạn tham khảo! | MÔ HÌNH PHÁT HIỆN TẤN CÔNG DDOS SỬ DỤNG MACHINE LEARNING VÕ HỒ THU SANG NGUYỄN ĐỨC NHUẬN PHAN HOÀNG HẢI Khoa Tin học Trường Đại học Sư phạm Đại học Huế Email vohothusang@ Tóm tắt Tấn công DDoS trên Internet đã và đang gây tổn thất ảnh hưởng lớn đến vấn đề an ninh cũng như hiệu suất mạng. Bên cạnh đề xuất cải tiến các mô hình phân lớp lưu lượng tấn công DDoS rút gọn và chỉ ra tập đặc trưng liên quan đến lưu lượng tấn công DDoS là một bài toán mở cần được quan tâm nghiên cứu để tăng hiệu quả dự báo giảm độ phức tạp tính toán giảm khả năng overfitting của mô hình. Trong bài báo này chúng tôi đề xuất mô hình phát hiện tấn công DDoS sử dụng kết hợp ba mô hình thực hiện rút gọn tập đặc trưng từ tập đặc trưng đầu vào thay vì sử dụng các mô hình phương pháp riêng lẻ được sử dụng trong một số các nghiên cứu tấn công DDoS gần đây. Với những đặc trưng được lựa chọn các mô hình học có giám sát phổ biến như SVC Kneighbor Naïve Bayes Random Forest được triển khai để phát hiện tấn công DDoS qua các chỉ số đánh giá gồm Accuracy F1 score AUC mô hình đề xuất có hiệu quả tốt nhất với Random Forest. Từ khóa DDoS machine learning SVC Kneighbor Naïve Bayes Random Forest rút gọn tập đặc trưng. 1. MỞ ĐẦU Tấn công từ chối dịch vụ phân tán DDoS là một biến thể của tấn công DoS được xem là một trong những kiểu tấn công phổ biến trên Internet. Cùng với sự đa dạng của loại thiết bị dịch vụ cũng như sự phát triển nhanh chóng của các mô hình tấn công mạng trong những thập kỉ qua đã đặt ra yêu cầu cấp bách cho nhà nghiên cứu trong việc phân lớp giữa lưu lượng bình thường và lưu lượng tấn công DDoS trên mạng. Các mô hình ML được áp dụng vào lớp bài toán phát hiện tấn công DDoS trong nghiên cứu 1-14 đều có những ưu nhược điểm riêng nhưng tồn tại những vấn đề chung cần được cải thiện - Tập dữ liệu được sử dụng đã lỗi thời và không được cập nhật cho những tấn công mới. - Chỉ có thể phát hiện tấn công từ một host cụ thể mà không thể phát hiện tấn công từ Bonet. - Trong việc lựa chọn rút