ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN VĂN LINH

GIẢM THIỂU ẢNH HƢỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI
DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội – Năm 2015

1


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN VĂN LINH

GIẢM THIỂU ẢNH HƢỞNG CỦA CÁC TẤN CÔNG TỪ CHỐI
DỊCH VỤ PHÂN TÁN VÀO CÁC WEBSITE

Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số:

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DẪN KHOA HỌC: TIẾN SĨ NGUYỄN ĐẠI THỌ

Hà Nội – Năm 2015

Học viên thực hiện

Nguyễn Văn Linh

4


TÓM TẮT
Phân loại lƣu lƣợng truy vấn hợp lệ và tấn công dựa trên các đặc điểm hành vi
truy cập của ngƣời dùng là một trong các phƣơng pháp hiệu quả để phòng chống tấn
công DDoS với chi phí rẻ, dễ triển khai mà không phải can thiệp vào cấu trúc mạng,
giao thức. Tuy vậy những đề xuất, kết quả nghiên cứu trƣớc đó vẫn tồn tại những
hạn chế, do sử dụng các kết quả thống kê về hành vi truy cập đã khá lỗi thời. Hiện
nay sự xuất hiện của công nghệ WebCache, Ajax, RSS, nén và giải nén... đã làm
thay đổi phƣơng thức tải dữ liệu cũng nhƣ hành vi tƣơng tác của ngƣời dùng với
web dẫn đến các thuộc tính về hành vi truy cập này cũng thay đổi. Vì vậy trong luận
văn này, chúng tôi chứng minh rằng khi sử dụng mô hình dữ liệu mới thì các
phƣơng pháp cũ cho kết quả phát hiện sai truy cập hợp pháp là tấn công tƣơng đối
lớn. Từ đó chúng tôi giới thiệu một đề xuất mới dựa trên việc sử dụng các bẫy thời
gian, thống kê tần xuất các yêu cầu tải trang cũng nhƣ độ lớn của các đối tƣợng tải
trong mỗi khoảng thời gian đƣợc phân chia hợp lý, phân biệt với những thuộc tính
có tính chất lặp lại liên tục, có hệ thống của lƣu lƣợng tấn công. Thông qua quá trình
mô phỏng và kết quả thu đƣợc sẽ chứng minh tính hiệu quả của phƣơng pháp cũng
nhƣ đảm bảo độ tin cậy, tỉ lệ phát hiện sai chấp nhận đƣợc.
Từ khóa: Hành vi truy cập Web, DDoS, Network Security, Network Performance

5


ABSTRACT

CHƢƠNG I: TỔNG QUAN VỀ CƠ SỞ CỦA ĐỀ TÀI ........................................... 16
1.1

Giới thiệu ..................................................................................................... 16

1.1.1 Lý do chọn chủ đề giảm thiểu thiệt hại từ tấn công DDoS ...................... 16
1.1.2 Phạm vi nghiên cứu .................................................................................. 16
1.2

Những kết quả của các nghiên cứu liên quan và đánh giá .......................... 18

1.2.1 Phƣơng pháp tấn công DDoS ................................................................... 18
1.2.2 Những nghiên cứu làm giảm thiểu thiệt hại do tấn công DDoS .............. 21
1.3

Thách thức và bài toán cần giải quyết ......................................................... 22

1.4

Định hƣớng giải quyết bài toán ................................................................... 23

CHƢƠNG II: MÔ HÌNH HÓA LƢU LƢỢNG WEB .............................................. 25
2.1 Giới thiệu ......................................................................................................... 25
2.2 Các nghiên cứu về mô hình hóa lƣu lƣợng Web ............................................. 26
2.2.1 Mô hình B.Mah......................................................................................... 26
2.2.2 Mô hình Choi & Lim ................................................................................ 27
2.2.3 Mô hình Lee & Gupta ............................................................................... 29
2.2.4 Các mô hình khác ..................................................................................... 30
2.3 Vai trò ảnh hƣởng của công nghệ mới trong mô hình lƣu lƣợng hiện đại ...... 32
2.3.1 WebCache ................................................................................................. 32

CHƢƠNG IV: MÔ PHỎNG VÀ ĐÁNH GIÁ ......................................................... 67
4.1 Thực hiện mô phỏng........................................................................................ 67
4.1.1 Mô hình mô phỏng ................................................................................... 67
4.1.2 Chƣơng trình mô phỏng, yêu cầu thiết bị và cấu hình ............................. 67
4.1.3 Kịch bản mô phỏng................................................................................... 68
8


4.1.4 Tham số đo đạc ......................................................................................... 69
4. 2 Tiến hành mô phỏng ....................................................................................... 70
4.2.1 Kịch bản 1: Áp dụng mô hình lƣu lƣợng mới .......................................... 70
4.2.4 Kịch bản 2: Áp dụng bộ lọc mới cho các dạng tấn công .......................... 74
4.2.5 Hiệu quả sử dụng tài nguyên .................................................................... 79
4.3 Đánh giá kết quả nghiên cứu ........................................................................... 80
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ................................................................ 82
TÀI LIỆU THAM KHẢO......................................................................................... 83

9


DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

AOP

Average Off Period - thời gian trung bình của giai đoạn OFF

ACK

Acknowledgement


ISP

Internet Service Provider, nhà cung cấp dịch vụ mạng internet

ICMP

Internet control message protocol

HTML

Hypertext Markup Language - Ngôn ngữ đánh dấu siêu văn bản

HTTP

Hypertext Transfer Protocol: giao thức truyền tải siêu văn bản

LDOS

Low-rate Denial-of-service, tấn công từ chối dịch vụ tốc độ thấp

NAT

Network address translation – Kĩ thuật dịch địa chỉ IP riêng –
private sang địa chỉ IP công khai – public nhằm sử dụng chung
địa chỉ IP công khai cho một mạng riêng

RTT

Round Trip Time, là khoảng thời gian một tín hiệu hoặc một gói
tin chạy từ Source đến Destination và quay ngƣợc lại

Transmission Control Protocol - Giao thức điều khiển truyền tin

TCP SYN

Gói TCP SYN (đồng bộ hóa)

TRAP

Bẫy

TTL

Time to live

UDP

User Datagram Protocol

Zombie

Thuật ngữ chỉ các máy bị chiếm quyền điều khiển sử dụng làm
công cụ tấn công DDOS

WDA

Web farm DDoS Attack attenuator, kiến trúc nhằm mục đích làm
suy giảm lƣu lƣợng của các cuộc tấn công từ chối dịch vụ phân
tán trên web

Web farm

Hình 13 Kết quả thống kê thuộc tính nổi bật của mô hình Choi & Lim [15] ............40
Hình 14 Thống kê thuộc tính nổi bật của mô hình Lee&Gupta [14] .........................40
Hình 15 Minh họa mô hình ON – OFF của Choi & Lim...........................................40
Hình 16 Minh họa mô hình dữ liệu mới ....................................................................41
Hình 17 Hiệu quả của thuật toán cũ trên mô hình mới ..............................................42
Hình 18 Trƣờng hợp ngƣời dùng yêu cầu nhiều dữ liệu hơn ....................................42
Hình 19 Xác định quan hệ giữa hai kết nối HTTP ....................................................43
Hình 20 So sánh giữa mô hình dữ liệu hành vi cũ và mô hình mới ..........................44
Hình 21 Truy vấn liên tiếp gửi dữ liệu lớn mà không có thời gian nghỉ ...................46
Hình 22 Mô hình hoạt động của bộ lọc khi tấn công Simple Flooding .....................46
Hình 23 Tần suất gửi tin của truy cập hợp lệ và không hợp lệ theo mô hình mới ....48
Hình 24 Lƣu lƣợng và thời gian nghỉ lặp đi lặp lại trong các phiên truy cập liên tiếp
................................................................................................................................... 49
Hình 25 Mô hình hoạt động của bộ lọc khi tấn công High-burst-slow .....................51
Hình 26 Mô hình hoạt động của bộ lọc khi tấn công Low-burst-fast ........................54
12


Hình 27 Mô hình hoạt động của bộ lọc khi tấn công Low-burst-slow ......................55
Hình 28 Hàng đợi ƣu tiên [18] ...................................................................................56
Hình 29 Kiến trúc bộ xử lý lọc thế hệ mới ................................................................58
Hình 30 Kiến trúc WDA chống tấn công các dạng tấn công ....................................60
Hình 31 Kiến trúc của khối RWDA chống tấn công Low-burst-slow hiệu quả ........60
Hình 32 Mô hình mô phỏng .......................................................................................67
Hình 33 Hiệu quả của thuật toán cũ trên mô hình mới trƣờng hợp 1 ........................71
Hình 34 Hiệu quả của thuật toán cũ trên mô hình mới trƣờng hợp 2 ........................71
Hình 35 Hiệu quả của thuật toán mới trên mô hình mới trƣờng hợp 1 .....................73
Hình 36 Hiệu quả của thuật toán mới trên mô hình mới trƣờng hợp 2 .....................73
Hình 37 Mô phỏng hiệu quả về tỉ lệ phát hiện đúng và băng thông của TLF01 với
dạng tấn công Simple Flooding. ............................................................................... 75

dịch vụ và tính sẵn sàng của mạng internet đã dẫn đến các nghiên cứu sâu rộng
nhằm hƣớng tới phòng chống dạng tấn công nguy hiểm này. Một trong những giải
pháp tối ƣu nhất là xây dựng cơ chế phân loại đặc tính lƣu lƣợng hợp pháp và lƣu
lƣợng tấn công, từ đó có chiến lƣợc ƣu tiên lƣu lƣợng tiếp theo. Vấn đề cốt lõi là
xây dựng các đặc tính mô phỏng chính xác nhất hành vi hợp lệ của ngƣời dùng Web,
điều mà thƣờng xuyên thay đổi khi xuất hiện các công nghệ Web mới. Vì vậy phần
trọng tâm nghiên cứu của chúng tôi là chứng minh rằng sự thay đổi các đặc tính lƣu
lƣợng hợp pháp trong phiên kết nối của ngƣời dùng Web hợp pháp hiện nay làm
tăng tỉ lệ phát hiện sai truy cập hợp pháp là tấn công của các phƣơng pháp cũ đến
mức không thể chấp nhận đƣợc. Các kết quả mô phỏng cũng đã chứng tỏ phƣơng
pháp mới của chúng tôi có thể chống đƣợc các dạng tấn công từ đơn giản đến phức
tạp với tỉ lệ sai sót dƣới 5%. Trong khi với các phƣơng pháp cũ áp dụng mô hình dữ
liệu mới cho tỉ lệ phát hiện sai rất cao đến 40%. Các kết quả cũng chỉ ra phƣơng
pháp mới có thể chịu đựng đƣợc các cuộc tấn công của hàng trăm ngàn máy tính
14


zombie mà không làm suy giảm tỉ lệ truy cập thành công của ngƣời dùng hợp pháp
quá 10%. Do đó kẻ tấn công sẽ phải huy động lƣợng máy tính zombie lớn gấp nhiều
lần hoặc phải trả nhiều chi phí cho đợt tấn công hơn để bù đắp lƣợng băng thông bị
suy giảm do hiệu quả của phƣơng pháp mang lại.
Về bố cục, các phần của luận văn đƣợc tổ chức nhƣ sau:
Chƣơng 1: Trong chƣơng này, chúng tôi trình bày tổng quan về lý do chọn bài
toán, phạm vi nghiên cứu, chi tiết những ý tƣởng và cách xử lý của các tác giả hiện
tại, điểm yếu của chúng. Từ đó chúng tôi định hƣớng giải quyết từng vấn đề của bài
toán đƣa ra.
Chƣơng 2: Ở chƣơng này, chúng tôi giới thiệu những điểm cốt lõi của các mô
hình hành vi của lƣu lƣợng Web đã đƣợc công bố. Những thay đổi, tiến hóa của mỗi
mô hình tƣơng ứng, ảnh hƣởng của những công nghệ Web hiện đại tới các kết quả
của các nghiên cứu trƣớc kia trong mỗi mô hình. Chúng tôi cũng chọn lựa một mô

tăng lên đáng kể. Điển hình là vụ tấn công Spamhus năm 2013 với mức băng thông
có thời điểm đến 300Gbps, thậm chí mạng Internet toàn cầu cũng bị ảnh hƣởng khi
truy cập vào hầu hết các website đều chậm đi rõ rệt.
Việc không có một cơ chế hiệu quả hoàn toàn để chống lại dạng tấn công nguy
hiểm và gây nhiều thiệt hại này là một chủ đề công nghệ sôi động, đƣợc nhiều nhà
nghiên cứu quan tâm, chia sẻ và học hỏi kinh nghiệm. Bất cứ công trình nào mang
lại hiệu quả phòng chống hoặc giảm thiểu thiệt hại do DDoS cũng đều mang lại lợi
ích rất lớn cho thƣơng mại toàn cầu, có khả năng triển khai rộng rãi tạo ra một môi
trƣờng mạng Internet an toàn. Đây là động lực chính giúp chúng tôi lựa chọn chủ đề
này.
1.1.2 Phạm vi nghiên cứu
Tấn công DDoS có nhiều dạng và để xây dựng đƣợc một giải pháp phòng thủ
hiệu quả cho tất cả các dạng tấn công không phải là một việc làm dễ dàng cũng nhƣ
khó khả thi trong thực tế. Thực tế để triển khai giải pháp giảm thiểu tấn công vào
một mạng cần bảo vệ, ngƣời ta áp dụng tổng hợp các phƣơng pháp rà soát, phát hiện
16


và cơ chế ngăn chặn khác nhau. Để tập trung vào nội dung trọng tâm chúng tôi đã
nghiên cứu giải quyết, chúng tôi chọn chỉ một số dạng tấn công phổ biến quen thuộc
rồi từ đó sẽ áp dụng giải pháp đề xuất để đánh giá tính hiệu quả và hạn chế của nó.
Dựa theo các tiêu chí khác nhau thì các chuyên gia có sự phân chia về các dạng
tấn công DDoS khác nhau. Ở đây chúng tôi chọn phƣơng pháp phân loại của các
chuyên gia tại các công ty đang cung cấp các giải pháp phòng chống DDoS hiệu quả
đƣợc nhiều ngƣời sử dụng vì chúng phản ánh thực tế tin cậy nhất hiện trạng tình
trạng tấn công DDoS hiện nay:
Tấn công vào băng thông (Volumn based Attack): Với dạng tấn công này,
mục tiêu của kẻ tấn công là làm cạn kiệt băng thông của mục tiêu thông qua lƣu
lƣợng phát sinh cực lớn. Thông thƣờng tính bằng Gbps. Một số phƣơng pháp tấn
công phổ biến là: UDP Flood, ICMP Flood.

giảm thiểu thiệt hại do tấn công DDoS bằng cách phân biệt lƣu lƣợng bất thƣờng từ
kẻ tấn công và lƣu lƣợng hợp pháp sinh ra khi ngƣời dùng bình thƣờng tƣơng tác với
website. Chúng tôi thống kê lại các nghiên cứu theo hai chủ đề chính:
1.2.1 Phƣơng pháp tấn công DDoS
DDoS (Distributed Denial of Service) là một nỗ lực tấn công làm cho ngƣời
dùng không thể tiếp tục sử dụng dịch vụ hoặc tài nguyên mạng [2]. DDoS nhìn
chung là sự phối hợp, tấn công có chủ đích để một website, hay hệ thống mạng
18


không thể sử dụng, làm gián đoạn, hoặc làm cho hệ thống đó chậm đi một cách đáng
kể với ngƣời dùng bình thƣờng, bằng cách làm quá tải tài nguyên của hệ thống. Thủ
phạm tấn công từ chối dịch vụ thƣờng nhắm vào các Website có tầm quan trọng cao
hoặc tiêu biểu nhƣ ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí là các máy
chủ phân giải tên miền DNS. Ngày nay nó còn tấn công vào cả các dịch vụ Game
[Minecraft Online], mạng phim ảnh [Sony Playstation Network]… Nó đƣợc ví nhƣ
“phù thủy” của Internet [3] khi hiện tại chƣa có phƣơng pháp nào phòng chống hiệu
quả hoàn toàn.
Phƣơng thức tấn công đặc trƣng của DDoS là làm bão hòa yêu cầu phục vụ
truy cập từ những kết nối từ xa, đến mức máy chủ hoặc mạng không thể đáp ứng
đƣợc nhu cầu truy cập của ngƣời dùng hoặc đáp ứng rất chậm và kết quả thƣờng
thấy là máy chủ bị quá tải. Nhìn chung, các cuộc tấn công DDOS thƣờng ép các
máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên đến mức máy chủ không thể
cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa ngƣời sử dụng bình thƣờng và
nạn nhân.
Ở đây, chúng tôi thống kê lại một số dạng tấn công phức tạp mà những kẻ tấn
công thƣờng sử dụng để từ đó hiểu hơn về các chiến thuật phòng chống mà các nhà
nghiên cứu sử dụng. Vì phạm vi nghiên cứu chúng tôi đã trình bày ở 1.1.2 nên
chúng tôi tập trung vào những tấn công tới tầng ứng dụng mà cụ thể là tới ứng dụng
Web. Những dạng tấn công vào tài nguyên nhƣ bộ nhớ, CPU, băng thông, truy xuất

về tần suất gửi tin có thể áp dụng để ngăn chặn
R.K.C. Chang và đồng nghiệp [6] thì lại đƣa ra mô hình tấn công định kỳ theo
kiểu sóng chu kỳ Wavelet. Ở đây kẻ tấn công thực hiện tấn công định kỳ và thay đổi
chiến thuật tấn công theo định kỳ do đó sẽ mất nhiều thời gian hơn để phân tích,
nhận dạng và đƣa ra một chu kỳ đúng để áp dụng chế độ ngăn chặn.
Sherwood và đồng nghiệp [7] đề xuất một cách tiếp cận tấn công khác. Kẻ tấn
công ở đây sẽ đóng vai trò là ngƣời nhận các kết nối TCP. Tuy nhiên ý tƣởng ở đây
là các máy tấn công sẽ gửi trả lại các gói ACK xác nhận mà không cần đợi dữ liệu
từ máy chủ trả lời. Dạng tấn công này cố ý phá vỡ các kết nối TCP liên tục làm máy
chủ phải dành nhiều tài nguyên để cố gắng hoàn thành các kết nối TCP này.
Nhìn chung, các kiểu tấn công luôn tìm cách tận dụng những kẽ hở của giao
thức TCP để tìm cách gửi nhiều nhất dữ liệu đến phía mục tiêu có thể trong thời
gian ngắn hoặc cố gắng giả mạo những đặc tính thông thƣờng của các truy vấn hợp
pháp để gửi lƣu lƣợng rác đến máy chủ Web. Vấn đề nhận dạng những đặc tính lƣu

20


lƣợng hợp pháp để phân biệt đâu là kết nối từ kẻ tấn công, đâu là yêu cầu thực của
ngƣời dùng sẽ là bài toán mô hình hóa lƣu lƣợng web phải giải quyết.
1.2.2 Những nghiên cứu làm giảm thiểu thiệt hại do tấn công DDoS
Những phƣơng pháp chúng tôi đề cập sau đây sẽ liên quan trực tiếp đến các
dạng chiến thuật phòng chống tấn công DDoS cho dịch vụ Web và là cơ sở cho
những ý tƣởng đề xuất của chúng tôi.
Mirkovic và đồng nghiệp đề xuất mô hình D-Ward [8] với ý tƣởng là xác định
và loại bỏ nguồn tấn công ngay từ mạng nguồn. D-Ward sẽ kiểm tra các nguồn lƣu
lƣợng bất thƣờng theo đặc tính giao thức truy cập rồi áp đặt một tỉ lệ giới hạn các
loại gói tin có thể gửi trong trƣờng hợp phát hiện tấn công. Tuy nhiên điểm yếu của
nó là cần phải thay đổi cấu trúc Internet để hỗ trợ D-Ward trên từng mạng, điều mà
không dễ cũng nhƣ không phải nhà cung cấp dịch vụ nào cũng sẵn sàng đầu tƣ.

của thuật toán.
Zhangwang [12] cũng đề xuất một số các phƣơng pháp mới khi sử dụng RRED
để chống tấn công từ chối dịch vụ tốc độ thấp tuy nhiên điểm yếu về mặt sử dụng
các hằng số ngƣỡng thời gian để kiểm chứng lƣu lƣợng vẫn chƣa đƣợc chứng minh
tính hiệu quả trong thực tế.
Một số các tập đoàn lớn về an ninh mạng, chuyên cung cấp dịch vụ chống
DDoS lại sử dụng các cơ chế về giao thức BGP mới, trang bị các mạng lƣu trữ dữ
liệu phân tán, hệ thống cân bằng tải khắp nơi, sử dụng các cơ chế tự động phát hiện
độc quyền không đƣợc công bố nên không thể đánh giá đƣợc ý nghĩa của giải pháp.
1.3 Thách thức và bài toán cần giải quyết
Nhƣ đã trình bày ở trên, kẻ tấn công có thể sử dụng botnet để tận dụng mạng
lƣới các máy tính bị chiếm quyền điều khiển tự động thực hiện gửi các yêu cầu phục
vụ đến website mục tiêu dẫn đến các hành vi giả mạo này rất khó bị phát hiện do
thực chất đó là các yêu cầu từ một máy tính thực thụ.
Thách thức chính là phân loại đƣợc các đặc tính của lƣu lƣợng truy cập xem
đâu là từ nguồn tấn công, đâu là từ nguồn hợp lệ. Những đặc tính nổi bật phản ánh
lƣu lƣợng hợp pháp sử dụng cho mô hình hóa phải đƣợc phân tích và đo đạc kỹ
lƣỡng sao cho phản ánh đúng nhất hành vi của ngƣời dùng hợp lệ. Đặc biệt khi
website chứng kiến một loạt tấn công DDoS xen kẽ với các truy cập thực từ ngƣời
dùng dịch vụ.
Khi xây dựng các cơ chế phòng thủ thì bản thân các giải pháp không nên là
mục tiêu bị lợi dụng hoặc là căn nguyên gây quá tải dịch vụ Web cần bảo vệ. Đây là

22


điều cần phải đánh giá kỹ càng trong quá trình xây dựng mô hình và kiến trúc hệ
thống.
Thêm nữa khi áp dụng các giải pháp lọc, xử lý tấn công không đƣợc làm tăng
đáng kể hoặc phải đầu tƣ cơ sở hạ tầng vƣợt quá giá trị thực sự của dịch vụ đang

và phản ánh đúng những hành vi của ngƣời dùng Web hiện đại. Chi tiết về các mô
hình dữ liệu Web và mô hình dữ liệu mà chúng tôi chọn đƣợc mô tả trong chƣơng II.
Từ những kết quả này chúng tôi xây dựng chiến thuật phân loại lƣu lƣợng ngƣời
23


dùng hợp lệ và lƣu lƣợng từ kẻ tấn công. Phần này chúng tôi trình bày trong chƣơng
III.

24


CHƢƠNG II: MÔ HÌNH HÓA LƢU LƢỢNG WEB
Thách thức chính của giải pháp phòng chống tấn công DDoS dựa trên hành vi
ngƣời dùng đó là khó khăn khi chúng ta mô hình hóa các hành vi sao cho gần nhất
với hành vi tƣơng tác thực của ngƣời dùng thật khi truy cập Web. Trong chƣơng
này, chúng tôi mô tả cơ bản các kết quả của những nghiên cứu về công việc mô hình
hóa này, những điểm lợi, hại và chọn một mô hình hóa lƣu lƣợng điển hình phù hợp
nhất với thực tiễn công nghệ Web đang sử dụng hiện nay.
2.1 Giới thiệu
Ngày nay lƣu lƣợng của các ứng dụng WWW đang tăng với tốc độ chóng mặt,
hiện chiếm đến hơn 90% lƣu lƣợng toàn bộ Internet [1]. Các công nghệ đƣợc tăng
cƣờng bổ sung để giảm tối đa độ trễ truyền tải, tăng tốc độ hiển thị, tăng trải nghiệm
của ngƣời dùng dẫn đến tƣơng tác giữa trình duyệt với máy chủ, sự kiện xảy ra trên
trang Web có sự thay đổi cơ bản về bản chất.
Mô hình hóa lƣu lƣợng là gì
Mô hình lƣu lƣợng Web là mô hình của dữ liệu gửi và nhận từ trình duyệt của
ngƣời sử dụng.
Mô hình hóa lƣu lƣợng Web thực chất là tìm các đặc tính đặc trƣng phản ánh
những hành vi hợp lệ truy cập của ngƣời dùng hợp pháp và mối quan hệ giữa chúng.