Tên đề tài luận án: Một số phương pháp đảm bảo an ninh và ràng buộc thời gian thực thi cho các ứng dụng Web

1. Họ và tên nghiên cứu sinh: Nguyễn Hạnh Phúc                         2. Giới tính: Nam,

3. Ngày sinh: 24/05/1978                                                 4. Nơi sinh: Hải Phòng

5. Quyết định công nhận NCS số 1006/QĐ-CTSV ngày ngày 07 tháng 12 năm 2015 của Hiệu trưởng trường Đại học công nghệ, Đại học Quốc gia Hà Nội.

6. Các thay đổi trong quá trình đào tạo:

• Thay đổi đề tài luận án tiến sỹ theo Quyết định số 492/QĐ-ĐT, ngày 04/06/2018, của Hiệu trưởng Trường Đại học Công nghệ.
• Gia hạn học tập thêm 02 năm học (2018 – 2019, 2019 – 2020) theo Quyết định số 1260/QĐ-ĐT, ngày 13 tháng 12 năm 2018, của Hiệu trưởng trường Đại học Công nghệ.
• Trả về địa phương theo Quyết định số 102/QĐ-ĐT, ngày 04 tháng 02 năm 2021, của Hiệu trưởng trường Đại học Công nghệ.
• Gia hạn thời gian bảo vệ luận án tiến sỹ theo Công văn số 06/ĐHQGHN-ĐT, ngày 03/01/2023, của Giám đốc ĐH QG HN.

7. Tên đề tài luận án: Một số phương pháp đảm bảo an ninh và ràng buộc thời gian thực thi cho các ứng dụng Web

8. Chuyên ngành: Kỹ thuật phần mềm,                            9. Mã số: 9480103.01

10. Cán bộ hướng dẫn khoa học: TS. Trương Ninh Thuận

Thông tin luận án Tiến sĩ của NCS Nguyễn Hạnh Phúc (tiếng Anh)

11. Tóm tắt các kết quả mới của luận án:

Các đóng góp chính của luận án bao gồm:

Thứ nhất, luận án đề xuất phương pháp phân tích nhật ký truy cập của một hệ thống web nhằm phát hiện các dấu hiệu bất thường của người dùng, giúp phát hiện sớm các cuộc tấn công từ chối dịch vụ theo thời gian thực. Cuộc tấn công từ chối dịch vụ (DoS, DDoS) là một trong những dạng tấn công phổ biến nhất trên mạng, khi các yêu cầu không cần thiết được gửi hàng ngàn hoặc hàng triệu lần, gây quá tải máy và các tài nguyên hỗ trợ của hệ thống, gây hậu quả nguy hại nặng nề cho hệ thống.

Phương pháp này tập trung vào việc phát hiện các dấu hiệu bất thường của người dùng, nhằm giúp phát hiện sớm các cuộc tấn công DDoS. Cụ thể, nó phát hiện và cảnh báo các địa chỉ IP có số lượng truy cập vào hệ thống cao trong khung xử lý thời gian thực. Ngoài ra, phương pháp này cũng đã được triển khai trong hệ thống web của Shopbase bằng công nghệ Apache Spark và Kubernetes, đồng thời được giới thiệu hiệu quả tích cực trong thực tế.

Thứ hai, luận án đề xuất một phương pháp kiểm thử phát hiện xâm nhập XSS cho ứng dụng web. Phương pháp được giới thiệu đề xuất một khung kiểm thử tự động cho các ứng dụng web bằng Java, tích hợp với Selenium và TestNG, cung cấp các tính năng để thực hiện kiểm thử tự động. Đồng thời, đề xuất một phương pháp sử dụng Q$-$learning để tự động tạo ra các đường dẫn kiểm thử cho kiểm thử thâm nhập trên các ứng dụng web. Các đường dẫn kiểm thử được tạo ra nhanh chóng bằng cách cải thiện ma trận phần thưởng để nhanh chóng theo dõi trạng thái tiếp theo, tiết kiệm thời gian tạo đường dẫn thử nghiệm. Ngoài ra, một công cụ cũng được phát triển để tạo ra các đường dẫn thử nghiệm có khả năng chứa các cuộc tấn công XSS trên các ứng dụng web và công cụ để thực hiện kiểm thử tự động theo khung làm việc đã đề xuất.

Cuối cùng, luận án đề xuất một phương pháp kiểm chứng tiến trình thực thi của các sự kiện trong kiến trúc hướng sự kiện (EDA). Phương pháp được giới thiệu là một cách tiếp cận để kiểm chứng sự xuất hiện của các sự kiện trong một kiến trúc hướng sự kiện trong thời gian thực thi. Các thuật toán của phương pháp sẽ kiểm chứng mối quan hệ giữa các sự kiện và đảm bảo rằng chúng đáp ứng các đặc tả. Nghiên cứu đã áp dụng phương pháp này vào ứng dụng EDA thực tế và chứng minh tính hiệu quả của nó. Kết quả cho thấy phương pháp này có thể phát hiện các vi phạm về thời gian của sự kiện và cải thiện độ tin cậy và khả năng dự đoán của các hệ thống EDA. Đây là một phương pháp tiên tiến và hiệu quả để giải quyết vấn đề khó khăn trong kiểm chứng các hệ thống EDA thời gian thực.

12. Khả năng ứng dụng trong thực tiễn: Phát hiện các cuộc tấn công DoS, DDoS, XSS và kiểm chứng sự xuất hiện của các sự kiện trong thời gian thực thi.

13. Những hướng nghiên cứu tiếp theo: Áp dụng phương pháp vào các môi trường thực tế, tích hợp với các giải pháp bảo mật khác. Các nghiên cứu tiếp theo có thể tập trung vào phát triển các giải pháp cho các vấn đề như tăng cường tính khả dụng của hệ thống, giảm thiểu số lượng cảnh báo sai và cải thiện khả năng thích ứng của hệ thống.

14. Các công trình đã công bố có liên quan đến luận án:

Các công trình nghiên cứu liên quan trực tiếp đến luận án:

1. Hanh-Phuc Nguyen, Hong-Anh Le, and Ninh-Thuan Truong, jFAT: An automation framework for web application testing, ICCASA 2018/ICTCC 2018, LNICST 266, pp. 48-57, (2018).

2. Hanh-Phuc Nguyen, Thanh-Nhan Luong and Ninh-Thuan Truong, Generating Test Paths to Detect XSS Vulnerabilities of Web Applications, 2022 9^th NAFOSTED Conference on Information and Computer Science (NICS), IEEE, pp. 287-293, (2022).

3. Hanh-Phuc Nguyen, Thanh-Nhan Luong, Thi-Huong Dao, and Ninh-Thuan Truong, An approach to prevent DDoS attack using real-time access logs analysis, ACIIDS 2023 – 15th Asian Conference on Intelligent Information and Database Systems 24-26 July 2023 Phuket, Thailand Proceedings, pp. 92-105, (2023).

4. Thanh-Binh Trinh, Hanh-Phuc Nguyen, Dinh-Hai Nguyen, Van-Khanh To, and Ninh-Thuan Truong, Checking Temporal Constraints of Events in EBS at Runtime, (submited tạp chí Cybernetics and Information Technologies (CIT BAS- https://cit.iict.bas.bg/, ISI index) đã nhận kết quả review vòng 1, cần chỉnh sửa để review vòng 2).

Ngoài những công trình trên, tác giả còn tham gia vào một số công trình nghiên cứu khác như sau:

1. Thanh-Nhan Luong, Hanh-Phuc Nguyen and Ninh-Thuan Truong, VeRA: Verifying RBAC and authorization constraints models of web applications, International Journal of Software Engineering and Knowledge Engineering, IJSEKE, Vol. 31, No. 05, pp.655-675 (2021), ISI index.