文稿成果設(shè)計(jì)

AThesisSubmittedinPartialFulfillmentoftheRequirementsfortheDegreeofMasterofEngineeringDetectingLDoSAttacksMethodbasedonAbnormalTCPDataTraffic：Zhang：Computer：Prof.XiaoHuazhongUniversityofScienceandTechnologyWuhan,Hubei430074,P.R.China 技大學(xué)服務(wù)（DenialofService，DoS）近年來給互聯(lián)網(wǎng)的安全環(huán)境帶來了極大的隱患和。慢速服務(wù)LDoS（LowrateDoS）是一種新的DoS，與傳統(tǒng)的DoS相比，其效率更高、隱蔽性更強(qiáng)。由于LDoS的數(shù)據(jù)流量特征和結(jié)果所呈現(xiàn)出的特征與傳統(tǒng)的DoS差別很大，使得傳統(tǒng)DoS攻探索出行之有效的LDoS檢測方法，對提升網(wǎng)絡(luò)的安全性具有重要的理論意義通過對LDoS原理的介紹，分析了LDoS效果與周期、脈沖持續(xù)時(shí)長和脈沖強(qiáng)度三種參數(shù)之間的關(guān)系，并闡述了LDoS對網(wǎng)絡(luò)數(shù)據(jù)為便于討論和分析LDoS發(fā)生時(shí)TCP（TransmissionControlProtocol）數(shù)據(jù)了LDoS導(dǎo)致的TCP數(shù)據(jù)流量的異常分布形態(tài)和大小異常變化形態(tài)針對LDoS發(fā)生時(shí)TCP數(shù)據(jù)流量“異常分布”的特征，使用指數(shù)移動平均算法EWMA（ExponentiallyWeightedMovingAverage）TCP數(shù)據(jù)流量的異常。針對有顯著區(qū)別，依據(jù)“熵差”處理并度量合法TCP數(shù)據(jù)流量和數(shù)據(jù)流量大小的變TCPTCP數(shù)據(jù)流量大小異常變化的LDoS檢測方法。為檢測給出的 檢測方法的檢測效果，通過仿真實(shí)驗(yàn)和（DefenseAdvancedResearchProjectsAgency1999）數(shù)據(jù)集進(jìn)試，證明所LDoS檢測方法檢測準(zhǔn)確度高，檢測效率高，誤判率和漏判率低。：慢速服 華華Denialofserviceattackshas easeriousthreattothesecureenvironmentoftheInternet.LowratedenialofserviceattackswhichareakindofDoSattacks,areharmfulconsequenceswiththetraditionalDoSattacks,butwithhigherefficiencyandmorehidden.ThecharacteristicsofbehavioralandattackdataflowonLDoSareverydifferentfromtraditionalDoSattacks,whiakethedetectionmethodsforthetraditionalDoSattackaredifficulttoworkonLDoS,whiletheexistingLDoSattackdetectionmethodsarelimitedintypeofLDoS,highresourceconsumption,real-timeweakandlowaccuracyandotherissues.Therefore,toexploreeffectiveLDoSattackdetectionmethodshasimportanttheoreticalandpracticalsignificanceinenhancenetworksecurity.BasedonthedescribtionoftheprocessofLDoSattacks,therelationshipbetweentheparametersandattackeffectisyzed,aswellastheeffectsofLDoSattacksonnetworktraffichavedescribed.InordertoysisTCPdatatrafficcharacteristicswhenLDoSattackoccurred,threebasicnetworkscenariosareestablished,onwhichbasedtheformofabnormaldistributiononTCPdatatrafficandabnormalchangesondatatrafficarecharacterized.BasedontheTCPdatatrafficabnormaldistributionleadbyLDoSattacks,thecriteriaareestablishedwhichinaccordancewithExponentiallyWeightedMovingAveragealgorithm.BasedonthesignificantdifferencesexistinthedegreeofchangesonseveraltypesofnetworkdatatrafficbetweenLDoSattackoccuringandnon-LDoSattackoccurring,thecriteriaareestablishedwhichinaccordancewiththedifferenceofentropy.Underthese,anLDoSattackdetectionmethodbasedontheabnomaldistributiononTCPdatatrafficandabnormalchangesondatatrafficisproposed.TotesttheeffectoftheLDoSattackdetectionmethod,theexperimentsbasedonsimulationandthegeneraldatasetssuchastheDARPA99(DefenseAdvancedResearchProjectsAgency1999)datasethavedone.TheexperimentalresultshaveproventhattheLDoSattacksdetectionmethodcangethighdetectionefficiencyandhighdetectionaccuracy,withalowfalseandmissingdetectionrate.：Lowratedenialofserviceattack,AttackDetection,Attackparameters,ExponentiallyWeightedMovingAverage,MovingRange,differenceof............................................................................................4 緒 研究背 LDOS的現(xiàn)狀課題研究的意義、內(nèi)容及目標(biāo) LDOS的原理及參數(shù)分析…………………TCP/IP擁塞控制機(jī) LDOS的原 LDOS相關(guān)參數(shù)分 LDOS的影 本章小 LDOS對TCP數(shù)據(jù)流量的影 相關(guān)概念與定 LDOS對TCP數(shù)據(jù)流量形態(tài)的影 本章小 基于TCP數(shù)據(jù)流量異常特征的LDOS檢測方 相關(guān)定 基于TCP數(shù)據(jù)流量異常分布的LDOS檢 基于TCP數(shù)據(jù)流量大小異常變化的LDOS檢 檢測方 本章小 實(shí)驗(yàn)及結(jié)果分 NS-2模擬仿真實(shí)驗(yàn)及結(jié)果分 DRAPP99數(shù)據(jù)集測試實(shí)驗(yàn)及結(jié)果分 本章小 總 已完成工 下一步工 參考文 附錄英文縮寫詞對照 華華華華緒研究背防等方面，然而近年來網(wǎng)絡(luò)給互聯(lián)網(wǎng)的安全環(huán)境帶來了極大的隱患和。網(wǎng)絡(luò)的主要方法包括、計(jì)算機(jī)、偷取和，其中攻的“服務(wù)（Denial-of-Service，DoS”[1]危害極大。傳統(tǒng)的DoS以消耗網(wǎng)絡(luò)資源為目的，通過一個(gè)或多個(gè)發(fā)送端向目標(biāo)網(wǎng)絡(luò)中至無響應(yīng)。這種通過消耗大量的網(wǎng)絡(luò)帶寬和系統(tǒng)資源，使得網(wǎng)絡(luò)或系統(tǒng)無法負(fù)務(wù)（FloodDenialofService，F(xiàn)DoS）[3]是在DoS的基礎(chǔ)上發(fā)展出的一種破壞力更強(qiáng)的DoS，這種通過控制“僵尸網(wǎng)絡(luò)”同時(shí)向目標(biāo)發(fā)動，造成巨大的流涌向目標(biāo)，這種情形就如同洪水泛濫一樣，因此通常被形象地稱（掛起”[4]，導(dǎo)致“不完全服務(wù)”。在2003年的M會議上，ICNP以及2005年的 會議上，Guirguis提出了RoQ[6][7]，這種的性能下降。之后，的研究者對這類進(jìn)行了深入研究，并將這類定義為低速率服務(wù)LDoS。泛式DoS的原理決定了它必須維持一個(gè)高頻率和高速率的數(shù)據(jù)流，故其攻擊數(shù)據(jù)流與正常用戶數(shù)據(jù)流相比具有明顯的異常特性。而LDoS充分利用間隔內(nèi)突發(fā)大量數(shù)據(jù)包[9]，使得TCP數(shù)據(jù)流頻繁進(jìn)入“擁塞避免”和“擁塞恢TCP數(shù)據(jù)流量的吞吐率降低從而降低整個(gè)網(wǎng)絡(luò)的性能。LDoS的周期性特征，使得流的平均數(shù)據(jù)流量較低，易隱藏于正常數(shù)據(jù)流中，大幅提相較于傳統(tǒng)洪泛式DoS，效率更高，隱蔽性更強(qiáng)，因而更加難于檢測LDoS的現(xiàn)LDoS的分目的，LDoS可分為多種模式，本文根據(jù)LDoS涉及的TCP/IP模型的網(wǎng)絡(luò)層次對LDoS進(jìn)行以下分類?；阪溌穼拥腖DoS主要是針對AdHoc網(wǎng)絡(luò)[10]，在該網(wǎng)絡(luò)中，TCP發(fā)送請求發(fā)送/清除發(fā)送（RTS/CTS，RequestToSend/ClearToSend（全稱放到后面的發(fā)送方始終無法收到CTS信號而失去發(fā)送數(shù)據(jù)的“機(jī)會”。基于網(wǎng)絡(luò)層的LDoS主要針對IP擁塞控制策略中的路由器隊(duì)列管理策略，基于傳輸層的LDoS主要是針對TCP擁塞控制策略。TCP擁塞控制策略基基于應(yīng)用層的慢速服務(wù)LoRDAS[12][13]主要是針對應(yīng)用層協(xié)議（如VOIP[14]、SIP[15]）的服務(wù)隊(duì)列，通過讓目標(biāo)服務(wù)隊(duì)列“滿載”而丟棄合法的請求致由于基于其它層次（除傳輸層之外）的LDoS與基于傳輸層的LDoS導(dǎo)致TCP數(shù)據(jù)流量及數(shù)據(jù)流量變化相似，而且基于其它層次的LDoS大多也會觸發(fā)TCP擁塞控制策略，從而基于傳輸層的LDoS，因此本文僅研究針對傳輸層的LDoS。LDoS的典型檢測方法通常情況下，LDoS產(chǎn)生的數(shù)據(jù)流量較低并且模式變化多樣，這種處于起步階段，下面論述已典型LDoS檢測方法。LDoS數(shù)據(jù)流相比于正常TCP數(shù)據(jù)流更集中于低頻區(qū)，根據(jù)這一特征，基NASNCASTCP數(shù)據(jù)流，而將其它數(shù)據(jù)流認(rèn)作為LDoS數(shù)據(jù)流，此方法的誤判和漏判率較低。但這種方法在檢測使用IP地址的LDoS時(shí)，由于需要對不同來源的數(shù)據(jù)包的地址存Sun等人DTW檢測方法[18]在特征匹配過程中使用動態(tài)時(shí)間環(huán)繞（DTW）方法，獲取網(wǎng)絡(luò)數(shù)據(jù)流量的特征構(gòu)建測試樣本，進(jìn)而對比分析。DTW檢測方法同時(shí)擊目標(biāo)產(chǎn)生影響，并可向方回溯以期發(fā)現(xiàn)源。DTW檢測方法對LDoS的識別率較高、誤判率低，且能夠檢測出多種類型的LDoS，但檢測效率較低UDP數(shù)據(jù)流的峰值速率和峰值速率出現(xiàn)次數(shù)，并與事先給定的閾值對比，從而判斷是否發(fā)生LDoS。該方法同時(shí)還能夠進(jìn)一步對UDP數(shù)據(jù)流的來源進(jìn)行阻隔，從而降低分布式LDoS的影響。但該檢測方法存在誤判率高和漏判率高且耗費(fèi)資源大等問題，同時(shí)需要大量的空間用以保存流的特息，導(dǎo)致空間復(fù)雜度高。占滿（一般小于15個(gè)MSS）通過比較給定時(shí)間段內(nèi)（通常為5s）高速數(shù)據(jù)脈沖的數(shù)量是否超過給定閥值來判斷是否發(fā)生LDoS。但現(xiàn)在的網(wǎng)絡(luò)應(yīng)用中，短暫時(shí)間內(nèi)發(fā)送UDP流量的情況很多，導(dǎo)致這種檢測方法的誤判率較高。Luo等在文獻(xiàn)[22]VanguardTCP數(shù)據(jù)流和ACK數(shù)據(jù)流是否出現(xiàn)異常來判斷LDoS，并在文獻(xiàn)[23]中進(jìn)一步對該方法進(jìn)行了修改和優(yōu)化，使得該方法可以檢測出“周期變化”的LDoS。Vanguard方法檢測LDoS的依據(jù)是在一定觀測時(shí)間段TCP流量和相應(yīng)的ACKACKTCP流量大小分布發(fā)生了變化，則可能發(fā)生LDoS。該檢測方法檢測效率高，算法復(fù)雜度低，并能夠用于LDoS檢法雖然能夠?qū)Υ蠖鄶?shù)類型LDoS得到較好的檢測效果，但在網(wǎng)絡(luò)流量突發(fā)或靜已有檢測方法存在的不足種模式的LDoS。發(fā)生的中期或者發(fā)生一段時(shí)間之后，對LDoS始發(fā)階段的檢測為力，且只課題研究的意義、內(nèi)容及目標(biāo)意量中，其擁有傳統(tǒng)DoS的危害性卻更難以被檢測。目前，對LDoS的研究處于準(zhǔn)確率較高而誤判率和漏判率較低，且能夠檢測出多種模式的LDoS的檢測方內(nèi)課題將基于網(wǎng)絡(luò)中發(fā)生LDoS時(shí)，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量和數(shù)據(jù)流并確定相應(yīng)的檢測準(zhǔn)則，從而構(gòu)建一個(gè)有效的LDoS檢測方法，并在模擬實(shí)驗(yàn)基于熵差方法檢測TCP數(shù)據(jù)流量大小和數(shù)據(jù)流量大小的異常變化。并通過仿真實(shí)驗(yàn)和實(shí)際的網(wǎng)絡(luò)流量數(shù)據(jù)集驗(yàn)證這一檢測方法檢測LDoS的目本文LDoS檢測方法應(yīng)當(dāng)達(dá)到以下預(yù)期目標(biāo) 的原理及參數(shù)分本章將首先闡述LDoS的相關(guān)知識，描述TCP/IP擁塞控制機(jī)制及相關(guān)的策TCP/IP擁塞控制機(jī)制交換結(jié)點(diǎn)中的緩存空間等）的承受能力，導(dǎo)致網(wǎng)絡(luò)的性能明顯下降，因此需要有一套擁塞控制機(jī)制來限制上述情況的發(fā)生。擁塞控制機(jī)制是維持網(wǎng)絡(luò)穩(wěn)定、高效運(yùn)行的關(guān)鍵，同時(shí)又是提高網(wǎng)絡(luò)服務(wù)質(zhì)量的基礎(chǔ)和前提。而良好的擁塞控制策略決定著P網(wǎng)絡(luò)中的（1TP（2）P擁塞控制策略。這兩類TP/P擁塞控制機(jī)制。（QueueManagement，AQM）策略方面[29][30]。AIMD策略只能減緩擁塞，不能避免擁TCP/IP擁塞控制機(jī)制雖然能夠一定程度緩解和避免網(wǎng)絡(luò)中的擁塞，但仍然存在分丟包原因便執(zhí)行擁塞控制機(jī)制，且一旦發(fā)生擁塞則盲目執(zhí)行AIMD。因此，網(wǎng)絡(luò)TCP/IPTCPLDoS的原LDoS的實(shí)質(zhì)是利用了TCP/IP擁塞控制機(jī)制中存在的缺陷，通過間歇性地突發(fā)脈沖，反復(fù)觸發(fā)TCP/IP擁塞機(jī)制，使得TCP數(shù)據(jù)流量頻繁進(jìn)入突降和逐步回升的過程，導(dǎo)致目標(biāo)網(wǎng)絡(luò)或主機(jī)的平均TCP數(shù)據(jù)流量降低，達(dá)到“不完全服變；脈沖強(qiáng)度固定或可變；可針對不同的擁塞控制策略（如AIMD和AQM），以UD（UserProtocolCM（IrnetControlMessageProtocol）數(shù)據(jù)、無效TCP數(shù)據(jù)（源地址、無效Flag標(biāo)識及首部校驗(yàn)錯(cuò)誤、DNS（NameSystem）數(shù)據(jù)和SYN數(shù)據(jù)[31]。持續(xù)時(shí)間，Rattack為脈沖強(qiáng)度（平均數(shù)據(jù)流量。LDoS相關(guān)參數(shù)分析脈沖持續(xù)時(shí)間Lattack和脈沖強(qiáng)度Rattack密切相關(guān)，本文將這三個(gè)參數(shù)稱為2.3.1周TCPTCP數(shù)據(jù)時(shí)，會設(shè)置一個(gè)超時(shí)重RTO設(shè)置為一個(gè)恰當(dāng)?shù)臅r(shí)間長度是非常重要的，RTO時(shí)長過短可能導(dǎo)致大量報(bào)文段為控制流量的大小以保持LDoS的隱蔽性，LDoS者往往根據(jù)TCP發(fā)送方的RTO來設(shè)置周期。若LDoS者精確知道TCP發(fā)送方每次發(fā)送數(shù)據(jù)的RTO，從而動態(tài)調(diào)整周期Tattack=RTO則可使目標(biāo)網(wǎng)絡(luò)中TCP連接的擁塞窗口維持為1，并且吞吐量始終為0，即同步，此時(shí)LDoS效果最佳。然而在實(shí)際TTavg來獲得一個(gè)相對較好的效果，其中RTOmin為最小超時(shí)重傳時(shí)間，RTTavgRTTRTOmin=1s[32]圖2.2LDoS周期對TCP數(shù)據(jù)流量的影從圖2.2中可以看到，當(dāng)Tattack=0.2s時(shí)，Tattack=Lattack相當(dāng)于LDoS向網(wǎng)絡(luò)中持續(xù)地注入數(shù)據(jù)流，TCP數(shù)據(jù)流量接近于0，其效果類似于FDoS。隨著Tattack的增加，發(fā)生的時(shí)間間隔越來越長，TCP數(shù)據(jù)流量逐漸增加，數(shù)據(jù)流量逐漸降低，在Tattack=1.4s時(shí)達(dá)到一個(gè)“平衡點(diǎn)”，此時(shí)數(shù)據(jù)流量和TCP數(shù)據(jù)流量都較小，并且Tattack恰好處于1s+2RTT～1s+3RTT之間。2.3.2脈沖持續(xù)時(shí)為達(dá)到較好的效果，LDoS脈沖會持續(xù)一定時(shí)間長度，使得目標(biāo)網(wǎng)絡(luò)中TCP數(shù)據(jù)包被及時(shí)丟量也會相應(yīng)增大，容易被LDoS檢測系統(tǒng)發(fā)現(xiàn)。為維持LDoS的隱蔽性，同時(shí)獲得較好的效果，LDoS者往往會精心選擇一個(gè)合適的脈沖持續(xù)時(shí)LDoS的理想狀態(tài)是迫使一個(gè)RTT內(nèi)TCP發(fā)送方的所有TCP數(shù)據(jù)包被丟棄，使得TCP發(fā)送方等待“足夠”長的時(shí)間才能依次重傳完所有丟失的數(shù)據(jù)包。假設(shè)網(wǎng)絡(luò)中存在n條TCP連接，則脈沖時(shí)長Lattack∈{RTT1,RTT2,...,RTTn}，根據(jù)“木桶定律”，LDoS者通常取略大于{RTT1,RTT2,...,RTTn}中的最小值作為脈沖持續(xù)時(shí)間，且為保持LDoS的隱蔽性，脈沖持續(xù)時(shí)間要小于周期，即min{RTT1,RTT2,...,RTTn}≤Lattack≤ηTattack，通常取η≤0.5。圖2.3給出了關(guān)鍵節(jié)點(diǎn)上，給定參數(shù)Tattack=1.2s和Rattack=30Mbps，Lattack取從圖2.3中可以看到，隨著Lattack的增加，數(shù)據(jù)流量逐漸增加，平均TCP數(shù)據(jù)流量逐漸減少。在Lattack=0.80s時(shí)，TCP數(shù)據(jù)流量基本為0，數(shù)據(jù)流量約為瓶頸帶寬，近似于FDoS。在Lattack=0.2s時(shí)為一個(gè)“平衡點(diǎn)”，此時(shí)數(shù)據(jù)流量2.3.3脈沖強(qiáng)度LDoS時(shí)目標(biāo)網(wǎng)絡(luò)損失的數(shù)據(jù)流量隨脈沖強(qiáng)度Rattack的增大而增大，攻流量增加到一定的程度時(shí)也會因擁塞而丟包，即“飽和”。同時(shí)，Rattack的取值還與鏈路本身的飽和狀態(tài)有關(guān)，鏈路越飽和，達(dá)到一定的效果所需的數(shù)據(jù)流量越少。因此LDoS者會根據(jù)方式和網(wǎng)絡(luò)中背景流量的不同，設(shè)置一華華合理的Rattack，通常設(shè)C<Rattack<C

值時(shí)，LDoS對TCP數(shù)據(jù)流量影響的示意圖，其中網(wǎng)絡(luò)瓶頸帶寬為30Mbps。圖2.4LDoS強(qiáng)度對TCP數(shù)據(jù)流量的影從圖2.4中可以看到，隨著Rattack的增加，數(shù)據(jù)流量逐漸增加，平均TCP數(shù)但在關(guān)鍵節(jié)點(diǎn)上起到作用的數(shù)據(jù)流量始終約為15Mbps，而受影響的TCP數(shù)據(jù)流量也始終保持固定的大小。LDoS的影由LDoS原理可知，LDoS通過周期性突發(fā)的脈沖，導(dǎo)致目標(biāo)網(wǎng)絡(luò)以一定時(shí)間間隔反復(fù)擁塞復(fù)觸TCP/IP擁塞控制機(jī)制使得TCP數(shù)據(jù)流量反TCP發(fā)送方和中間節(jié)點(diǎn)采用的擁塞控制算法不同，則擁塞發(fā)生時(shí)采用的措施和擁塞窗口的變化也有所不同。但根據(jù)相關(guān)的TCP/IP擁塞控制機(jī)制文檔[33][34]中的說明，無論網(wǎng)絡(luò)中使用哪一種擁塞控制策略，當(dāng)TCP擁塞控制策略分別如式（2.1）和式（2.2）所示。圖2.5給出了LDoS對網(wǎng)絡(luò)性能的影響示意圖。圖2.5(a)描述了LDoS對TCP連接擁塞窗口的影響，圖2.5(b)描述了LDoS對目標(biāo)網(wǎng)絡(luò)TCP數(shù)據(jù)流量、平均TCP數(shù)據(jù)流量和網(wǎng)絡(luò)流量三個(gè)方面上的結(jié)果，圖2.5(c)描述了正常情況下圖2.5LDoS結(jié)果示意由式（2.1、式（2.2）和圖2.5可以得出，LDoS對TCP發(fā)送方的擁塞窗口華華圖2.6LDoS導(dǎo)致平均TCP數(shù)據(jù)流量損失示意由式（2.1）和式（2.2）可知，無論LDoS哪種擁塞控制策略，最終都會導(dǎo)致目標(biāo)TCP數(shù)據(jù)流量異常。所以，僅僅通過觀測一種擁塞控制策略的發(fā)生以及檢測局部數(shù)據(jù)流量變化來判斷LDoS的發(fā)生將導(dǎo)致較大的誤判和漏判，而這也是目前大多數(shù)LDoS檢測方法局限性的原因所在。同時(shí)無論目標(biāo)是網(wǎng)絡(luò)邊TCP數(shù)據(jù)流量異常，因此課題將以關(guān)鍵路由器（目標(biāo)網(wǎng)絡(luò)中的網(wǎng)關(guān)、邊界路由器等）上的TCP數(shù)據(jù)流量作為LDoS的主要檢測對象，挖掘多種模式LDoS的共同特征，這是能夠在復(fù)雜的網(wǎng)絡(luò)背景流量下檢測出多種模式LDoS的要點(diǎn)。本章小TCP/IPLDoS的原理。同時(shí)論述了LDoS參數(shù)與效果的關(guān)系，并基于LDoS所觸發(fā)的擁塞控制機(jī)制，描述了LDoS對網(wǎng)絡(luò)產(chǎn)生的影響，繼而引出了檢測多種模式LDoS的檢測要點(diǎn)，為下一步提出合適的檢測方法提供了理論和技術(shù)基礎(chǔ)。LDoS對TCP數(shù)據(jù)流量的影本章將闡述LDoS對TCP數(shù)據(jù)流量的影響。首先將論述LDoS對TCP數(shù)據(jù)流量分布和TCP數(shù)據(jù)流量大小的影響，進(jìn)而將描述LDoS導(dǎo)致的TCP數(shù)據(jù)流量異常分布和TCP數(shù)據(jù)流量大小異常變化的形態(tài)及特征。相關(guān)概念與定義本章主要討論LDoS對TCP數(shù)據(jù)流量分布和流量大小的影響，為便于描 數(shù)據(jù)流量的影響，首先定義三種網(wǎng)絡(luò)場景：S1：網(wǎng)絡(luò)中不存在任何，或網(wǎng)絡(luò)中存在的對TCP數(shù)據(jù)流量沒有直接影響；S2：網(wǎng)絡(luò)中存在的對TCP數(shù)據(jù)流量有直接影響，但不存在LDoS；S3：網(wǎng)絡(luò)中存在LDoS。的效果，因此本文給出的場景中都假設(shè)存在較大的網(wǎng)絡(luò)背景數(shù)據(jù)流量。本文主要研究的是LDoS對TCP數(shù)據(jù)流量的影響，即比較和分析LDoS攻擊發(fā)生時(shí)和其它情況下TCP數(shù)據(jù)流量的差異，從而得到LDoS發(fā)生時(shí)TCP數(shù)據(jù)流量表現(xiàn)出的一些特征，進(jìn)而構(gòu)建出檢測LDoS的方法。場景S1中的兩種情況分別出現(xiàn)時(shí)，TCP數(shù)據(jù)流量的“狀態(tài)”是相似的，因此本文姑且認(rèn)為場景S1中不存attacks，這類往往會向網(wǎng)絡(luò)中注入大量的數(shù)據(jù)流，導(dǎo)致TCP數(shù)據(jù)流量近于0，從而達(dá)到目的，如FDoS、蠕蟲等。場景S3中描述的LDoS利用了圖3.1中描述了三種網(wǎng)絡(luò)場景中TCP數(shù)據(jù)流量和數(shù)據(jù)流量示意圖，其中觀圖3.1三種網(wǎng)絡(luò)場景中TCP數(shù)據(jù)流量和數(shù)據(jù)流量示意頻度和幅度較小且維持在一定的較高水平，數(shù)據(jù)流量持續(xù)為0。場景S2中，即同時(shí)數(shù)據(jù)流量極高（通常接近于瓶頸鏈路帶寬。場景S3中，LDoS通過周流量波動較大且其平均數(shù)據(jù)流量降到一個(gè)較低的程度，同時(shí)這種周期性的方式LDoS對TCP數(shù)據(jù)流量形態(tài)的影LDoS導(dǎo)致TCP數(shù)據(jù)流量異常分布的分kTCPTCPTCP數(shù)據(jù)流量樣本值序列表示為xTCP|k12,，并將三種網(wǎng)絡(luò)場景TCP數(shù)據(jù)流量的概率分布分別Px|S1Px|S2Px|S3。根據(jù)中心極限定理可知，大量統(tǒng)計(jì)獨(dú)k立的隨量和的分布以正態(tài)分布為極限Px|Sii1,23獨(dú)立同分布且皆可3.1~3.312 Px|S~N,12

其中μ1μ2和μ3分別表示TCP數(shù)據(jù)流量樣本值在三種網(wǎng)絡(luò)場景中正態(tài)分布的期三種網(wǎng)絡(luò)場景中的TCP數(shù)據(jù)流量概率分Px|Sii123的形態(tài)3.2所示，其中橫坐x表示TCP數(shù)據(jù)流量x取某個(gè)值時(shí)對應(yīng)Px。PP(x│S1P(x│S2P(x│S33.2三種網(wǎng)絡(luò)場景中TCPTCP數(shù)據(jù)流量的概率分布形態(tài)，需將三種網(wǎng)絡(luò)場景中概率分布的期望值重合，由此TCP數(shù)據(jù)流量樣本值進(jìn)行規(guī)范化處理，規(guī)范化公式為xstandxiii123，其中TCP數(shù)據(jù)流量概率分Px|Si的橫坐標(biāo)取三種P(xstand│S2P(xstand│S3P(xstand│S2P(xstand│S33.3三種網(wǎng)絡(luò)場景中TCP3.3可以看出Pxstand|S1Pxstand|S2的分布范圍比較集中且形態(tài)相似，S1S2TCP數(shù)據(jù)流量波動較小且波動變化相似，即12。而Pxstand|S3的分布范圍更廣Pxstand|S1Pxstand|S2有明顯區(qū)別，表明場景S3基于三種網(wǎng)絡(luò)場景中TCP數(shù)據(jù)流量概率分布的形態(tài)，可以推斷在xstand樣一個(gè)區(qū)間CIstandCILowerCIUpper

，使得Pxstand|S1Pxstand|S2落在該區(qū)間之 stand的概率較小，而Pxstand|S3落在該區(qū)間之外的概率較大。根據(jù)xstand的規(guī)范化Px|Si1,23在區(qū)間CI

CILower,

CIUpper

上具有相同的性 i Interval，CI量，都可以根據(jù)相關(guān)公式構(gòu)建出相應(yīng)的置信區(qū)間CI，進(jìn)而度量TCP數(shù)據(jù)流量分布的偏離程度，從而判斷網(wǎng)絡(luò)中是否發(fā)生了LDoS。LDoS導(dǎo)致TCP數(shù)據(jù)流量大小異常變化的分由3.1節(jié)的討論可知，LDoS的方式使得場景S3中TCP數(shù)據(jù)流量和數(shù)據(jù)流量的波動程度與場景S1和場景S2中截然不同。在相同的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)流量背景下，這種波動程度的不同，將導(dǎo)致三種網(wǎng)絡(luò)場景中平均TCP數(shù)據(jù)流量大小不同。為討論問題方便將場景S3與場景S1中平均TCP數(shù)據(jù)流量大小差異稱為LDoS導(dǎo)致TCP數(shù)據(jù)流量大小的“異常變化”。為便于比較這三種網(wǎng)絡(luò)場景中TCP數(shù)據(jù)流量和數(shù)據(jù)流量大小的變化情況，課題以單位時(shí)間內(nèi)TCP數(shù)據(jù)包數(shù)量和數(shù)據(jù)包數(shù)量分別作為TCP數(shù)據(jù)流量和(a)場景S1中TCP數(shù)據(jù)流 (b)場景S1中數(shù)據(jù)流(c)場景S2中TCP數(shù)據(jù)流 (d)場景S2中數(shù)據(jù)流(e)場景S3中TCP數(shù)據(jù)流量 (f)場景S3中數(shù)據(jù)流量圖3.4三種網(wǎng)絡(luò)場景中TCP數(shù)據(jù)流量和數(shù)據(jù)流量頻數(shù)統(tǒng)計(jì)21bag/s~25bag/s，且為24bag/s的次數(shù)最多，即在流量值較大處的頻數(shù)很高，而數(shù)據(jù)流量全部為0，表明該場景中TCP數(shù)據(jù)流量維持在一定的較高水平，而數(shù)極低，而數(shù)據(jù)流量極高。從圖3.4(e)和圖3.4(f)中可以看到，場景S3中TCP數(shù)均TCP數(shù)據(jù)流量較低，平均數(shù)據(jù)流量較低。由此得到三種網(wǎng)絡(luò)場景中某個(gè)觀測時(shí)間窗內(nèi)TCP數(shù)據(jù)流量和數(shù)據(jù)流量的圖3.5三種網(wǎng)絡(luò)場景中TCP數(shù)據(jù)流量和數(shù)據(jù)流量均從圖3.5可以看出，場景S1中TCP數(shù)據(jù)流量均值最大，而無流量，TCP數(shù)S1中的平均TCP數(shù)據(jù)流量。同時(shí)，數(shù)據(jù)流量均值處于一個(gè)較低水平，其小于場本章小本章描述了LDoS發(fā)生時(shí)TCP流量在分布形態(tài)和大小變化方面體現(xiàn)出來的量所體現(xiàn)出來的這兩種特征，提出了三種網(wǎng)絡(luò)場景，基于這三種網(wǎng)絡(luò)場景，詳細(xì)論述了多種情況下TCP流量的分布和大小變化的形態(tài)，并通過對比與分析，給出了LDoS所導(dǎo)致的TCP流量的異常分布和大小異常變化?；赥CP數(shù)據(jù)流量異常特征的LDoS檢測方這兩種異常特征，提出基于TCP數(shù)據(jù)流量異常分布的LDoS檢測方法和基于TCP數(shù)據(jù)流量大小異常變化的LDoS檢測方法。同時(shí)將給出相應(yīng)檢測準(zhǔn)則的定義，相關(guān)定定義4.1檢測結(jié)果與實(shí)際值之間的一致性程度稱為檢測準(zhǔn)確度。設(shè)在某次檢測中，總的檢測次數(shù)為M，M次檢測中檢測出LDoS的次FDRHL M,MDRIJ M基于TCP數(shù)據(jù)流量異常分布的LDoS檢LDoS導(dǎo)致的TCP數(shù)據(jù)流量異常分布的度據(jù)3.2.1對oS的TP下TP數(shù)據(jù)流生oS時(shí)TPPTP數(shù)據(jù)流量取樣并進(jìn)行統(tǒng)計(jì)分析。一般情況下，在取樣數(shù)據(jù)中往往疊加有一定程度的噪聲，為了消弱噪聲對分析結(jié)果的影響，需要對取樣數(shù)據(jù)進(jìn)行平滑處理?；赥P數(shù)據(jù)流量的長相關(guān)性[3]的TP數(shù)據(jù)流量（ExponntilihtedovevrgE）[37][38]算法可兼顧統(tǒng)計(jì)對象的時(shí)域和頻域特征，并且其統(tǒng)計(jì)值是統(tǒng)計(jì)對象樣本的一分布，EWMA算法表達(dá)如式4.3所示。EWMAi1Mi11EWMAi EWMAi1i+1Mi+1i+1λ的增大，越“新”的數(shù)據(jù)所占的比例越大，時(shí)效性越強(qiáng)，反之越弱；另一方面，λEWMA算法平滑實(shí)際觀測值突變的能力，WSNTsEWMA4.3n NEWMAi1WiMi1 N NWii個(gè)樣本觀測值權(quán)值，且滿足Wi1。EWMAEWMA0=M0，M0為歷史觀測值的平均4.34.4EWMA統(tǒng)計(jì)值由當(dāng)前的樣本觀測值和上一次樣本的EWMA統(tǒng)計(jì)值共同EWMA算法在TCP數(shù)據(jù)流量處理上的時(shí)域λ來設(shè)置歷史觀測值對當(dāng)前統(tǒng)計(jì)值的影響程度以及平滑TCP數(shù)據(jù)流量的細(xì)微波動，本文使用EWMA算法來平滑TCP數(shù)據(jù)流量CI的計(jì)算如式4.5所示。CI[kT 2kT /2] 其中μ為待檢測網(wǎng)絡(luò)數(shù)據(jù)流量（稱為“測試數(shù)據(jù)”）中TCP數(shù)據(jù)流量樣本統(tǒng)值均值，σT為未發(fā)生LDoS時(shí)網(wǎng)絡(luò)數(shù)據(jù)流量（稱為“訓(xùn)練數(shù)據(jù)中TCP數(shù)據(jù)LDoS時(shí)，TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)值落在置信區(qū)間CI之外的概率較小，若落在置信區(qū)間CI之外的EWMA統(tǒng)計(jì)值超過一定的概率，則表示TCP數(shù)據(jù)流量分布發(fā)生了偏離，且落在置信區(qū)間CI之外的EWMA統(tǒng)計(jì)值越多，偏離程度越高。4.5CIkσT和權(quán)λkσTλ決4.1kσT的情況下，λ0.1（增加步長為0.1）時(shí)，置信區(qū)間CI區(qū)間大小的變化情況。圖4.2給出了在給定權(quán)重λ和訓(xùn)練數(shù)據(jù)標(biāo)σT的情況下，k分別取16（增加步長1）時(shí)置信區(qū)間CI的區(qū)間大小的變化情況。4.1kσT的情況下，隨著權(quán)重λCI4.2可以看到，給定權(quán)重算子λ和訓(xùn)練數(shù)據(jù)σT的情況下，隨著置信算子k的增大，置信區(qū)間CI區(qū)間大小逐同時(shí)，根可知，權(quán)λ也密切關(guān)系著度TCP數(shù)λEWMATCP數(shù)TCP數(shù)據(jù)流量變化的時(shí)效性。另一方面，權(quán)λEWMA算法“平滑”TCP數(shù)據(jù)流量的程度。λEWMA統(tǒng)中的“噪音”；λ過小，則容易“弱化”LDoS導(dǎo)致的“異?！盩CP數(shù)據(jù)流量變λTCP3.2.1λS1S3中取不同值時(shí)EWMA統(tǒng)計(jì)值分布情況。1， 2.

22.176211246281(aλ=0.1，CI之間的EWMA322個(gè)，(bλ=0.2，CI之間的EWMA324CI之外的EWMA統(tǒng)計(jì)值有28 CI之外的EWMA統(tǒng)計(jì)值有26(cλ=0.3，CI之間的EWMA326個(gè)，(dλ=0.4，CI之間的EWMA323CI之外的EWMA統(tǒng)計(jì)值有24 CI之外的EWMA統(tǒng)計(jì)值有27CI之外的EWMA統(tǒng)計(jì)值有32 CI之外的EWMA統(tǒng)計(jì)值有29λ=0.7，CI之間的EWMA326個(gè)，(hλ=0.8，CI之間的EWMA325CI之外的EWMA統(tǒng)計(jì)值有24 CI之外的EWMA統(tǒng)計(jì)值有25CI之外的EWMA統(tǒng)計(jì)值有23個(gè) CI之外的EWMA統(tǒng)計(jì)值有18個(gè)圖4.3網(wǎng)絡(luò)中不存在任何，λ取不同值時(shí)TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)值分布情況CI之外的EWMA統(tǒng)計(jì)值有122 CI之外的EWMA統(tǒng)計(jì)值有158CI之外的EWMA統(tǒng)計(jì)值有184 CI之外的EWMA統(tǒng)計(jì)值有208CI之外的EWMA統(tǒng)計(jì)值有215 CI之外的EWMA統(tǒng)計(jì)值有218(g)λ=0.7，CI之間的EWMA128個(gè)，(hλ=0.8，CI之間的EWMA130CI之外的EWMA統(tǒng)計(jì)值有222 CI之外的EWMA統(tǒng)計(jì)值有220CI之外的EWMA統(tǒng)計(jì)值有217個(gè) CI之外的EWMA統(tǒng)計(jì)值有198個(gè)圖4.4網(wǎng)絡(luò)中發(fā)生LDoS，λ取不同值時(shí)TCP流量EWMA統(tǒng)計(jì)值分布情況CIEWMA統(tǒng)計(jì)值的差值增加，即隨著λ的增大，EWMA統(tǒng)計(jì)值的“變化”越來越劇烈。從圖4.4中可以看出，網(wǎng)絡(luò)中發(fā)生LDoS時(shí)，CI之間的EWMA統(tǒng)計(jì)值較少（圖中CI之間的平均EWMA統(tǒng)計(jì)值有153.8個(gè)I之外的EWMA統(tǒng)計(jì)值較多（CIEWMA169.2個(gè)。同時(shí)，隨著權(quán)重算子EWMAλ4.4CIEWMAλ=0.7CI之外的EWMA統(tǒng)計(jì)值先大幅增大后略微減小，且在λ=0.7時(shí)達(dá)到最大值。4.5TCPk也密kS1和場S3中取EWMA統(tǒng)計(jì)值分布情4.54.6分別給出了在給λ和訓(xùn)σT的情況下，置信算子k分別取1到6（增加步長為1）時(shí)，網(wǎng)絡(luò)中不存在任何時(shí)和存在時(shí)，TCPEWMA 23 176211246281(ak=1，CIEWMA207個(gè)，(b)k=2，CIEWMA297CI之外的EWMA統(tǒng)計(jì)值有143 CI之外的EWMA統(tǒng)計(jì)值有53k=3，CIEWMA327(dk=4，CIEWMA341CI之外的EWMA統(tǒng)計(jì)值有23 CI之外的EWMA統(tǒng)計(jì)值有9EWMA176211246281(ek=5，CIEWMA347(fk=6，CIEWMA349CI之外的EWMA統(tǒng)計(jì)值有3個(gè) CI之外的EWMA統(tǒng)計(jì)值有1個(gè)圖4.5網(wǎng)絡(luò)中不存在任何，k取不同值時(shí)TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)值分布情況CI之外的EWMA統(tǒng)計(jì)值有307 CI之外的EWMA統(tǒng)計(jì)值有275(ck=3，CIEWMA133(dk=4，CIEWMA194CI之外的EWMA統(tǒng)計(jì)值有217 CI之外的EWMA統(tǒng)計(jì)值有156(ek=5，CI之間的EWMA256(fk=6，CIEWMA298CI之外的EWMA統(tǒng)計(jì)值有94個(gè) CI之外的EWMA統(tǒng)計(jì)值有52個(gè)圖4.6網(wǎng)絡(luò)中發(fā)生LDoS，k取不同值時(shí)TCP流量EWMA統(tǒng)計(jì)值分布情況（圖CI之間的平EWMA統(tǒng)計(jì)值311.3個(gè)CI之外EWMA統(tǒng)計(jì)值（圖CIEWMA38.7個(gè)λ的的增大，CI之間EWMA統(tǒng)計(jì)值逐漸增多CI之外EWMA統(tǒng)計(jì)值逐漸減少4.6中可以看出，網(wǎng)絡(luò)中發(fā)生LDoS時(shí)，CI之間的EWMA統(tǒng)計(jì)值較少（圖中CI之間的EWMA統(tǒng)計(jì)值166.5個(gè)）CI之外EWMA統(tǒng)計(jì)值較多（CI之外的平EWMA統(tǒng)計(jì)值183.5個(gè)且隨著權(quán)重算子λ的的增大，CI之間的EWMA統(tǒng)計(jì)值逐漸增多，相應(yīng)CI之外的EWMA4.7所示。0

發(fā)生

0

發(fā)生 (a)CI之間的EWMA統(tǒng)計(jì)值數(shù)比例變化情況 (b)CI之外的EWMA統(tǒng)計(jì)值數(shù)比例變化情況圖4.7k取不同值時(shí)EWMA統(tǒng)計(jì)值在置信區(qū)間CI上的分布情況λ∈[0.7,1LDoS導(dǎo)致的TCP數(shù)據(jù)流量異常分布的判檢測準(zhǔn)則的定義S1S2中，TCPEWMACICI的概率較低。在CICITCPEWMA統(tǒng)計(jì)值TCP數(shù)據(jù)流EWMA統(tǒng)計(jì)反之TCP數(shù)據(jù)流EWMA統(tǒng)計(jì)TCPEWMA統(tǒng)計(jì)值的獲取方式可知，每個(gè)觀測時(shí)間窗對應(yīng)一條iF(i)i,xEWMA，其中i為正整 i根據(jù)EWMA統(tǒng)計(jì)點(diǎn)的定義，“正常TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)值”為“正常EWMA統(tǒng)計(jì)點(diǎn)異常TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)值為“異常EWMA4.4所述。iii之間，則稱之為正EWMA統(tǒng)計(jì)點(diǎn)（NormalPoint,NP，xEWMA處于置信區(qū)iPoint,APNP、AP集合表達(dá)式分別如式4.7和式4.8所示。/2 NPi, | xEWMA //2 /2 |xEWMAk orxEWMAk /2 4.8TCPEWMA統(tǒng)計(jì)點(diǎn)中AP和NP由4.2.1節(jié)的分析可知，若網(wǎng)絡(luò)中未發(fā)生LDoS，則AP的比例較小，而若AP的比例較大（超過一定數(shù)值TCPAP越的可能性越高。但僅根據(jù)AP的比例來判斷發(fā)生LDoS會產(chǎn)生漏判和誤判， 未發(fā)生LDoS時(shí)

txEWMA仍然有一定的概率處于置信區(qū)間之其它TCP數(shù)據(jù)流量的劇變根據(jù)對TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)點(diǎn)的分析可知，網(wǎng)絡(luò)中不存在任何時(shí)，TCPCIAP的概率較小，而網(wǎng)絡(luò)中發(fā)生LDoS時(shí)，TCP數(shù)據(jù)流量頻繁的越過置信區(qū)間，連續(xù)出現(xiàn)AP的概率較大，因此，可通過連續(xù)出現(xiàn)AP的概率判定是否發(fā)生LDoS，如定義4.5所述。定義4.5APAP鏈（LAP，LAPLAP4.9LAP{APi,APi1,APi2,...|i為正整數(shù) P11={AP27,AP28}S1S2S3400TCP數(shù)據(jù)流量樣本進(jìn)行4.114.12圖4.10給出了場景S1中某個(gè)觀測時(shí)間窗內(nèi)TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)點(diǎn)示意圖圖4.11給出了場景S2中某個(gè)觀測時(shí)間窗內(nèi)TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)點(diǎn)示意圖。4.11S2中TCPEWMA4.11NP的數(shù)量400個(gè)，AP的數(shù)0個(gè)，LAP的數(shù)量0條，LAP比例為0%，NP的比例為100%。場景S2中其它使得TCP數(shù)據(jù)流量極低，且TCP數(shù)TCP數(shù)據(jù)流量始終在一定CIEWMA統(tǒng)計(jì)值較少，即AP較少，相應(yīng)LAP也較少，NP較多。圖4.12給出了場景S3中某個(gè)觀測時(shí)間窗內(nèi)TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)點(diǎn)示意圖比例為23%，而NP的比例為36.5%。由于LDoS導(dǎo)致的TCP數(shù)據(jù)流量劇烈波動，從而使得“越過”置信區(qū)間CI的EWMA統(tǒng)計(jì)值較多，即AP較多，相應(yīng)LAP也較多，NP相對較少。TCPEWMA統(tǒng)計(jì)點(diǎn)的分布特點(diǎn)和NP、APLAP的統(tǒng)計(jì)情況，給出檢測準(zhǔn)則1。檢測準(zhǔn)1（JC1）TCPEWMALAP其中ΛaΛb稱為EWMA檢測算子，它們是通過對訓(xùn)練數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析獲取檢測準(zhǔn)則相關(guān)參數(shù)的取值分析檢測準(zhǔn)則1中EWMA檢測算子Λa和Λb的取值關(guān)系著檢測LDoS的準(zhǔn)確度。為保證檢測準(zhǔn)則1的檢測準(zhǔn)確度，Λa和Λb需設(shè)定適當(dāng)?shù)闹?。LDoS判斷的準(zhǔn)確度包括以下兩個(gè)方面：（1）能夠“”網(wǎng)絡(luò)中未受任何時(shí)TCP數(shù)據(jù)流量上的細(xì)微波動，能夠識別其它導(dǎo)致的TCP數(shù)據(jù)流量的異常分布，降低誤判率；（2）能夠準(zhǔn)確檢測出的LDoS，降低漏判率。根據(jù)LDoS原理可知，“標(biāo)準(zhǔn)”的LDoS是每當(dāng)TCP數(shù)據(jù)流量恢復(fù)到一定程度時(shí)又立刻使其突降到最低同時(shí)基于3.2.1節(jié)對LDoS導(dǎo)致的TCP數(shù)據(jù)流量異常分布的分析可知，“標(biāo)準(zhǔn)”的LDoS發(fā)生時(shí)，TCP數(shù)據(jù)流量的損失比例PThrough如式4.10所示。表明TCP數(shù)據(jù)流量落在置信區(qū)間之外的比PThrough，即 所有的EWMA統(tǒng)計(jì)點(diǎn)中AP的比例PThrough，NP的比例為1PThrough

2RTTavg

attack當(dāng)給定等時(shí)間獲取觀測值的時(shí)間間隔和樣本容量n時(shí)，在一個(gè)周期 Tattack內(nèi)可得到attack個(gè)觀測值，相應(yīng)可得到 n內(nèi)必然存在至少2條P①TCP數(shù)據(jù)流量受LDoS影響而突降到最小值數(shù)據(jù)流量逐步恢復(fù)至下一 脈沖到達(dá)前的最大值，則LAP的比例為2nTheoretical=2 TaT

2RTTavg attack

a背景流量下反復(fù)實(shí)驗(yàn)從而獲取多組測試數(shù)據(jù)來獲取相應(yīng)的“實(shí)驗(yàn)Experimental和a。。段和不同網(wǎng)絡(luò)流量背景下，TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)點(diǎn)的統(tǒng)計(jì)情況。4.1不同觀測時(shí)間窗內(nèi)TCP數(shù)據(jù)流量的EWMA123456078華技大學(xué)華技大學(xué)9000ab從表4.1可以看出，LAP所占比例的最大值為3.6%，最小值為0%，去掉重復(fù)值 =75.3%。ab4.134.14aΛa=[abΛb=[b

,Theoretical ab,Theoretical ab基于TCP數(shù)據(jù)流量大小異常變化的LDoS檢測LDoS導(dǎo)致的TCP數(shù)據(jù)流量大小異常變化的度據(jù)流量大小變化的比較分析可知，發(fā)生LDoS時(shí)，TCP數(shù)據(jù)流量及數(shù)據(jù)流數(shù)據(jù)流量大小變化和數(shù)據(jù)流量大小變化截然不同，本文將這種變化稱為LDoS（明“系統(tǒng)”的變化方向。本文基于“熵差”的這個(gè)特性，通過使用“熵差”觀測TCP數(shù)據(jù)流量及LDoS數(shù)據(jù)流量大小異常變化的方法來檢測LDoS。華華為便于討論，本文提出了與“熵”的計(jì)算及TCP數(shù)據(jù)流量和數(shù)據(jù)流量大小定義4.7發(fā)生時(shí)數(shù)據(jù)流量均值的熵值稱為代價(jià)Sc。定義4.8效果與代價(jià)的差值稱為效能S。設(shè)LDoS數(shù)據(jù)類型為X，LDoS發(fā)生前TCP數(shù)據(jù)流量平均值為V1，X數(shù)據(jù)流量的平均值為U1。LDoS發(fā)生時(shí)TCP數(shù)據(jù)流量平均值為V2，X數(shù)據(jù)流量的平均值U2，則Se、ScS的表達(dá)式分別4.15~4.17所示，式V1-V2>0且SeSc

g

V1 U2 S=Se-Sc=log2(V1-U2-

其中U2-U1表示發(fā)生時(shí)，X數(shù)據(jù)增加的流量“數(shù)據(jù)流量從式4.15~式4.17可以看出，效能越高，表示達(dá)到相同的效果者所付出的代價(jià)越小，的隱蔽性越強(qiáng)。同時(shí)，效能越高，者付出相同的代價(jià)時(shí)圖4.13給出了在網(wǎng)絡(luò)環(huán)境給定的情況下LDoS的效能與LDoS參數(shù)（攻擊周期Tattack、脈沖持續(xù)時(shí)間Lattack和脈沖強(qiáng)度Rattack）的關(guān)系。當(dāng)前網(wǎng)絡(luò)環(huán)境中最小超時(shí)重傳時(shí)間RTOmin=1s，平均往返時(shí)延RTTavg=0.03s，鏈路瓶頸帶寬(a)Lattack=0.03s，Rattack=20Mbps時(shí)(b)Tattack=1s，Rattack=20Mbps時(shí)(c)Tattack=1s，Lattack=0.032sSTattack之間的關(guān)系SLattack之間的關(guān)系SRattack從圖4.13中可以看到，當(dāng)參數(shù)對應(yīng)圖4.13(a)中的Tattack=0s表明網(wǎng)絡(luò)中還未Lattack=0.01s、Rattack=20Mbps時(shí) Lattack表明網(wǎng)絡(luò)中間隔很長時(shí)間才發(fā)生S2S=-0.074.13LDoS參數(shù)取值，相應(yīng)S的值皆大于0。尤其是當(dāng)Tattack=1s、Lattack=0.032s、Rattack=19Mbps時(shí)，效能達(dá)到最大，此時(shí)S=1.37。綜上所述，在場景S1中，網(wǎng)絡(luò)中不存在任何，一般情況下TCP數(shù)據(jù)流量和但兩者的差別較小，從而得到的效能較低。在場景S3中，LDoS通過間歇X數(shù)據(jù)流量增加的程度相對較低，則Se大于Sc且兩者之間差別較大，效能較高。即未發(fā)生LDoS（場景S1和場景S2）時(shí)，效能較低，而發(fā)生LDoS攻擊（場景S3）時(shí)，則效能較高，同時(shí)LDoS參數(shù)越接近于“標(biāo)準(zhǔn)”LDoS攻SS2SS3SS1<SS2<0<SS3。LDoS導(dǎo)致的TCP數(shù)據(jù)流量大小異常變化的判檢測準(zhǔn)則的定義根據(jù)4.3.1節(jié)的討論可知，LDoS通常以較低的數(shù)據(jù)流量導(dǎo)致目中TCP數(shù)據(jù)流量大幅度降低，即以較低的代價(jià)獲得相對較高的效果，效能高，這是LDoS與其它明顯不同的特征，由此本文給出與效能相關(guān)的檢測準(zhǔn)則2。檢測準(zhǔn)則2（JC2）若一個(gè)觀測時(shí)間窗內(nèi)效能S≥Λc，則當(dāng)前觀測時(shí)間窗內(nèi)可能發(fā)生LDoS。其中，Λc稱為“效能檢測算子”，為一個(gè)事先給定的常數(shù)檢測準(zhǔn)則相關(guān)參數(shù)的取值分析證檢測準(zhǔn)則1的檢測準(zhǔn)確度，Λc需設(shè)定一個(gè)適當(dāng)?shù)闹怠８鶕?jù)4.3.1節(jié)的分析可知，LDoS是以較低的代價(jià)換取相對較高的效果，從而保證的“隱蔽性”和“破壞性”。而其它基于“壓力”的方式則是以數(shù)據(jù)流量“換取”TCP數(shù)據(jù)流量，從而以較高的代價(jià)換取近似相等的效果，這是LDoS與它們不同的地方。因此，設(shè)想一種極限情況，若某些因素（如參數(shù)不合理，網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化）導(dǎo)致LDoS無法觸發(fā)TCP/IP擁以高強(qiáng)度的數(shù)據(jù)流量占用網(wǎng)絡(luò)資源，導(dǎo)致TCP數(shù)據(jù)流量極低，此時(shí)數(shù)據(jù)流量的增加量和TCP數(shù)據(jù)流量的減少量近似相等，即效果等于代價(jià)，因此取為檢測Λc=0的準(zhǔn)確度，本文對Drappa99數(shù)據(jù)集進(jìn)試。選取Drappa99數(shù)據(jù)集的1nd-Tu-outside數(shù)據(jù)（該數(shù)據(jù)無任何）中0~5000ms的數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，時(shí)間窗內(nèi)的TCP數(shù)據(jù)流量均值和UDP數(shù)據(jù)流量均值作為V1和U1的取值，即V1=1339.2B/s和U1=761.4B/s。取1nd-Tu-outside數(shù)據(jù)中除0~5000ms外的數(shù)據(jù)和5nd-mon-outside數(shù)據(jù)（該數(shù)據(jù)存在多種）為測試數(shù)據(jù)，從測試數(shù)據(jù)中隨機(jī)選取20組時(shí)長為LSW的數(shù)據(jù)進(jìn)試。如表4.2所示4.2Drappa99數(shù)據(jù)集V1-U2---------------S--------------從表4.2可以看出，網(wǎng)絡(luò)中發(fā)生LDoS時(shí)，效能S>0，因此取效能檢測算子Λc=0可以準(zhǔn)確檢測出網(wǎng)絡(luò)中是否發(fā)生LDoS。檢測方檢測流程4.24.3TCP判斷：基于本文檢測準(zhǔn)則對度量結(jié)果進(jìn)行判斷在數(shù)據(jù)流量采樣階段，需要分別對訓(xùn)練數(shù)據(jù)和測試數(shù)據(jù)中的TCP數(shù)據(jù)流量和攻擊數(shù)據(jù)流量進(jìn)行采樣，以獲得相應(yīng)的參數(shù)。本文將TCPFlags標(biāo)識為“0x18”和“0x10TCPTCP數(shù)據(jù)，可認(rèn)為這些數(shù)據(jù)是合法且有效載荷。無法簡單的從網(wǎng)絡(luò)數(shù)據(jù)中區(qū)分出數(shù)據(jù)，因此本文將所有除合法且有效的TCP數(shù)與“0x18”的TCP數(shù)據(jù)作為數(shù)據(jù)。TCP數(shù)據(jù)包數(shù)量和其他數(shù)據(jù)包數(shù)量內(nèi)，以等時(shí)間獲取觀測值的時(shí)間間隔TCP 、 和 test 、 和 Otran{Itran|i1,2,

和

tran|i1,2, test|i1,2, test|i1,2, II

T1 K T1 TP2 EWMA統(tǒng)計(jì)值序列xtranxtranT1 K T1 TP2 T1 TPTP2 T1 K,,,xtranxtran,xtran的標(biāo)準(zhǔn)σT和xtestT1 TPTP2 T1 K,,,EWMA統(tǒng)計(jì)值序列

，根據(jù)4.7、式4.84.9NP根據(jù)式4.18和式4.20中的觀測值序列Otran和Otest分別獲取式4.15中的前 中的觀測值序列Otran和Otest分別獲取式4.16中的前其他平均數(shù)據(jù)流量U1和 根據(jù)3.1節(jié)的討論可知網(wǎng)絡(luò)中未發(fā)生LDoS時(shí)合法TCP平均數(shù)據(jù)流量大于網(wǎng)絡(luò)中發(fā)生LDoS時(shí)合法TCP平均數(shù)據(jù)流量，并且網(wǎng)絡(luò)中發(fā)生LDoS時(shí)平均數(shù)據(jù)流量大于網(wǎng)絡(luò)中未發(fā)生LDoS時(shí)平均數(shù)據(jù)流量，由此本文給出檢測LDoS的檢測前提。檢測前V1—V2>0U2—U1>0時(shí)，當(dāng)前觀測時(shí)間窗內(nèi)才可能發(fā)生LDoS。V1—V2>0U2—U1>04.17生LDoS。檢測算法根據(jù)4.4.1節(jié)的檢測流程，我們建立檢測LDoS的算法，如算法4.1所示，其處理流程圖如圖4.14所示。的時(shí)間間隔，樣本容量n，置信算子k，檢測算子Λa、ΛbΛc //獲得訓(xùn)練數(shù)據(jù)的TCP數(shù)據(jù)觀測值序列Otran和其它數(shù)據(jù)觀測值序列 1Otran=SamplingTCP（DATAtrans，2 //計(jì)算Otran的EWMA統(tǒng)計(jì)值，得到統(tǒng)計(jì)值序列{xtran}，表示為[xtran [xtran]=EWMA（Otran4

σT=Calculateσ（OtranV1=Avg（Otran8U1=Avg（Otran //初始化時(shí)刻twhile（True）//檢測永不停止9//Otest和其它數(shù)據(jù)觀測值序列 OO

=SamplingTCP（DATAtest，華華V2=Avg（OtestU2=Avg（Otestif（V1V2>0andU2U1>c

e cif（JC1=TrueandJC2=True）then

endwhile檢測算法復(fù)雜度分LDoS檢測算法復(fù)雜度分析如下采樣數(shù)據(jù)流量，對于給定的觀測時(shí)間窗時(shí)長TS和等時(shí)間獲取觀測值的時(shí)間間隔4.18~4.21，假設(shè)獲取的觀測值數(shù)量為N，則最低空間和時(shí)間復(fù)雜度皆為O（N）。4.3的數(shù)據(jù)為計(jì)算樣本觀測值的EWMA統(tǒng)計(jì)值，且運(yùn)算量大小和獲得的統(tǒng)計(jì)值數(shù)量依賴于步驟Ⅰ的觀測值數(shù)量N，因此最低空間和時(shí)間復(fù)雜度皆為O（N）。觀測值的度量均是線性計(jì)算，需要的數(shù)據(jù)僅為計(jì)算獲得的NP、LAP和效能等參數(shù)，因此最低空間為O（1），運(yùn)算量大小與觀測值數(shù)量N線性相關(guān)，因此時(shí)間復(fù)雜度為O（N）。根據(jù)給定的參數(shù)對步驟Ⅲ中獲得的參數(shù)進(jìn)行判斷，僅做比較分析且僅需相關(guān)檢測算子，則最低空間和時(shí)間復(fù)雜度皆為O（1）。根據(jù)以上分析，本文算法的空間復(fù)雜度和時(shí)間復(fù)雜度皆和觀測值數(shù)量基于相同觀測值數(shù)量N，表4.3中描述了其它幾種LDoS檢測方法的時(shí)間復(fù)表4.3多種LDoS檢測算法復(fù)雜度比 O（N） O O O（N從表4.3中可以看到，本文檢測方法在算法復(fù)雜度上具有一定的優(yōu)勢華華該LDoS檢測方法，計(jì)算簡單（算法復(fù)雜度低），所需資源少（僅需一個(gè)本章小LDoS發(fā)生時(shí)，TCP數(shù)據(jù)流量會出現(xiàn)“異常分布”和“大小異常變化”兩種異常特征。本章基于第三章三種網(wǎng)絡(luò)場景，首先通過移動平均算法對多種情況下TCP數(shù)據(jù)流量的分布進(jìn)行度量，然后通過“熵差”對多種情況下合法TCP數(shù)據(jù)流量和數(shù)據(jù)流量大小的變化程度進(jìn)行比較，接著提出了相關(guān)的檢測準(zhǔn)則并TCP數(shù)據(jù)流量異常分布和TCP數(shù)據(jù)流量大小異常變化的LDoS檢測方法，并描述了檢測方法的時(shí)實(shí)驗(yàn)及結(jié)果分NS2模擬平臺構(gòu)建模擬實(shí)驗(yàn)和Drapp99數(shù)據(jù)集進(jìn)試，分別給出在網(wǎng)絡(luò)無和發(fā)生其它時(shí)NS- 模擬仿真實(shí)驗(yàn)及結(jié)果分析實(shí)驗(yàn)基于NS-2模擬平臺搭建實(shí)驗(yàn)體系，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)5.1所示5.15.1R1、R2R3R2為“關(guān)鍵路由器”，R2R3之間的TCPNewReno1s。路由器隊(duì)列管模擬時(shí)間為160s~340s，作為背景流量的TCP連接時(shí)間為160s~340s。LDoS參數(shù)分別為：Tattack=1.0s，Lattack={150,200,250}ms和Rattack={30,40}Mbps。觀測時(shí)間窗WS時(shí)長Ts=90s，數(shù)據(jù)包類型分別為UDP、ICMP和無效TCP實(shí)驗(yàn)序號Ⅰ號Ⅱ、FDoS（實(shí)驗(yàn)序號、LDoS（實(shí)驗(yàn)序號Ⅳ~Ⅸ。九組實(shí)驗(yàn)的具5.15.1 160~340s15TCP160~200s15TCPⅡ200~340s2條TCPⅢ160~340s15TCPⅣ160~340s15TCPⅤ160~340s15TCPⅥ160~340s15條TCPⅦ160~340s15條TCP無效Ⅷ160~340s15條TCPⅨ160~340s15條TCP分別以上九組實(shí)驗(yàn)中每組實(shí)驗(yàn)的TCP數(shù)據(jù)流量的EWMA統(tǒng)計(jì)點(diǎn)分布情況，如圖5.2所示，其中考慮到檢測的靈敏度以及均衡誤判率和漏判率，設(shè)置權(quán)重算子λ=0.9，置信算子k=3。實(shí)驗(yàn)Ⅳ~Ⅸ的TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)點(diǎn)示意圖5.2九組實(shí)驗(yàn)的TCPEWMA統(tǒng)計(jì)點(diǎn)示意圖4.2Λa5.71%、Λb70%Λc00s,250s]WS2[250s,340s]，如圖5.2中所示，則九組實(shí)驗(yàn)共獲得Ⅰ-WS1、Ⅰ-2、Ⅱ-WS1、Ⅱ-WS216600個(gè)合TCP600EWMA統(tǒng)計(jì)點(diǎn)，各觀測TCPEWMANPLAP5.2所示。5.2 PEWMA個(gè) AP個(gè) NP百分比 LAP百分比30000100063圖5.3所示。5.3各觀測時(shí)間窗內(nèi)EWMALAP九組實(shí)驗(yàn)各觀測時(shí)間窗內(nèi)TCP數(shù)據(jù)流量EWMA統(tǒng)計(jì)點(diǎn)中NP比例分布情況如5.45.4各觀測時(shí)間窗內(nèi)EWMANP代價(jià)、效能統(tǒng)計(jì)情況如表5.3所示。0---0--0--0--9九組實(shí)驗(yàn)各觀測時(shí)間窗內(nèi)合法TCP數(shù)據(jù)流量和數(shù)據(jù)流量分布如圖5.5所示實(shí)驗(yàn)各觀測時(shí)間窗內(nèi)效果和代價(jià)示意如圖5.6圖5.6各觀測時(shí)間窗內(nèi)效果和代九組實(shí)驗(yàn)各觀測時(shí)間窗內(nèi)效能分布情況如圖5.7所示圖5.7各觀測時(shí)間窗內(nèi)效生LDoS，T代表發(fā)生LDoSⅠⅡⅢⅣⅤFFFFFFTTTTNP例FFTFTFTTTTFFFFFFTTTTFFFFFFTTTTFFFFFFTTTTLDoS攻FFFFFFTTTTⅥⅦⅧⅨLAP的比例FTTTTTFTNP的比例TTTTTTTTTTTTTTFTFTTTTTFTTTTTTTTTFTTTTTFT從圖5.3、圖5.4和圖5.7的實(shí)驗(yàn)檢測結(jié)果分布圖和表5.4的判斷結(jié)果可以看出，網(wǎng)絡(luò)中不存在時(shí)（觀測窗Ⅰ-WS1、Ⅰ-WS2、Ⅱ-WS1和Ⅱ-WS2，判斷結(jié)果WS2，沒有發(fā)生誤判。在發(fā)生LDoS的后六組實(shí)驗(yàn)中，前一個(gè)觀測窗在[160s~200s）內(nèi)不存在，在200s時(shí)刻開始發(fā)生LDoS，后一個(gè)觀測窗內(nèi)持續(xù)存在LDoS攻-WS1）可以檢測出LDoS，但少數(shù)觀測窗（本次實(shí)驗(yàn)為兩個(gè)觀測窗Ⅵ-WS1和Ⅶ-WS2、Ⅷ-WS2和Ⅸ-WS2判斷結(jié)果顯示該六個(gè)觀測窗皆發(fā)生了LDoS，LDoS發(fā)生初期產(chǎn)生漏判的主要原因在于這兩個(gè)觀測時(shí)間窗中的LDoS處于起始階段，且脈沖持續(xù)時(shí)間相對較長（Lattack=250ms，觀測時(shí)間窗中前半部分[160s~200s）和后半部分[200s~250s]的合TCP數(shù)據(jù)流量均值差別很大，從而使得觀測時(shí)間窗內(nèi)每個(gè)AP鏈中的AP數(shù)量增多而AP鏈數(shù)量減少，這種特征類似于FDoS，導(dǎo)致無法檢測出LDoS，從而產(chǎn)生漏判。 數(shù)據(jù)集測試實(shí)驗(yàn)及結(jié)果分析本次實(shí)驗(yàn)主要評測本文檢測方法對除LDoS之外其它類型的誤第三周的數(shù)據(jù)為訓(xùn)練數(shù)據(jù)集，第四周和第五周的數(shù)據(jù)為測試數(shù)據(jù)集。本次實(shí)驗(yàn)以DARPA99第一周周二inside數(shù)據(jù)集中的0s~7200s數(shù)據(jù)作一的inside數(shù)據(jù)為測試數(shù)據(jù)。第一周周二的inside數(shù)據(jù)集中不存在任何數(shù)據(jù)，第五周周一的inside數(shù)據(jù)集包含16種類型共84次。方法[41]5.5所示。檢測參數(shù)數(shù)σT=5.32,Λa Thresholdofra,rd/aandδf 600,2.506and5.8WS11523了Ditionry。Ditionry（motetoolattack在rp99的tony，每隔時(shí)延4試0ny錄（R2L，為于DoS，故而本文測方法將其斷為DoS。本章小NS2Drapp99數(shù)據(jù)集進(jìn)行了測試，分別計(jì)算了在網(wǎng)絡(luò)中無、網(wǎng)絡(luò)中存在其它和網(wǎng)絡(luò)中發(fā)生LDoS時(shí)的誤判率Vanguard總已完成工作LDoS是一種“基于協(xié)議”的DoS，與傳統(tǒng)的DoS相比，危害性更大、隱蔽性更強(qiáng)。由于LDoS的數(shù)據(jù)流量特征和對TCP數(shù)據(jù)流量的影響與傳統(tǒng)的DoS所呈現(xiàn)的相關(guān)特征有很大區(qū)別，使得傳統(tǒng)的DoS檢測方法對源消耗較高、實(shí)時(shí)性較弱以及對網(wǎng)絡(luò)環(huán)境的適應(yīng)度較問題。為探索出行之有效的LDoS檢測方法，本文具體完成了以下幾個(gè)方面的工作：TCP數(shù)據(jù)流量的分布形態(tài)，從而得出了在LDoS發(fā)生時(shí)TCP數(shù)據(jù)流量分布與其他情況下TCP數(shù)據(jù)流量分布得出了在LDoS發(fā)生時(shí)，合法TCP數(shù)據(jù)流量和數(shù)據(jù)流量的大小變化具有顯實(shí)驗(yàn)結(jié)果表明，本文給出的LDoS檢測方法誤判率和漏判率較低且優(yōu)Vanguard檢測算法下一步工作LDoS導(dǎo)致網(wǎng)絡(luò)流量的異常不僅僅表現(xiàn)于本文分布異常和流量大小異常這兩個(gè)方面，因此需要通過的實(shí)驗(yàn)和觀測，獲得的LDoS導(dǎo)本文對LDoS導(dǎo)致的網(wǎng)絡(luò)流量的兩個(gè)異常特征的處理和度量的 ．服務(wù)原理解析．技術(shù)研究與應(yīng)用 P.Ferguson,DSenie.NetworkIngressFiltering:DefeatingDenialofServiceAttacksWhichEmployIPSourceAddressSpoofing[R].RFC2827,2000 ， 斌．分布式服務(wù)研究新進(jìn)展綜述．電子學(xué)報(bào)（7：1562~1570KaiChen,LiuHuiYu,XiaoSuChen.DetectingLDoSAttacksbasedonAbnormalNetworkTraffic.KSIITransactionsonInternetandInformationSystems.2012,6(7):AleksandarKuzmanovic,EdwardW.Knightly.Low-rateTCP-targeteddenialofserviceattacks:theshrewvs.themiceandelephants.In: M'03Proceedingsofthe2003conferenceonApplications,technologies,architectures,andprotocolsforcomputercommunications.ACMNewYork,NY,USA:2003.GuirguisM，BestavrosA，MattaI．ExploitingthetransientsofadaptationforRoQattacksonInternetresources.In:Proceedingsofthe12thIEEEInternationalConferenceonNetworkProtocols.ICNP2004.Berlin，Germany:IEEE,2004.IReductionend-systems.In:Proceedingsof24thAnnualJointConferenceoftheIEEEComputerandCommunicationsSocieties. 2005.IEEE,2005.，等．低速率服務(wù)研究綜述．計(jì)算機(jī)科學(xué)與探索02(01)：1673~GabrielMF.Evaluationofalow-rateDoSattackagainstiterativeComputerNetworks,2007,51（4）:．AdHoc網(wǎng)絡(luò)擁塞檢測與控制的研究:[博士]．哈爾濱工業(yè)大學(xué)A.ShevtekarandN.Ansari.ARouter-BasedTechniquetoMitigateReductionofQuality（RoQ）Attacks.ComputerNetworks,2008,52（5）:957~970GabrielMaciá-Fernández,JesúsDíaz-Verdejo,PedroGarcía-Tro.LoRDAS:ALow-RateDoSAttackagainstApplicationServers.CriticalInformationInfrastructuresSecurity,2008,5141:197~209G.Maciá-Fernández,J.E.Díaz-Verdejo,P.Garcia-Tro.Evaluationofalow-rateDoSattackagainstapplicationservers.Comput.Security,2008,27:A.Shevtekar,J.Stille,N.Ansari.OntheimpactsoflowrateDoSattacksonVoIPtraffic.SecurityandCommunicationNetworks,2008,1（1）45~56A.Shevtekar,N.Ansari.DoLowRateDoSAttacksAffectQoSSensitiveVoIPTraffic?In:ProceedingofIEEEInternationalConferenceonCommunications.ICC'06.Istanbul:IEEE,2006.2153~2158ChenY,HwangK.CollaborativedetectionandfilteringofshrewDDoSattacksComputing20066（9：YuChen,KaiHwang,Yu-KwongKwok.FilteringofshrewDDoSattacksinfrequency.In:ProceedingsoftheIEEEConferenceonLocalComputerNetworks30th（LCN'05）.IEEEComputerSociety,Washington,DC,USA:Yu-KwongKwok,RohitTripathi,YuChen,KaiHwang.HAWK:HaltingAnomalieswithWeightedChokingtoRescueWell-BehavedTCPSessionsfromShrewDDoSAttacks.ComputerScience,2005,3619:423~432SFloyd,VJacobson.RandomEarlyDetectionGatewaysforCongestionIEEE/ACMTransactionsonNetworking,1993,1（4）:SAthuraliya,VHLi,SHLow,QYin.REM:ActiveQueueManagement.IEEENetwork,2001,15（3）:48~53吳志軍，