內(nèi)容參考設(shè)計

AThesisSubmittedinPartialFulfillmentoftheRequirementsfortheDegreeofMasterofEngineering：Kang：Computer：AssociateProf.XiaoHuazhongUniversityofScienceandTechnologyWuhan,Hubei430074,P.R.ChinaJan.,Service）具有相當(dāng)?shù)奈：π郧腋鼜姷碾[蔽性。由于LDoS的低速率和高隱蔽性特征，傳統(tǒng)的DoS檢測方法已無法對其進(jìn)行有效地檢測，而現(xiàn)有的LDoS檢測方法仍然存在一些不足和問題，因此，研究一種能夠有效檢測LDoS的攻了一種基于變異系數(shù)檢測LDoS的方法。針對基于變異系數(shù)檢測LDoS的方法中存在的不足，通過對三種網(wǎng)絡(luò)場景測LDoS的方法?；趯嵱眯院陀行栽瓌t，設(shè)計了一個融合基于變異系數(shù)和System，給出驗結(jié)果表明，LBDS檢測系統(tǒng)能夠檢測出大多數(shù)LDoS，且具有較低的誤報率和漏報率，證明了LBDS檢測系統(tǒng)用于LDoS檢測的可行性和有效性。：慢速服務(wù)，檢測，變異系數(shù)，海寧格距AsanimprovementoftraditionalDoS(DenialofService)attack,theLDoS(Low-rateDenialofService)attackisveryhazardousandhasstrongerconcealment.BecauseofthelowrateandhighconcealmentofLDoSattack,traditionalDoSattackdetectionmethodcannoteffectivelydetectit，andcurrentLDoSattackdetectionmethodsstillhavesome ingsandproblems.Therefore,ithasgreattheoreticalvalueandpracticalsignificancetoresearchanattackdetectionmethodwhichcandetectLDoSattackeffectively.ThroughtheysisoftheLDoSattack’sprincipleandcharacteristics,thisthesispointsoutthedifficultyofdetectingtheLDoSattack.Firstly,wereviewstateoftheartoftheLDoSattackdetectionmethodsindetail,andthenwesummarizethe ingsoftheexistingdetectionmethods.Toemphasizetheessentialsoftheproblems,threedifferentnetworkscenariosareconsidered.ThroughtheysisofthefluctuationsofTCP(TransmissionControlProtocol)dataflowinthethreescenarios,itisfoundthatasignificantdifferenceinthedispersiondegreeofTCPdataflowexistswhenLDoSattackoccurscomparedtothecasewithoutanyattackinthenetwork.Basedonthisobservation,wemeasurethatdifferencebyusingthecoefficientofvariationinstatistics,andfurthermore,anLDoSattackdetectionmethodbasedonthecoefficientofvariationisproposed.AccordingtothedeficienciesintheLDoSattackdetectionmethodbasedonthecoefficientofvariation,weintroduceBhattacharyyaCoefficientandingerDistancetomeasurethedifferenceinprobabilitydistributionoftheTCPdataflowindifferentnetworkscenarios.Then,anLDoSattackdetectionmethodbasedoningerDistanceisproposed.Byconsideringpracticalityandeffectiveness,wedesignadetectionsystemcalledLBDS(LDoSBlendDetectionSystem)bycombiningthetwodetectionmethods,i.e.,thecoefficientofvariationandingerDistance.Thecorrespondingdetectionrulesanddetectionalgorithmhavebeenpresented.TheeffectivenessofLBDSisverifiedusingpublicdataandsimulation.TheexperimentalresultsshowthattheproposedLBDSdetectionsystemiscapableofdetectingthemajorityofLDoSattacks.Ithasalowrateoffalsepositivesandfalsenegativerate,andthisprovesthefeasibilityandeffectivenessoftheLBDSdetectionsystemforLDoSattackdetection.:Low-rateDenialofService,Attackdetection,CoefficientofVariation,ingerDistance摘 緒 服務(wù)概 慢速服務(wù)概 課題研究的意義、內(nèi)容及目 的組織結(jié) 基于變異系數(shù)的LDoS檢測方相關(guān)概念與定 LDoS導(dǎo)致的TCP數(shù)據(jù)流量“變異”的現(xiàn)象及分 TCP數(shù)據(jù)流量“變異”程度的度量與判 基于變異系數(shù)的LDoS檢測算 實驗及結(jié)果分 本章小 基于海寧格距離的LDoS檢測方相關(guān)概念與定 LDoS對TCP數(shù)據(jù)流量分布的影 TCP數(shù)據(jù)流量分布異常的描述與分 TCP數(shù)據(jù)流量分布異常的判 基于海寧格距離的LDoS檢測算 實驗及結(jié)果分 本章小 LBDS系統(tǒng)的原 LBDS系統(tǒng)的部 LBDS系統(tǒng)的檢測規(guī)則與算 LBDS系統(tǒng)的算法復(fù)雜度分 實驗及結(jié)果分 本章小 結(jié)束已完成工 下一步工 致 參考文 附錄英文縮寫 緒 服務(wù)概1969年世界第一個計算機網(wǎng)絡(luò)—阿帕計算機網(wǎng)（ARPAnet）誕生以來，世界各地的異構(gòu)網(wǎng)絡(luò)互連成為可能，其后世界互聯(lián)網(wǎng)發(fā)展進(jìn)入高速發(fā)展階段，越來越多TCP/IP協(xié)議的脆弱性對互聯(lián)網(wǎng)發(fā)動，給企業(yè)和人們帶來了巨大的經(jīng)濟(jì)損失，嚴(yán)重的甚至到國家安全。其中服務(wù)（DenialofService，DoS）[1-3]是影響較大的一種方式，的資源無法響應(yīng)正常用戶的請求，從而使其無法為正常用戶提供相應(yīng)的服務(wù)。服務(wù)的目標(biāo)既可以是主機，也可以是網(wǎng)絡(luò)中的節(jié)點（如路由器還可以是整個服務(wù)作為現(xiàn)今Internet的最為嚴(yán)峻的之一[4]，已經(jīng)給人們帶來巨大的損失。如國外著名的Yahoo、Amazon、和CNN等都曾過服務(wù)攻擊從而導(dǎo)致服務(wù)癱瘓。國內(nèi)著名的聯(lián)眾游戲和暴風(fēng)影音也因為分布式服務(wù)而導(dǎo)致大規(guī)模網(wǎng)絡(luò)故障。據(jù)Yankee小組的分析，僅2004年的服務(wù)攻擊已經(jīng)造成的經(jīng)濟(jì)損失達(dá)27億[5]。而且隨著互聯(lián)網(wǎng)的發(fā)展，服務(wù)的工具越來越多，發(fā)起服務(wù)的方法也越來越簡單，者往往只需要簡單的操作便可以發(fā)起，因此服務(wù)ofServiceLDoS慢速服務(wù)概LDoS的原傳統(tǒng)的DoS往往是由者在一段時間內(nèi)持續(xù)發(fā)送大量數(shù)據(jù)使網(wǎng)絡(luò)出因此可以認(rèn)為傳統(tǒng)的DoS是一種通過“壓力”的方式來達(dá)到目的的攻擊，即者大多通過持續(xù)向網(wǎng)絡(luò)中注入大量數(shù)據(jù)包，致使網(wǎng)絡(luò)發(fā)生嚴(yán)重?fù)砣罅縼G包，從而達(dá)到“服務(wù)”的目的。這種方式會使網(wǎng)絡(luò)流量的一些統(tǒng)計的異常來檢測傳統(tǒng)DoS。一旦檢測到DoS發(fā)生，被者就可以采取相應(yīng)的措施（如丟棄數(shù)據(jù)包、限制發(fā)送速率等）將DoS的影響程度降到最低。雖然現(xiàn)有的檢測方法能夠檢測出大多數(shù)傳統(tǒng)的DoS，但近年來，隨著DoS方式的多樣化，DoS的檢測也遇到很多新的，尤其是在2003年，RiceAleksandar在計算機網(wǎng)絡(luò)方面的頂級會議N上提出了一種稱為低速率服務(wù)（Low-rateDenialofService，LDoS）的DoS方式，使得DoS的檢測和防范受到了更大的。LDoS主要針對TCP/IP協(xié)議，利用協(xié)議中的安全（如TCP擁塞控制機大量丟包，從而顯著降低被者的服務(wù)性能，而在其他時間段內(nèi)，者則保持靜默，即“間歇性”。LDoS“間歇性”的特點，使得LDoS在一個周期內(nèi)的平均數(shù)據(jù)流DoS攻雖然當(dāng)前LDoS的方式多種多樣但是大多數(shù)類型的LDoS都存在著一網(wǎng)絡(luò)系統(tǒng)可以在平衡遭到破壞而不穩(wěn)定時，依靠一定的方法自我調(diào)整重新恢復(fù)到穩(wěn)TP/P協(xié)議中自適應(yīng)機制設(shè)計之初追求的主要TP/P當(dāng)網(wǎng)絡(luò)系統(tǒng)運行在“穩(wěn)定狀態(tài)”時，往往能夠獲得較高的性能，而當(dāng)網(wǎng)絡(luò)系統(tǒng)oS和傳統(tǒng)DoS相比，LDoS具有更高的效率，可以使用較低的代價已有檢測方法的檢測，具有更高的隱蔽性。LDoS根據(jù)其針對的TCP/IP協(xié)議自適應(yīng)機制的不同,大致可分為兩類：一類是針對TCP擁塞控制機制[11-13]的LDoS；一類是針對路由器主動隊列管理機制[14-16]的LDoS。而無論哪一類LDoS，其基本的方式可以歸納描述為圖1.1中所示。圖1.1基本的LDoS示意的持續(xù)發(fā)送時間，T表示LDoS的發(fā)送周期。由此可將LDoS用一個三元組表示，即（Rattack,Tattack,T其中Rattack、lattack、T稱為LDoS的參數(shù)。示的方式。圖1.2“階梯形”LDoS示意圖1.3周期變化的LDoS示意圖1.2中所示的LDoS的lattack可分為兩個階段：第一階段稱為“發(fā)起擊者會降低自己的發(fā)送速率，但由于者并沒有停止，因此網(wǎng)絡(luò)丟包依然較為嚴(yán)重。此種較圖1.1中所示的LDoS相比具有更低的平均發(fā)送速率，因圖1.3中所示的LDoS是一種周期不斷變化的，這種周期的變化既有可能是者在發(fā)送數(shù)據(jù)流時使用了“隨機周期法”所導(dǎo)致的，也有可能是由于發(fā)送者分布在不同的地方（即分布式服務(wù)）所導(dǎo)致的。采用LDoS的檢LDoS具有的低速率和高隱蔽性的特點，給檢測造成了一定的。目前，LDoS檢測技術(shù)尚未成熟，根據(jù)現(xiàn)有各檢測方法所具有的特點，可以將這些檢測LDoS所具備的周期性特點來實現(xiàn)對LDoS的檢測，或根據(jù)LDoS所具備的高速脈沖特點來實現(xiàn)對LDoS的檢測[17-20]?；陬l域的檢測方法基于頻域的LDoS檢測方法通過對網(wǎng)絡(luò)流量的頻譜分析發(fā)現(xiàn)LDoS會導(dǎo)致網(wǎng)絡(luò)流量的頻域分布發(fā)生異常，然后通過檢測這種異常來實現(xiàn)對LDoS的檢測[21-23]。目前主要有分布式協(xié)同檢測過濾方法、基分析的檢測方法和基于UDP頻域檢測的過濾方法。分布式協(xié)同檢測過濾方法Chen等提出了一種分布式協(xié)同檢測過濾CDF（CollaborativeDetectionandDensityNCPSDNCPSD在低頻段存在的差異[26-29]，然后對采樣測能量分布是否發(fā)生異常來判斷網(wǎng)絡(luò)中是否存在LDoS。CDF方法包括兩個階段：學(xué)習(xí)階段和測試階段。學(xué)習(xí)階段主要是根據(jù)一個模板產(chǎn)生模板和高斯模板分布，模板包含三個參數(shù)：周期α、脈寬度β和脈沖速率γ，高斯模板分布基于包含的數(shù)據(jù)集獲得；測試階段主要是使用三個算法來設(shè)定關(guān)鍵頻域、檢測流和對合法流量中的流進(jìn)行過濾，該階段還使用路由器的流入流量對CDF檢測方法的有效性進(jìn)行了驗證。通過對包含LDoS和不包含LDoS的兩種流量的功率譜密度PS（Power依據(jù)兩種流量能量分布的這種差異可以判斷一個采樣流量中是否包含LDoS?；治龅臋z測方Luo等提出了一種兩階段檢測方法[31]來檢測針對TCP[3]（Direvletrnform分析路由器TPTPKT主要用到兩個函數(shù)：小波函數(shù)和度量函數(shù)。小波函數(shù)通過時間窗口計算信號差異起到高通濾波器的作用，能夠檢測出流入流量的變化；度量函數(shù)則起到低通濾波器TPK流量是否發(fā)生了顯著變化。為實現(xiàn)檢測，該檢測方法使用了滑動窗口的方法，即對流入路由器的流量n個采樣信號的強度進(jìn)行分析。第二階段，利用累積和CUSUM（CumulatedSum）方法[34]，判斷網(wǎng)絡(luò)中的流量是否出現(xiàn)異常，并以此為依據(jù)來判斷網(wǎng)絡(luò)中是否發(fā)生了LDoS。將第一階段中獲得的兩個流量：流入流量和ACK流量，轉(zhuǎn)換成兩個隨機序列ZH(n)EH(n)H、ZL(n)LEL(n)，其中， 中元素的最大值； ，其中，為中所有元素的平均值，參數(shù)稱為的“縮放因子 為中所有元素的標(biāo)準(zhǔn)差基于UDP頻域檢測的過濾方法進(jìn)行“時/頻”轉(zhuǎn)換，該轉(zhuǎn)換主要用到離散傅里葉變換DFT[30]（DiscreteFourierTransformNCAS（NormalizedCumulativeAmplitudeSpectrum）上存在較大差異，據(jù)此可以判斷某個數(shù)據(jù)流中是否包含LDoS。這種方法較好的把握住了LDoS所導(dǎo)致的異常特征，者若要避免此類特征的出現(xiàn)，則需要向網(wǎng)絡(luò)中注入的數(shù)據(jù)包。該方法通過對大量數(shù)據(jù)的分析，發(fā)現(xiàn)采樣結(jié)果近似服從正態(tài)分布[35]IPIP地址、目的端NFTSFTPDTNFT中PDT中有某數(shù)據(jù)流的記錄，則所有屬于此流的數(shù)據(jù)包將被丟棄；新到來的數(shù)據(jù)流則被加入到SFT中?；跁r域的檢測方法基于時域的檢測方法主要根據(jù)數(shù)據(jù)流所具有的周期性特點和檢測窗口內(nèi)的流量所表現(xiàn)出的異常，事先分析并設(shè)定特征，然后對數(shù)據(jù)流進(jìn)行采樣分析，如其主要包括基于動態(tài)時間環(huán)繞的檢測方法[36-37]HAWK檢測方法[38]Vanguard檢測基于動態(tài)時間環(huán)繞的檢測方法Sun等給出了LDoS的數(shù)學(xué)模型，該模型使用五元 描述LDoS的行為特征，其中T為周期，l為一個周期內(nèi)數(shù)據(jù)流的持續(xù)時間，R表示數(shù)據(jù)流的發(fā)生速率，S表示從計時開始到第一次LDoS開始之間的時間差，N表示背景流量等級。Sun等LDoS檢測方法主要包括四特征，然后將提取到的特征與特征進(jìn)行匹配。當(dāng)識別出流后，使用差額循而減小LDoS造成的影響。此外，為減小檢測防范機制對合法TCP流性能的影該檢測方法的優(yōu)點在于對LDoS有較高的識別率和較低的誤報率，對“標(biāo)準(zhǔn)”的LDoS、周期和脈沖發(fā)送速率發(fā)生變化的LDoS以及分布式后，能逐步向上游路由器推進(jìn)，盡可能接近源，以盡量減少受影響的且其所采用的DRR算法并不能過濾LDoS流HAWK檢測方法為有效檢測和防范利用路由器隊列管理策略存在缺陷而發(fā)起的LDoSKwok等提出了一種新的路由器隊列管理算法—HAWK算法得到的一種LDoS檢測方法。該檢測方法根據(jù)LDoS在持續(xù)時間、數(shù)據(jù)發(fā)送速率和周期上具有的特點，通過一個UDP流表來實現(xiàn)對網(wǎng)絡(luò)中的大發(fā)送速率出現(xiàn)的頻率均超過事先設(shè)定的閾值，則認(rèn)為該UDP流為LDoS流，并丟棄所有屬于此流的數(shù)據(jù)包。該檢測方法對分布式LDoS具有較好的檢測和Vanguard檢測方Luo等提出了Vanguard檢測方法，根據(jù)LDoS所導(dǎo)致的TCP流量的異常特征來確定網(wǎng)絡(luò)中是否發(fā)生了LDoS。該方法通過LDoS發(fā)生時，TCP流量所表現(xiàn)出的3個異常特征來判斷網(wǎng)絡(luò)中是否發(fā)生了LDoS：①流出的TCPACK響TCPTCPACK響應(yīng)流量的比值顯著TCP3個特征中的①出現(xiàn)或者②、③同時出現(xiàn)，則認(rèn)定網(wǎng)絡(luò)中存在LDoS。Vanguard方法可以較好的檢測出網(wǎng)絡(luò)中是否發(fā)生了LDoS，但無法確定攻現(xiàn)有檢測方法存在的不足以上提到的方法都是當(dāng)前比較有效的LDoS的檢測方法，在某些情況下，網(wǎng)絡(luò)中的LDoS，但由于該方記錄數(shù)據(jù)包的IP地址等信息，致使其內(nèi)存消耗較大，尤其是在者使用虛假IP地址發(fā)送數(shù)據(jù)流時，系統(tǒng)消耗內(nèi)存會急劇成，再加上其發(fā)送信息只是LDoS檢測結(jié)果，導(dǎo)致CDF方法的協(xié)同檢測程度有限。而基于UDP頻域檢測的過濾方法用到了“時/頻”變換，帶來了較多的計算時比較依賴于具體的特征，對于變種的LDoS檢測效果不佳。如基于LDoS時則出現(xiàn)了較多的漏報。而基于動態(tài)時間環(huán)繞的檢測方法主要利用了Shrew的特點檢測LDoS，對于周期變化的LDoS檢測效果不佳，HAWK算法在實驗中發(fā)生了較多誤報，使得很多不包含LDoS的的合法流被誤報為含有LDoS的數(shù)據(jù)流，而特息的保課題研究的意義、內(nèi)容及目標(biāo)意目前，人們對于LDoS的研究還處于起步階段，雖然現(xiàn)有的檢測方法也能夠在某種程度上檢測出LDoS，但是也存在較多的問題。因此，尋找一種能夠?qū)崟r檢測LDoS、具有較低的誤報率和漏報率的檢測方法對提升網(wǎng)絡(luò)系統(tǒng)的安全性內(nèi)TCP數(shù)據(jù)流量進(jìn)行分析，然后根據(jù)分析制LDoS的原理、特點及相關(guān)檢測方法目課題的預(yù)期目標(biāo)是構(gòu)建一個融合兩種檢測方法的LDoS檢測系統(tǒng)，該系統(tǒng)的組織結(jié)構(gòu)第1章：緒論。分析LDoS的原理、特點以及研究現(xiàn)狀，現(xiàn)有LDoS檢測方法存在的不足，明確課題研究在領(lǐng)域的重要理論意義和實用價程度進(jìn)行度量和判斷，給出一種基于變異系數(shù)的LDoS檢測方法，同時設(shè)計相第3章：基于海寧格距離的LDoS檢測方法。對三種網(wǎng)絡(luò)場景中的TCP數(shù)TCP數(shù)據(jù)流量分布可能出現(xiàn)的異常，的LDoS檢測方法，同時設(shè)計相關(guān)實驗對該檢測方法的有效性進(jìn)行驗證。第4章：融合兩種檢測方法的LDoS檢測系統(tǒng)—LBDS。對LBDS系統(tǒng)的原5章：結(jié)束語?？偨Y(jié)已完成的工作，并對仍然存在的問題和下一步工作進(jìn)行基于變異系數(shù)的LDoS檢測方LDoS發(fā)生時，會導(dǎo)致TCP數(shù)據(jù)流量出現(xiàn)劇烈波動，同時平均TCP數(shù)據(jù)流提出一種基于變異系數(shù)的LDoS的檢測方法。首先，為便于討論，本章將給出LDoS攻異常的方法；最后，本章將給出用以檢測LDoS的判斷準(zhǔn)則，并通過實驗證明基于變異系數(shù)的LDoS的檢測方法的可行性和有效性。相關(guān)概念與定義為便于評測檢測LDoS的方法的效果，事先給出如下定義：定義2.1檢測準(zhǔn)確度指檢測結(jié)果和實際情況相符合的程度。2.1中的“相符合的程度”主要是從定性角度來描述檢測結(jié)果，其取值為定義2.2在檢測LDoS時，實際未發(fā)生但被檢測為LDoS的幾率稱為誤報率（FalsePositiveRate，F(xiàn)PR）。為n，在所檢測出的n次中實屬LDoS的為l次，則可得FPR的形式化描FPRnlm

（誤報率反映了檢測方法對LDoS判斷的“精準(zhǔn)”程度，是對檢測準(zhǔn)確度的定義2.3在檢測LDoS時，LDoS實際發(fā)生而未被檢測出的幾率稱為漏報率（MissingReportRate，MRR）。設(shè)在某次檢測中，總的檢測次數(shù)為m次，m次檢測中實際發(fā)生的LDoSMRRwxm

（漏報率反映了檢測方法對LDoS的“敏感”程度，也是對檢測準(zhǔn)確度的一FTCP：每秒時間內(nèi)的TCP數(shù)據(jù)流量，單位為DATAtr，DATAte：根FTCP及采樣時間得到的時序序列DATAtr表示“訓(xùn)能含有的網(wǎng)絡(luò)中獲取的TCP流量數(shù)據(jù)）OO

SS

本文中LDoS檢測的準(zhǔn)確度主要包括以下兩個方面：第一，不受具體LDoS模式的影響，能夠檢測出多種模式的LDoS，降低漏報率；第二，在網(wǎng)絡(luò)LDoS外的其它，降低誤報率。為LDoS此，可假定在場景S1中網(wǎng)絡(luò)中不存在任何。場景S2中的可以稱之為非LDoS，這些大多通過使用“壓力”方式來對合法TCP數(shù)據(jù)生影響，從而達(dá)到的目的，如SYNFlood洪泛、Land等。LDoS導(dǎo)致的TCP數(shù)據(jù)流量“變異”的現(xiàn)象及分TCP協(xié)議是目前互聯(lián)網(wǎng)中使用最為廣泛的傳輸協(xié)議。根據(jù)MCI（MicrowaveCommunicationIncorporation的統(tǒng)計互聯(lián)網(wǎng)上總字節(jié)數(shù)的95%及總數(shù)據(jù)包數(shù)的90%均使用TCP協(xié)議傳輸[42]。目前大多數(shù)LDoS也都是針對TCP協(xié)議中主要的自適應(yīng)機制——擁塞控制機制所。因此本文重點關(guān)注的是LDoS對網(wǎng)絡(luò)中TCP數(shù)據(jù)生的影響，并在此基礎(chǔ)上通過比較分析的方法找出有無LDoS時TCP數(shù)據(jù)流量的差異，從而達(dá)到檢測LDoS的目的。在場景S1中，由于網(wǎng)絡(luò)中不存在任何，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量沒有發(fā)生TCP數(shù)據(jù)流量處于一個較高的水平。即使網(wǎng)絡(luò)中發(fā)生擁塞，TCPTCP數(shù)據(jù)流量并不會出現(xiàn)持續(xù)劇烈波動的情況，如圖TCP數(shù)TCP數(shù)據(jù)流量

平均TCP數(shù)據(jù)流 時間

2.1S1TCP2.1中可以看到，實際網(wǎng)絡(luò)中，TCPTCPTCP擁塞控制機制作用的結(jié)果：當(dāng)網(wǎng)TCP數(shù)據(jù)流量呈現(xiàn)出一個穩(wěn)定的增長狀態(tài)，當(dāng)網(wǎng)絡(luò)TCP數(shù)據(jù)流量較快下降，此后又慢慢恢復(fù)到初始水平。TCP數(shù)據(jù)流TCP數(shù)據(jù)流量值附近振蕩，且一般不會長時間明顯“偏離”平均TCP數(shù)據(jù)流量值。）在場景S2中，網(wǎng)絡(luò)中存在非LDoS的其它，這些對網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量產(chǎn)生了很大的影響，使得網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量與正常情況下相比發(fā)生了較大的變化，這些大多通過“壓力”的方式來呈現(xiàn)，即者自身會向網(wǎng)Service中的SYN-Flood便是通過使用的IP地址向受害主機發(fā)送大量在這些時，TCP數(shù)據(jù)流量會出現(xiàn)一個跳變，即TCP數(shù)據(jù)流量在某一個時刻急劇TCPTCP數(shù)據(jù)流量值，如圖2.2所示。） 時平均TCP數(shù)據(jù)流 發(fā)生時平均TCP數(shù)據(jù)流TCP數(shù)TCP數(shù)據(jù)流量0 時間

TCP數(shù)據(jù)流量會逐漸恢復(fù)到與正常狀況下較為接近的一個水平，而后下一個周期發(fā)出的脈沖又會使TCP數(shù)據(jù)流量急劇下降，最終，網(wǎng)絡(luò)中0

時間

圖2.3中，第50-200秒沒有任何，從第200秒開始發(fā)生LDoS直至350秒結(jié)束。LDoS的周期為1s，數(shù)據(jù)流的發(fā)送速率為3Mb/s，一個周期內(nèi)的持續(xù)時長為150ms從圖2.3可以看到，LDoS發(fā)生時網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量持續(xù)頻繁波動，平均TCP數(shù)據(jù)流量急劇下降。 數(shù)據(jù)流量“變異”程度的度量與判斷動，但不會出現(xiàn)持續(xù)頻繁波動的情況。當(dāng)LDoS發(fā)生時，即場景S3中，網(wǎng)絡(luò)中TCP數(shù)據(jù)流量的分布上主要表現(xiàn)為以下兩點：第一，TCP數(shù)據(jù)流量的方差增大；第二，平均TCP數(shù)據(jù)流量降低。其原因在于，LDoS發(fā)生時，TCP數(shù)據(jù)流量連續(xù)出現(xiàn)較大幅度的波動，使得TCP數(shù)據(jù)流量的方差變大，且整個網(wǎng)絡(luò)一直處于“不穩(wěn)定狀態(tài)”，平均TCP數(shù)據(jù)流量顯著降低，即TCP數(shù)據(jù)流量發(fā)生了“變異”。這種“變異”可表現(xiàn)為TCP數(shù)據(jù)流量的方差與TCP數(shù)據(jù)流量的均值之比變大，即“變異系數(shù)”產(chǎn)生變化。變異系數(shù)（CoefficientofVariation，CV）[43]是概率論和統(tǒng)計學(xué)中的一個概念，StandardDeviation），其值為分布的標(biāo)準(zhǔn)差與分布的平均值的比值，如式（2.3）所CVx

（其中σxS1S2S2TCP數(shù)據(jù)流量“跳TCP數(shù)據(jù)流量沒有發(fā)生持續(xù)頻繁波動，各時間段的變異系數(shù)大多為一個相對較小的值。而在場景S3中，LDoS會導(dǎo)致TCP數(shù)據(jù)流量系數(shù)超過事先設(shè)定的閾值時，該時間段內(nèi)可能發(fā)生LDoS。度的方法來定義檢測窗口，如定義2.5所示。為檢測窗口（Detection設(shè)采樣間隔為tTsi次采樣得in為樣本容量,計算Ai中樣本觀測值的平均值得到第i個TCP數(shù)據(jù)流量xTCPi則xTCP的定義如式（2.5）所示，根據(jù)xTCP及其在檢測窗口中的順序號可以構(gòu)建 iin （nxTCP （ TsDWm=xTCP,1xTCP,2x Ts n*n*t 其中m為檢測窗口的編號，Ts通常為n*Δt的整數(shù)倍。根據(jù)檢測窗口的定義可知TCP數(shù)據(jù)流量樣本的時序序列，因此可以求得m每個檢測窗口對應(yīng)一個變異系數(shù)cTCP，則根據(jù)每個檢測窗口的變異系數(shù)和該檢測窗口的編號可以構(gòu)建一個二元組PCV，如式（2.7）所示。mPCVcTCP,m （ 2.2TCP數(shù)據(jù)流量的分析可知，TCP數(shù)據(jù)流量的變化可將得到的變異系數(shù)分為兩S1S2中的檢測窗口的變異系數(shù)稱為TCP數(shù)據(jù)流量變異系數(shù)”，場景S3中的檢測窗口的變異系數(shù)稱為TCP數(shù)據(jù)流量變2.6所示。m2.6TCP數(shù)據(jù)流量的變異系數(shù)cTCPmthresholdCV，則相應(yīng)的變異系數(shù)點稱為異常變異系數(shù)點（CoefficientPCV，CAP），反之，則稱為正常變異系數(shù)點（CoefficientNormalCAP和CNP集合的形式化定義如式（2.8）和式（2.9）所示

PCV，CNP）{CAPcTCPm|cTCP （ {CNPcTCPm|cTCP （ 其中thresholdCV變異系數(shù)大于thresholdCVCAP，否則認(rèn)為該檢測窗口相應(yīng)的變異系數(shù)點為CNP。S1中，TCP數(shù)據(jù)流量在擁塞控制機制下呈現(xiàn)較小的波動，因此大多數(shù)DW的變異系數(shù)相對較小，相應(yīng)的變異系數(shù)點為CNP，圖2.4所示為場景S1中的一

值thresholdCV=0.104（統(tǒng)計算子及閾值的取值將在隨后討論判斷所有檢測窗在場景S2中，網(wǎng)絡(luò)中的其他（非LDoS）使得網(wǎng)絡(luò)中的合法TCP數(shù)據(jù)流量較低，而且這些TCP連接無法進(jìn)入“擁塞控制”過程，所以網(wǎng)絡(luò)中的合法TCPS1TCP數(shù)據(jù)流因為受到影響而始終處于較低水平，但是持續(xù)一段時間后，TCP數(shù)S1S2中，各檢測窗口的兩類變異系數(shù)點的比例與場景S1是近似的，如圖2.5所示。

檢測窗口編圖.5S2，應(yīng)各檢測窗口的變異系數(shù)皆為較小值，且都沒有超過閾值thresholdCV，CAP0的檢測窗口的時間范圍為第194s-203s，它剛好包含了的始發(fā)階段（開始于200s值，使得該檢測窗口對應(yīng)的變異系數(shù)點表現(xiàn)為CAP。2.6變異變異系 檢測窗口編綜合上述對三種網(wǎng)絡(luò)場景下的各檢測窗口的變異系數(shù)的分析，給出LDoS窗口內(nèi)可能存在LDoS。閾值thresholdCV的大小設(shè)定會影響判別CAP和CNP的結(jié)果，從而影響檢時候的網(wǎng)絡(luò)狀態(tài)，因此本文基于“訓(xùn)練數(shù)據(jù)”定義thresholdCVthresholdCV的thresholdCVkCV （2.10）其中窗口變異系數(shù)的標(biāo)準(zhǔn)差。kCV任何的。對于已知的和kCVthresholdCVkCV的值較小，則網(wǎng)絡(luò)中無時，會使得較多的檢測窗口的變異系數(shù)超過閾值thresholdCV，從而導(dǎo)致較多的誤判；而如果kCV的值較大，則LDoS發(fā)生時，會使得較多的檢測窗口的變異系數(shù)小于閾值thresholdCV，從而導(dǎo)致較多的漏判。因此，統(tǒng)計算子kCV的選擇關(guān)系著檢測的準(zhǔn)確度。圖2.7和圖2.8分別給出了網(wǎng)絡(luò)中不存在任何的情況下和網(wǎng)絡(luò)中存在的情況下，統(tǒng)計算子kCV=1、2、3、4CAPCNP的結(jié)果示意圖。在網(wǎng)絡(luò)沒有任何的情況下，從圖2.7中可以看到，統(tǒng)計算子kCV=1、kV4時，AP為0絡(luò)DoS況，圖8PkV有任何的情況下，AP的個數(shù)隨著統(tǒng)計算子kV的增大而減少，而在網(wǎng)絡(luò)DoS，kV的取值在一定范圍內(nèi)（為1到4）對P的個數(shù)沒有影響?；谶@一事實，本文僅從減少誤判的角度設(shè)定kV的取值，經(jīng)過反復(fù)試驗，取統(tǒng)計算子kV3。

threshold

threshold

圖2.7網(wǎng)絡(luò)中無時，統(tǒng)計算子取不同值的情況下判別CAP和CNP結(jié)果示意

threshold

圖2.8網(wǎng)絡(luò)中存在LDoS時，統(tǒng)計算子取不同值的情況下判別CAP和CNP結(jié)果示意基于變異系數(shù)的LDoS檢測算由2.3節(jié)的討論可知，基于TCP數(shù)據(jù)流量的“變異”來檢測LDoS，一般Step1：數(shù)據(jù)流量采樣。基于擬定的采樣指標(biāo)，對 數(shù)據(jù)流量采樣Step2：采樣數(shù)據(jù)的處理與度量。根據(jù)變異系數(shù)的計算方法，對TCP數(shù)據(jù)流量樣Step3：檢測?；谥贫ǖ呐袛鄿?zhǔn)則1對度量結(jié)果進(jìn)行檢測，判斷是否（取中的TP流量數(shù)據(jù)采樣。采樣得到的數(shù)據(jù)為每秒時間內(nèi)的TP數(shù)據(jù)流量TCP，單位為字節(jié)。設(shè)每個檢測窗口W的時間長度為TS，采樣時間間隔為Δt，采樣對象為網(wǎng)絡(luò)中的某個關(guān)鍵路由器，則通過對該路由器的連續(xù)采樣可以得到一個檢測窗口DWTP數(shù)據(jù)流量樣本序列。TCP數(shù)據(jù)流量樣本序列以后，便可以計算各個檢測差，并依據(jù)式（2.10）計算閾值thresholdCV，最后，基于thresholdCV1判斷測試數(shù)據(jù)中的各個檢測窗口內(nèi)是否發(fā)生了LDoS。根據(jù)前面給出的檢測步驟，可以得到基于變異系數(shù)的檢測LDoS的檢測算法，如算法2.1所示。//序列OO

//對Otr計算各個檢測窗口的變異系數(shù)序列cv

=ComputeCV(Otr=TailAverage(cvtr=Computeσ(cvtr//根據(jù)訓(xùn)練數(shù)據(jù)所有檢測窗口的變異系數(shù)的平均值和標(biāo)準(zhǔn)差 計算//值thresholdCV=ComputeThreshold() //初始化時刻t

=[SS

//Ste計算該檢測窗口內(nèi)的各個樣本的平均值=ComputeAverage(Ste//Ste計算該檢測窗口內(nèi)的各個樣本的標(biāo)準(zhǔn)差 =Compute(Ste//計算該檢測窗口的ccTCP=ComputeCV(，//cTCP的值大于

CV，表示發(fā)現(xiàn) ，輸出IfcTCP>threshold

end以每個檢測窗口為對象，設(shè)每個檢測窗口的樣本個數(shù)為N，基于變異系數(shù)的檢測LDoS的檢測算法在對實時TCP數(shù)據(jù)流分析時需要的數(shù)據(jù)主要包該檢測窗口內(nèi)所有樣本的平均值該檢測窗口內(nèi)所有樣本的標(biāo)準(zhǔn)差對于TCP數(shù)據(jù)流量樣本消耗的空間而言，其主要與采樣間隔t和檢測窗口時長Ts有關(guān)，對于給定的Ts和t，其消耗的空間只與檢測窗口的樣本個數(shù)變異系數(shù)CV為計算出來的三個值，它們消耗的空間是固定的，因此整個檢測為O（N）。由算法的空間復(fù)雜度的分析可知，基于變異系數(shù)的LDoS檢測算法涉及到TCPTCP數(shù)據(jù)流量樣本，其消耗的時間TCP數(shù)據(jù)流量樣本計算得到樣本均值，其消耗的時間TCP數(shù)據(jù)流量樣本計算得到樣本標(biāo)準(zhǔn)差，其消耗的時由于環(huán)節(jié)1、2、3中消耗的時間與檢測窗口的樣本個數(shù)線性相關(guān)，而環(huán)節(jié)4中消實驗及結(jié)果分析NS-2（NetworkSimulatorversion2）[44]網(wǎng)絡(luò)仿真軟件進(jìn)行實驗平臺的構(gòu)建和相關(guān)實驗，實驗的網(wǎng)絡(luò)拓?fù)鋱D如圖2.10所示。2.1010Mbps30msR2R3之間的鏈100Mbps15ms25條合法TCP10TCP連接使用的擁塞控制算法均為NewReno算法，其最小重傳時間（RetransmissionTimeOut，RTO）為1s。各個350ssLDoS參數(shù)設(shè)置為：周期T=1s，持續(xù)時間lattack=150ms或或250ms，數(shù)據(jù)發(fā)送率為Rattack=30Mbps或50Mbps。檢測窗口DW的時間長何，其數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，第Ⅱ組實驗針對包含F(xiàn)DoS的數(shù)據(jù)進(jìn)（Rattack為FDoS數(shù)據(jù)的發(fā)送速率，第Ⅲ~Ⅷ組實驗針對包含不同參數(shù)LDoS的數(shù)據(jù)進(jìn)試。實驗實施情況如表2.1（lattack為none表示沒有圖2.11所示。2.1時間l時間lR 時間0 時間

0 時間

根據(jù)實驗Ⅰ中的訓(xùn)練數(shù)據(jù)計算得到檢測參數(shù)thresholdCV=0.104，再結(jié)合擬實驗時長和檢測窗口長度Ts33個檢測窗口1…D33。1（1）分別對ⅡTP流量數(shù)據(jù)進(jìn)2.12所示。ⅠⅡ1234567891011121314151617181920212223242526272829303132檢測窗口編2.12從圖2.12所示的實驗結(jié)果可以看到，在LDoS沒有發(fā)生時（各組實驗的17個檢測窗口，編號為1到17均沒有報告LDoS，即沒有發(fā)生誤報；在FDoS發(fā)生時，檢測窗口Ⅱ-DW18報告LDoS，發(fā)生了誤報，其原因在于該檢測窗口包含了的始發(fā)階段，發(fā)生時，該檢測窗口內(nèi)的TCP數(shù)據(jù)流量發(fā)生了較大的“變異”，導(dǎo)致相應(yīng)的變異系數(shù)點為CAP，而在FDoS發(fā)生一段時間后，檢測窗口Ⅱ-DW19~Ⅱ-DW33均沒有報告LDoS；在LDoS發(fā)生時，該檢測方法對不同參數(shù)設(shè)置的LDoS都有較好的檢測效果，各組實驗包含的檢測窗口（編號為18到33）均被檢測出LDoS，沒有發(fā)生漏報。本章小網(wǎng)絡(luò)中存在LDoS時，TCP數(shù)據(jù)流量的方差會增大，且平均TCP數(shù)據(jù)流量首先，歸納出了三種網(wǎng)絡(luò)場景，并詳細(xì)分析了在每種網(wǎng)絡(luò)場景中，TCP數(shù)據(jù)流TCP數(shù)據(jù)流量的變異系數(shù)的大小進(jìn)行了分析和討論，并在此基礎(chǔ)上給出了使用變異系數(shù)檢測LDoS的判斷準(zhǔn)則。隨后，對基于變異系數(shù)檢測LDoS的算法實現(xiàn)及其流程進(jìn)行了描述。最后，基于NS-2實驗仿真平臺給出了使用該算法檢測LDoS的實驗結(jié)果。實驗結(jié)果表明，基于變異系數(shù)的LDoS檢測方法能夠檢測出大多數(shù)，此，使用該方法檢測網(wǎng)絡(luò)中的LDoS具有一定的可行性?；诤幐窬嚯x的LDoS檢測方第二章基于變異系數(shù)的LDoS檢測方法根據(jù)TCP數(shù)據(jù)流量分布的離散程度判斷LDoS是否發(fā)生，而實際網(wǎng)絡(luò)中可能存在著一些突發(fā)數(shù)據(jù)流，導(dǎo)致本章試圖從概率分布的角度對TCP數(shù)據(jù)流量的分布進(jìn)行分析，以期降低突發(fā)數(shù)據(jù)流LDoS檢測方法存在的不足。則，并通過實驗證明基于海寧格距離的LDoS檢測方法的可行性和有效性。相關(guān)概念與定義海寧格距離（ingerDistance，HD）是統(tǒng)計學(xué)中的一個概念，它主要用來衡量兩個離散型或者連續(xù)型概率分布的相似程度。海寧格距離主要由巴氏系數(shù)TCP數(shù)據(jù)流量是離散分布的，因此本文僅給出在離散概率分布的情況下，海寧格距離HD和巴氏系數(shù)BC的計算公式，即：1(BC(p,1(BC(p,p(x)q(BC(p(x)q(

（據(jù)流量樣本值為min（xTCP，將從min（xTCP）到max（xTCP）的區(qū)間劃分成B個大小相等的區(qū)間，第i個區(qū)間記為Si（0<i<=B）Hm,i：第m個檢測窗口中落入Si內(nèi)樣本個數(shù)占該檢測窗口總樣本個數(shù)的比例Hm：第m個檢測窗口中各Hm,i（0<i<=B）形成的

HDm：第m個檢測窗口的海寧格距thresholdHD：根據(jù)訓(xùn)練數(shù)據(jù)各個檢測窗口的海寧格距離計算得到的海寧格距離LDoS對TCP數(shù)據(jù)流量分布的影TCP數(shù)據(jù)流量較少出現(xiàn)“急劇”波動，而且即使出現(xiàn)波動，波動的頻繁TCP數(shù)據(jù)流量在大多數(shù)時間段內(nèi)處于正常而當(dāng)LDoS發(fā)生時，網(wǎng)絡(luò)中TCP數(shù)據(jù)流量會出現(xiàn)頻繁波動從而導(dǎo)致TCP數(shù)S1TCP流量波動幅度較大且大多TCPTCPS1S3TCP流量數(shù)據(jù)，則通過對比可知，這兩段數(shù)據(jù)的分布具有一定的差異，如圖3.1所示。其中第50s-200s沒有，第200s-350s有LDoS。TCP數(shù)據(jù)流量分布產(chǎn)生了“異常”。有有無0 時間

圖3.1有無LDoS情況下TCP數(shù)據(jù)流量分布示意 數(shù)據(jù)流量分布異常的描述與分析TCP2.3節(jié)檢測窗口DW的定義，同時引入流量分布直方圖以便直觀的表示網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量為max(xTCP)，最小值為min(xTCP)，根據(jù)事先設(shè)定的分段數(shù) 將從min(xTCP)max(xTCPBSiSi的定義如式（3.3）所示，SiLS如式（3.4）iSi0<i<=B。Simin(xTCPi1)*LS,min(xTCP)i*LS （max(xTCP)min(xTCP)LS

（HmHm,1Hm,2Hm,B （布直方圖的對比，可以直觀的判斷TCP數(shù)據(jù)流量分布是否發(fā)生了顯著變化。S1中，TCPTCP數(shù)據(jù)流量TCP數(shù)據(jù)流量樣本TCP數(shù)據(jù)流量樣本個數(shù)較少。因此，體TCPSi3.2所TCP數(shù)據(jù)流量分布直方圖，其中j>0，k>0jk

（a）第j個檢測窗口的TCP數(shù)據(jù)流量分布直方 （b）第k個檢測窗口的TCP數(shù)據(jù)流量分布直方t發(fā)生時刻位于某個檢測窗口的后半段，由于此時較低的 比例較小，因此t t口內(nèi)的xTCP大部分會低于無時的TCP數(shù)據(jù)流量樣本值，使得該檢測窗口內(nèi)的tTCP數(shù)據(jù)流量樣本處于較低水平，導(dǎo)致該檢測窗口的流量分布直方圖發(fā)生較大變化。而在持續(xù)一段時間后，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量無法恢復(fù)到正常水平，雖TCP數(shù)據(jù)流量樣本依然會落入編號較大的Si中，由此得到的TCP數(shù)據(jù)流量分布直方圖與網(wǎng)絡(luò)中無時的TCP數(shù)據(jù)流量分布直方圖相似。在場景S3中，LDoS使得網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量持續(xù)頻繁波動，即網(wǎng)絡(luò)中TCP數(shù)據(jù)流量樣本圍繞min(xTCP)和max(xTCP)的均值波動，導(dǎo)致檢測窗口大多TCP數(shù)據(jù)流量樣本Si內(nèi)（3.3中的S3~S7，由此形成的TCP數(shù)據(jù)流量分布直方圖與網(wǎng)絡(luò)中無時得到的TCP數(shù)據(jù)流量分布直方圖相比會呈現(xiàn)顯著的差異。如圖3.3所示，其中LDoS周期T=1s，每個周期內(nèi)的持續(xù)時間lattack=150ms，數(shù)據(jù)發(fā)送速率Rattack=30Mbps。TCP0.TCP. TCP數(shù)據(jù)流量分段編 數(shù)據(jù)流量分布異常的判別3.3S2S3中，TCP數(shù)據(jù)流量分布會呈現(xiàn)不同的特S1S2中，TCP數(shù)據(jù)流量處于較低水平。而在場景S3中，TCP數(shù)據(jù)流量分布與場景S1相比呈現(xiàn)出較大變化。為有效反映出TCP數(shù)據(jù)流量分布“差異”的程度，可以使用定義3.2中氏px和qx , ni

1此時，將巴氏系數(shù)代入公式（3.1）HD=0，這說明當(dāng)兩個分布完全一致時，其海寧格距離為0，即兩個分布的差異程度達(dá)到最小值。S1S2中，各檢測窗口的海寧格距離超過事先給定的閾值thresholdHD時，可以認(rèn)為該檢測窗口中發(fā)生了，同時若網(wǎng)絡(luò)中無時各個檢測窗口的海寧格距離應(yīng)該處于該thresholdHD為獲取檢測窗口的海寧格距離，需構(gòu)建一個“基準(zhǔn)”的H，即以該H為基準(zhǔn)H?[H?1?2?BmH為B1Hm,j?jHmHm,1Hm,2Hm,B，測試數(shù)據(jù)第m個檢測窗口的海寧格距B1Hm,j?jHDm （ 其中0?j1,0Hmj1?j=1Hmj=10HDm1，B 巴氏系數(shù)事先設(shè)定的一個分段數(shù)，B越大則判斷結(jié)果越精確，但同時也會造成“靈敏度”過高的問題，反之，B越小則判斷結(jié)果越不精確，會造成“靈敏度”過低的問m并將其映射為以檢測窗口編號為橫軸、海寧格距離為縱軸的坐標(biāo)系中的一個點PHDm，稱PHD的定義如式（3.7）所示。mPHDHDm （ 根據(jù)PHD中 的取值的不同，可以將所有檢測窗口對應(yīng)的PHD分成兩類： 義3.2若海寧格距離統(tǒng)計點的HDm大于事先設(shè)定的閾值thresholdHD，則該海寧格距離統(tǒng)計點稱為異常海寧格距離統(tǒng)計點 ingerAbnormalPHD反之，則稱為正常海寧格距離統(tǒng)計點 ingerNormalPHD，HNP）HAPHNP集合的形式化定義如式（3.8）和式（3.9）{HAPHDmm|HDmthresholdHD （{HNP}={HDm,m|HDmthresholdHD} 其中閾值thresholdHD可由訓(xùn)練數(shù)據(jù)來獲取。在場景S1中，各個檢測窗口內(nèi)的3.4所示，其中以訓(xùn)練數(shù)據(jù)的第一個檢測窗口作為“基準(zhǔn)檢測窗口”,設(shè)定的統(tǒng)計算子為3，基于訓(xùn)練數(shù)據(jù)獲得閾值thresholdHD=0.25（統(tǒng)計算子及閾值的取值將在 檢測窗口編3.4S1中HAP和HNP數(shù)據(jù)流量始終處于較低水平，在持續(xù)的一段時間內(nèi)，雖然網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量一直處于較低水平，但是其分布形態(tài)與無時相比并沒有明顯差異。因此僅在在場景S3中，由LDoS的特點可知，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量出現(xiàn)持續(xù)頻繁波動，從LDoS發(fā)生的時刻開始，受網(wǎng)絡(luò)的TCP數(shù)據(jù)流量一直處于持續(xù)的劇烈振蕩當(dāng)中，發(fā)生LDoS的檢測窗口的TCP數(shù)據(jù)流量分布與無情況相比統(tǒng)計點為HAP，如圖3.6所示，其中LDoS開始于200s（編號為17的檢測窗口中350s（直至最后一個檢測窗口采樣結(jié)束。海寧海寧格距 圖.5S2HAPHNP海寧海寧格距 檢測窗口編圖.6S3中HAP和HNP綜上所述S1S2中，其海寧格距離統(tǒng)計點基本HAP，而在S3中，包含LDoS的檢測窗口的海寧格距離大多越過閾值，其相應(yīng)的海寧格距離統(tǒng)計點為HAP，由此提出LDoS的判斷準(zhǔn)則2。判斷準(zhǔn)2（JC2）HAP，則認(rèn)為該檢測窗口內(nèi)可能存在LDoS。取值過大，則在場景S3中，會導(dǎo)致HAP誤判為HNP，因此，恰當(dāng)?shù)膖hresholdHD的取值關(guān)系著檢測結(jié)果的準(zhǔn)確度。thresholdHD的計算方法如式（3.10）所示。thresholdHDkHD （式3.10）其中為訓(xùn)練數(shù)據(jù)各個檢測窗口的海寧格距離的去尾平均值，為各個檢測窗口的海寧格距離的標(biāo)準(zhǔn)差。kHD稱為統(tǒng)計算子，為事先給定的整數(shù)對于已知的和kHDthresholdHDkHD的值較小，則網(wǎng)絡(luò)中無時，會使得較多的檢測窗口的海寧格距離超過閾值thresholdHD，從而導(dǎo)致較多的誤判；而如果kHD的值較大，則LDoS發(fā)生時會使得較多的檢測窗口的海寧格距離都小于閾值thresholdHD，從而導(dǎo)致較多的漏判。因此，統(tǒng)計算子kHD的選擇關(guān)系著檢測的準(zhǔn)確度。圖3.7和圖3.8分別給出了網(wǎng)絡(luò)中不存在任何的情況下和網(wǎng)絡(luò)中存在海寧海寧格距 檢測窗 海寧海寧格 檢測窗口編圖3.7網(wǎng)絡(luò)中無時，統(tǒng)計算子取不同值的情況下判別HAP和HNP結(jié)果示意 圖3.8網(wǎng)絡(luò)中存在LDoS時，統(tǒng)計算子取不同值的情況下判別HAP和HNP結(jié)果示意在網(wǎng)絡(luò)沒有任何的情況下，從圖3.7中可以看到，統(tǒng)計算子kHD=1時的個數(shù)減少為0個。而在網(wǎng)絡(luò)LDoS的情況下，從圖3.8中可以看到，HNP情況下，P的個數(shù)隨著統(tǒng)計算子kD的而減，在網(wǎng)DoSHD的取值在一定范圍內(nèi)（13）PHD計算子kHD3。基于海寧格距離的 檢測算Step1：數(shù)據(jù)流量采樣。基于擬定的采樣指標(biāo)，對 數(shù)據(jù)流量采樣Step2：采樣數(shù)據(jù)的處理與度量據(jù)巴氏系數(shù)和海寧格距離的計算方法，對（取中的TP流量數(shù)據(jù)采樣。采樣得到的數(shù)據(jù)為每秒時間內(nèi)的TP數(shù)據(jù)流量TCP，單位為字節(jié)。設(shè)每個檢測窗口W的時間長度為TS，采樣時間間隔為Δt，采樣對象為網(wǎng)絡(luò)中的某個關(guān)鍵路由器，則通過對該路由器的連續(xù)采樣可以得到一個檢測窗口DWTP數(shù)據(jù)流量樣本序列。TCP流量樣本序列以后，便可以計算出訓(xùn)練數(shù)據(jù)和HH為基準(zhǔn)，根據(jù)公式（3.6）計算出訓(xùn)練數(shù)據(jù)各個檢測窗口氏系數(shù)和海寧格距離，求得這些海格距離的去尾平均值和標(biāo)準(zhǔn)差，并依據(jù)式（3.10）計算閾值thresholdHDthholdHD則2判斷測試數(shù)據(jù)中的個檢測口內(nèi)是否生了DoS。根據(jù)前面給出的檢測步驟，可以得到基于海寧格距離檢測LDoS的檢測基準(zhǔn)H，即訓(xùn)練數(shù)據(jù)中某個檢測窗口（本文取第一個）的樣本容量n，分段數(shù)B//序列OO

H=ComputeHistogram(Otr ?= HD=ComputeHD(H，? |m =TailAverage( =Computeσ(HDtr//根據(jù)訓(xùn)練數(shù)據(jù)所有檢測窗口的海寧格距離的平均值和標(biāo)準(zhǔn)差 計//閾值threshold //初始化時刻t

SS

//對Ste H=ComputeHistogram(SteputeHD(H，?

//若HD的值大于閾值thresholdHD，表示發(fā)現(xiàn)LDoS，輸出 HD>thresholdHD

endwhileH的主要與分段數(shù)B線性相關(guān)，因此H的空間復(fù)雜度為O（B）。TCP數(shù)據(jù)流量樣本消耗的空間與檢測窗口時間長度Ts和采樣間隔t有關(guān)，對于確定的Ts和t，TCP數(shù)據(jù)流量樣本消耗的空間僅與檢測窗口的樣本個數(shù)線性相關(guān)，因TCPO（N）。而巴氏系數(shù)、海寧格距離都為一個綜合上述分析可知，基于海寧格距離檢測LDoS算法消耗的空間主要由基準(zhǔn)H和TCP數(shù)據(jù)流量樣本消耗的空間決定，而二者的空間復(fù)雜度分別為于N一般遠(yuǎn)大于B，所以可以認(rèn)為該檢測算法的空間復(fù)雜度為O（N）。TCPH，主要包括最根據(jù)3中得到氏系數(shù)計算該檢測窗口的海寧格距離環(huán)節(jié)1中的時間消耗與檢測窗口的樣本個數(shù)線性相關(guān)，其時間復(fù)雜度為（N。環(huán)節(jié)2中最大值和最小值的計算與樣本容量線性相關(guān)，計算各個分段采樣值的TCP數(shù)據(jù)流量樣本，因此，計算這三個值的時間復(fù)雜度均為O（N），2的時間復(fù)雜度為O(3N)O（N）。3HB線性相關(guān)，因此環(huán)節(jié)3的時間復(fù)雜度為O（B）。綜合對所有計算環(huán)節(jié)的時間復(fù)雜度的分析可知，基于海寧格距離檢測LDoS攻擊的檢測算法的時間復(fù)雜度為O（N）和O（B）的較大者，而一般來說，樣本個數(shù)N遠(yuǎn)大于分段數(shù)B，所以基于海寧格距離檢測LDoS算法的時間復(fù)雜度也為O（N）通過對基于海寧格距離檢測LDoS算法的時間復(fù)雜度和空間復(fù)雜度的分析都是較少的，適合在大規(guī)模網(wǎng)絡(luò)中部署以實現(xiàn)對LDoS的實時檢測。實驗及結(jié)果分析實驗采用基于NS-2網(wǎng)絡(luò)仿真軟件的實驗?zāi)M平臺。實驗采用的網(wǎng)絡(luò)拓?fù)鋱D3.10R1、R2、R3為路由器，R2為“關(guān)鍵路由器”，R2R3之間的鏈10Mbps30msR2R3之間的100Mbps15ms25條合TCP10TCP連接使用的擁塞控制算個路由器采用的隊列管理算法為“隨機早期檢測算法（RandomEarlyDetection，350sLDoS參數(shù)設(shè)置為：周期T=1s，持續(xù)時間lattack=150ms或或250ms，數(shù)據(jù)發(fā)送率為Rattack=30Mbps或50Mbps。檢測窗口DW的時間長何，其數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，第Ⅱ組實驗針對包含 （Rattack為FDoS數(shù)據(jù)的發(fā)送速率，第Ⅲ~Ⅷ組實驗針對包含不同參數(shù)3.1lRⅠⅡⅢⅣⅤⅥⅦⅧ根據(jù)實驗Ⅰ中的訓(xùn)練數(shù)據(jù)計算得到檢測參數(shù)thresholdHD=0.25。由模擬驗時長和檢測窗口長Ts可知，每組實驗可以33個檢測DW1…DW33。使2（JC2）分別對Ⅱ~TCP數(shù)據(jù)流量數(shù)據(jù)進(jìn)行檢測，得到各分組實驗數(shù)據(jù)的檢測結(jié)果，如圖3.11所示。3.11從圖3.11所示的實驗結(jié)果可以看到，在LDoS沒有發(fā)生時（各組實驗的前17發(fā)生時，檢測窗口Ⅱ-DW18報告LDoS，發(fā)生了誤報，其原因在于該檢測窗口包含了的始發(fā)階段，發(fā)生時，該檢測窗口內(nèi)的TCP數(shù)據(jù)流量急劇降低，其TCPHAP，而在FDoS發(fā)生一段時間后，檢測窗口Ⅱ-DW19~Ⅱ-DW33均沒有報告LDoS攻擊；在LDoS發(fā)生時，包含LDoS的第一個檢測窗（檢測窗口Ⅲ-DW18、Ⅳ-DW18、Ⅴ-DW18、Ⅵ-DW18、Ⅶ-DW18和Ⅷ-DW18）均沒有報告LDoS，發(fā)生了漏報，其原因在于發(fā)生時刻處于這些檢測窗口的后半段，這些檢測窗口的TCP數(shù)據(jù)流量分布沒有發(fā)生顯著變化，而在LDoS發(fā)生一段時間后（各組實驗的后15個檢測窗口，編號為19到33），各個檢測窗口均被檢測出LDoS，本章小LDoS發(fā)生時，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量概率分布與無時相比呈現(xiàn)出較TCP數(shù)據(jù)流量分布差異，從而判斷網(wǎng)絡(luò)中是否存在LDoS的檢測方法。首先，對相關(guān)概念進(jìn)行了說明，然后分析了LDoS對TCP數(shù)據(jù)流量分布的影響，針對第二章三種網(wǎng)絡(luò)場景，分析了在每種網(wǎng)絡(luò)場景中，TCP數(shù)據(jù)流量TCP數(shù)據(jù)流量的海寧格距離的大小進(jìn)行了分析和討論，并在此基礎(chǔ)上給出了使用海寧格距離檢測LDoS的判斷準(zhǔn)則。隨后，對基于海寧格距離出了使用該算法檢測LDoS的實驗結(jié)果。實驗結(jié)果表明，基于海寧格距離的LDoS檢測方法能夠檢測出大多數(shù)LDoS空間復(fù)雜度，因此，使用該方法實時檢測網(wǎng)絡(luò)中的LDoS是可行的。融合兩種檢測方法的 檢測系統(tǒng)—檢測算法的復(fù)雜度進(jìn)行分析，最后，將通過實驗驗證該檢測系統(tǒng)檢測LDoS的LBDS第二章和第三章檢測方法分別針對LDoS發(fā)生時網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量表現(xiàn)出的不同特征，依據(jù)相應(yīng)的判斷準(zhǔn)則判斷某個檢測窗口內(nèi)是否發(fā)生LDoS。而實際的網(wǎng)絡(luò)環(huán)境較為復(fù)雜，僅使用其中的法檢測LDoS，可能System，LBDS，從而提高LDoS檢測的準(zhǔn)確度。TCPTCP數(shù)據(jù)流量的樣本處理模塊：對到的TCP數(shù)據(jù)流量樣本按照第二章和第三章異常判別模塊：使用第二章和第三章檢測方法對樣本數(shù)據(jù)中的判斷模塊：運用2.3節(jié)和3.4節(jié)判斷準(zhǔn)則，對3中得到的異常判種檢測方法都只需要當(dāng)前檢測窗口的樣本數(shù)據(jù)和少量的檢測參數(shù)，而且每種檢LBDS對網(wǎng)絡(luò)中的實時獲取的TCP數(shù)據(jù)流量進(jìn)行采樣分析，判別網(wǎng)絡(luò)中是否有LDoS發(fā)生，由于該檢測系統(tǒng)具有較低的空間消耗和較少的計算時間消耗，其所樣間隔、檢測窗口大小、分段數(shù)等。為了降低網(wǎng)絡(luò)中的“噪聲”帶來的影響，檢測數(shù)為10-20。LBDS系統(tǒng)安裝部署到網(wǎng)絡(luò)以后，需要讓系統(tǒng)在整個網(wǎng)絡(luò)中先“學(xué)習(xí)”一段 系統(tǒng)的檢測規(guī)則與算法檢測規(guī)則的任意一種來檢測LDoS，會產(chǎn)生較多的誤判或者漏判，主要包括以下兩種情：在場景S1中，即網(wǎng)絡(luò)中沒有任何時，TCP數(shù)據(jù)流量分布也可能發(fā)生較TCPLDoS攻擊時的TCP數(shù)據(jù)流量分布類似。布發(fā)生較大的變化，導(dǎo)致TCP數(shù)據(jù)流量分布異常。為了消除以上情況導(dǎo)致的誤判和漏判，LBDS則2（JC2），則認(rèn)為此檢測窗口可能包含LDoS。檢測算法//序列OO

?//H =ComputeAverage(Otr =Compute(Otr CV H=ComputeHistogram(Otr HDm=ComputeHD(Hm?)//計算訓(xùn)練數(shù)據(jù)的所有檢測窗口的變異系數(shù)的去尾平均值c、海寧格//離去尾平均值，CVtr為訓(xùn)練數(shù)據(jù)變異系數(shù)序列， =TailAverage(CVtr =TailAverage(HDtr //計算訓(xùn)練數(shù)據(jù)所有檢測窗口的變異系數(shù)的標(biāo)準(zhǔn)差c和海寧格距離//標(biāo)準(zhǔn)差=Computeσ(CVtr =Computeσ(HDtr //根據(jù)c、h、c、h計算閾值thresholdCV和thresholdthresholdCV=ComputeThreshold(c,cthresholdHD=ComputeThreshold(h,h //初始化時刻t SS

//SteHH=ComputeHistogramSteputeHD(H，? puteCV(SteIf(JC1=True)and(JC2=True)thenoutputTrueoutputendwhile 系統(tǒng)的算法復(fù)雜度分析因此就要求檢測算法必須具有較低的空間復(fù)雜度。同時，考慮到檢測LDoS實時性要求，檢測算法必須具有較低的時間復(fù)雜度以便發(fā)生時能夠迅速檢測LBDSLBDSN線性關(guān)，因此時間復(fù)雜度和空間復(fù)雜度皆為O（N。（23、式（31）和式（.2）樣本數(shù)據(jù)即可，而需要消耗的空間主要是樣本數(shù)據(jù)的、一些臨時變量的存儲和計算巴氏系數(shù)時基準(zhǔn)H的，而基準(zhǔn)H中元素的個數(shù)一般是遠(yuǎn)小于樣本個數(shù)O（N。格距離進(jìn)行判別，并運用判斷準(zhǔn)則判斷檢測窗口是否包含LDoS，其中僅涉及到統(tǒng)計值和閾值的及比較，因此，時間復(fù)雜度和空間復(fù)雜度均為O（1。O（N實驗及結(jié)果分析NS2模擬仿真實驗及結(jié)果分析2.102.5節(jié)中實驗參數(shù)的數(shù)據(jù)，第Ⅱ組數(shù)據(jù)為包含F(xiàn)DoS（200s-350s）的數(shù)據(jù)，第Ⅲ~Ⅷ組數(shù)據(jù)為包含不同參數(shù)設(shè)置的LDoS的數(shù)據(jù)。實驗實施表如表5.1所示。根據(jù)第Ⅰ組中的訓(xùn)練數(shù)據(jù)得到變異系數(shù)的閾值0.104和海寧格距離的閾值0.25，然后按照基于變異系數(shù)和海寧格距離的檢測LDoS的檢測算法，使用判斷準(zhǔn)則1（JC1）和判斷準(zhǔn)則2（JC2）對各組數(shù)據(jù)進(jìn)行檢測，得到的檢測結(jié)果如表5.2所示，其中T表示判斷檢測窗口內(nèi)存在LDoS，F(xiàn)表示判斷檢測窗口內(nèi)不存在LDoS攻lRⅠⅡⅢⅣⅤⅥⅦⅧⅠFFFFFFFFFFFFFFFⅡFFTFFFFTFFFFTFFFFTTTFFFTTFFFTT由表5.2可以看到，LDoS發(fā)生時（第Ⅲ~第Ⅷ組實驗中在包含LDoS攻33個檢測窗口，因此，LBDSNS-2模擬數(shù)據(jù)測試中漏報率為1/33*100%=3.33%。當(dāng)網(wǎng)絡(luò)中存在FDoS時（第Ⅱ組實驗數(shù)據(jù)中，該檢測方發(fā)生誤報，但是誤報僅發(fā)生在第一個包含F(xiàn)DoS的檢測窗口（Ⅱ-DW18）中，即由于FDoS攻擊引起的誤報在本次試驗中只發(fā)生了一次，因此LBDS系統(tǒng)的誤報率也為 數(shù)據(jù)集測試實驗及結(jié)果分析林肯推出的用于檢測的標(biāo)準(zhǔn)數(shù)據(jù)集，其中包含了DoS、Probe等各種典型的網(wǎng)絡(luò)，是國際公認(rèn)的標(biāo)準(zhǔn)評測數(shù)據(jù)集。Darpa99數(shù)據(jù)集共包含五周的數(shù)據(jù)，其中第1周和第3周是無數(shù)據(jù)。第2、4、5周的數(shù)據(jù)均包含了各種網(wǎng)絡(luò)，其中第2周的數(shù)據(jù)包含18種種類43次實例，第4、5周的數(shù)據(jù)包含58種攻擊201次實例，第4、5周的數(shù)據(jù)通常用作測試數(shù)據(jù)集。1outside1周星期二到第1周星期三的無outside數(shù)據(jù)和第5周星期一的包含多種的outside數(shù)據(jù)本實驗共分為4組，編號分別為Ⅰ~Ⅳ，第Ⅰ組實驗為第1周星期一的數(shù)據(jù)的測11周星期三的數(shù)據(jù)的測試，第Ⅳ組實驗為第5周星期一的數(shù)據(jù)的測試。實驗采樣間隔t=0.5s，檢測窗口時長Ts=3600s，每組實驗包含21個檢測窗口，編號為DW1~DW21。使用基于變異系數(shù)和海寧格距離檢測LDoS的方法對各組實驗數(shù)據(jù)進(jìn)行檢測，得到的實驗結(jié)果如表5.3所示，其中T表示判斷檢測窗口內(nèi)存在LDoS，F(xiàn)表示判斷檢測窗口內(nèi)不存在LDoS。ⅠFFFFFFFFFFFFFFFFFFFFFⅡFTTTTTTFFFTTFFFFFTTFFⅢFFFFFFTFFFFFFFFFFFFFFⅣFTFFFFFFFFFFFFFFFFFFF由表5.3可知，使用訓(xùn)練數(shù)據(jù)測試第1周星期二無的數(shù)據(jù)時，如果僅使用兩種檢測方法中的一種檢測LDoS，會導(dǎo)致較多的誤報，而使用LBDS系統(tǒng)的檢測方法檢測LDoS后，誤報個數(shù)顯著減少，誤報率顯著降低。在使用LBDS系2個誤報，其主要原因是因為在這兩個檢測窗口內(nèi)TCP數(shù)據(jù)流量發(fā)生了較大波動，其流量分布與LDoS發(fā)生時相似。因此，LBDS系統(tǒng)在Darpa99數(shù)據(jù)集的測試中誤報率為2/（214）100%=2.38%本章小本章融合基于變異系數(shù)的LDoS檢測方法和基于海寧格距離的LDoS檢成誤判和漏判的特殊網(wǎng)絡(luò)環(huán)境，在這種特殊網(wǎng)絡(luò)環(huán)境中使用單一檢測方法檢測兩種檢測方法的檢測系統(tǒng)LBDS，給出了該系統(tǒng)的原型；隨后對LBDS系統(tǒng)的部LBDS系統(tǒng)的有效性進(jìn)行了驗證，實驗結(jié)果表明LBDS系統(tǒng)具有較好的檢測效果。已完成工作相對傳統(tǒng)的DoS，LDoS具有更強的隱蔽性，因而更難檢測，而現(xiàn)有通過對三種網(wǎng)絡(luò)場景中的TCP數(shù)據(jù)流量的分析，根據(jù)LDoS所導(dǎo)致的不同流量異常特征，提出了兩種新的LDoS檢測方法，并融合兩種檢測方法設(shè)計了LDoS綜合檢測系統(tǒng)—LBDS。具體來說，主要完成的工作主要包括以下幾個方面對LDoS的原理和特點進(jìn)行了分析，了檢測LDoS存在的難度，并結(jié)合研究現(xiàn)狀詳細(xì)分析了基于頻域和基于時域的兩類檢測LDoS的方法，歸流量，得出LDoS發(fā)生時，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量的離散程度與無時相比呈現(xiàn)顯著差異的結(jié)論?；谶@一結(jié)論，明確可使用統(tǒng)計學(xué)中的變異系數(shù)來對這種差異進(jìn)行度量，并在此基礎(chǔ)上提出了一種基于變異系數(shù)檢測LDoS的方法。通過對三種網(wǎng)絡(luò)場景中TCP數(shù)據(jù)流量概率分布的分析，得出網(wǎng)絡(luò)中發(fā)生LDoS時，TCP數(shù)據(jù)流量會持續(xù)波動，從而導(dǎo)致TCP數(shù)據(jù)流量的分布產(chǎn)生“異?！钡慕Y(jié)論。基于這一結(jié)論，通過分析現(xiàn)有度量TCP數(shù)據(jù)流量分布異常的方法所存在的某些不足，引入了巴氏系數(shù)和海寧格距離來度量不同網(wǎng)絡(luò)場景中TCP數(shù)據(jù)流量分布之間的差異，并在此基礎(chǔ)上提出了一種基于海寧格距離檢測LDoS的方法。針對使用單一檢測方法檢測LDoS可能存在的不足，通過對兩種特殊的基于公共數(shù)據(jù)和仿真實驗，對本研究兩種檢測方法的有效性進(jìn)行了測試且具有較低的誤報率和漏報率，證明了使用這兩種檢測方法檢測LDoS是可行下一步工作本文結(jié)合LDoS所導(dǎo)致的TCP數(shù)據(jù)流量分布異常特征給出了基于變異系數(shù)和海寧格距離兩種檢測LDoS的檢測方法，并在融合這兩種方法的基礎(chǔ)上構(gòu)建了LDoS綜合檢測系統(tǒng)。實驗結(jié)果表明，上述各種方法能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的大多數(shù)LDoS，且具有較低的誤報率和漏報率，對于LDoS的檢測具有一定的實際意義。但是由于研究水平和研究時間的限制，對LDoS的研究還存在值得進(jìn)僅從LDoS導(dǎo)致TCP數(shù)據(jù)流量分布異常的角度討論了LDoS的檢測方法，而實際LDoS還可能導(dǎo)致其它異常（如ACK流量分布異常等，因此還需要用的觀測指標(biāo)去度量LDoS導(dǎo)致的網(wǎng)絡(luò)異常實現(xiàn)更精準(zhǔn)的LDoS攻對LDoS發(fā)生時的防御方法進(jìn)行研究，實現(xiàn)對LDoS的檢測和防御，降低LDoS造成的影響。然后要感謝曉蘇老師，老師治學(xué)嚴(yán)謹(jǐn)，為人風(fēng)趣幽默，和學(xué)生打成一片，是我們的良師益友。在和老師的相處過，我們總能夠?qū)W到很多以前不知道、但是卻讓我們受益終生的東西。此外，作為的人，老師給我們營造了一個良好的學(xué)習(xí)和生活環(huán)境，使我們更好的投入到學(xué)習(xí)和工作中。在的定稿過，老師也細(xì)心的為我們中的每一個問題，因此的完成也凝聚了老的血，老辛了！特別感謝凱老師，在研究的初期階段，曾經(jīng)茫然和彷徨，每到這時，凱老會給我提出很多的建議，教導(dǎo)我做科學(xué)研究的方法，帶我走出迷茫。在修改完善的過，老師也在各個方面提出很多有益的修改建議，使我受益匪淺。此外，在做項目的過，老師也教給我許多規(guī)范化的開發(fā)方法，這對我今后的工作都是大有裨益的。 ，2001（3： ．服務(wù)的分析與防范．電信技術(shù)，2000（6：26～28 濮青．DoS(服務(wù))技術(shù)及其防范．中國數(shù)據(jù)通信 （1：1～19[5]U.Tariq,M.HongandK.S.Lhee.AComprehensiveCategorizationofDDoSAttackandDDoSDefenceTechniques.AdvanceDataMiningandApplications,2006, ，2003（12： ，2004（03：337～346WentaoLiu.ResearchonDoSattackandDetectionProgramming.In:ProceedingsofInligentInformationTechnologyApplication,2009.ThirdInternationalSymposiumon,2009,207~210JunLi.EarlystatisticalanomalyintrusiondetectionofDOSattacksusingMIBtrafficparameters.In:ProceedingsofInformationAssuranceWorkshop,2003.IEEESystems,ManandCyberneticsSociety,2003,53~59HainingWang,Change-pointmonitoringforthedetectionofDoSDependableandSecureComputing,IEEETransactionson,2004,1(4):謝希仁．計算機網(wǎng)絡(luò)．：電子工業(yè)2001（829～．2006（24：2005（11QayyumA，IslamMH，JamilM．Taxonomyofstatisticalbasedanomalydetectiontechniquesforintrusiondetection.In:ProceedingsofInternationalConferenceonEmergingTechnologies.InternationalConferenceonEmergingTechnologies,2005,270~276GabrielMF.Evaluationofalow-rateDoSattackagainstiterativeservers.ComputerNetworks,2007,51(4):1013~1030GuirguisMina,BestavrosAzer,MattaIbrahim.Ontheimpactoflow-rateattacks.In:ProceedingsofIEEEInternationalConferenceonCommunications(ICC2006),2006IEEEINTERNATIONALCONFERENCEONCOMMUNICATIONS2006,董闊，．一類慢速服務(wù)的防御方法．中國科學(xué)技術(shù)大學(xué)學(xué)報2010，40（1：103～108，曹強，等．一種基特征提取的低速率DoS檢測方法．軟件2009，20（4：930～941，，韓奕等．一種針對LDoS的分布式協(xié)同檢測方法．小型微2009，30（3：425～430旺，殷建平，蔡志．基于擁塞參與度的分布式低速率DoS檢測過2010，32（7：49～52ChenY,HwangK.CollaborativedetectionandfilteringofShrewDDoSattacksusingspectralysis.JournalofParallel