內容參考設計

AThesisSubmittedinPartialFulfillmentoftheRequirementsfortheDegreeofMasterofEngineering：Kang：Computer：AssociateProf.XiaoHuazhongUniversityofScienceandTechnologyWuhan,Hubei430074,P.R.ChinaJan.,Service）具有相當的危害性且更強的隱蔽性。由于LDoS的低速率和高隱蔽性特征，傳統的DoS檢測方法已無法對其進行有效地檢測，而現有的LDoS檢測方法仍然存在一些不足和問題，因此，研究一種能夠有效檢測LDoS的攻了一種基于變異系數檢測LDoS的方法。針對基于變異系數檢測LDoS的方法中存在的不足，通過對三種網絡場景測LDoS的方法?；趯嵱眯院陀行栽瓌t，設計了一個融合基于變異系數和System，給出驗結果表明，LBDS檢測系統能夠檢測出大多數LDoS，且具有較低的誤報率和漏報率，證明了LBDS檢測系統用于LDoS檢測的可行性和有效性。：慢速服務，檢測，變異系數，海寧格距AsanimprovementoftraditionalDoS(DenialofService)attack,theLDoS(Low-rateDenialofService)attackisveryhazardousandhasstrongerconcealment.BecauseofthelowrateandhighconcealmentofLDoSattack,traditionalDoSattackdetectionmethodcannoteffectivelydetectit，andcurrentLDoSattackdetectionmethodsstillhavesome ingsandproblems.Therefore,ithasgreattheoreticalvalueandpracticalsignificancetoresearchanattackdetectionmethodwhichcandetectLDoSattackeffectively.ThroughtheysisoftheLDoSattack’sprincipleandcharacteristics,thisthesispointsoutthedifficultyofdetectingtheLDoSattack.Firstly,wereviewstateoftheartoftheLDoSattackdetectionmethodsindetail,andthenwesummarizethe ingsoftheexistingdetectionmethods.Toemphasizetheessentialsoftheproblems,threedifferentnetworkscenariosareconsidered.ThroughtheysisofthefluctuationsofTCP(TransmissionControlProtocol)dataflowinthethreescenarios,itisfoundthatasignificantdifferenceinthedispersiondegreeofTCPdataflowexistswhenLDoSattackoccurscomparedtothecasewithoutanyattackinthenetwork.Basedonthisobservation,wemeasurethatdifferencebyusingthecoefficientofvariationinstatistics,andfurthermore,anLDoSattackdetectionmethodbasedonthecoefficientofvariationisproposed.AccordingtothedeficienciesintheLDoSattackdetectionmethodbasedonthecoefficientofvariation,weintroduceBhattacharyyaCoefficientandingerDistancetomeasurethedifferenceinprobabilitydistributionoftheTCPdataflowindifferentnetworkscenarios.Then,anLDoSattackdetectionmethodbasedoningerDistanceisproposed.Byconsideringpracticalityandeffectiveness,wedesignadetectionsystemcalledLBDS(LDoSBlendDetectionSystem)bycombiningthetwodetectionmethods,i.e.,thecoefficientofvariationandingerDistance.Thecorrespondingdetectionrulesanddetectionalgorithmhavebeenpresented.TheeffectivenessofLBDSisverifiedusingpublicdataandsimulation.TheexperimentalresultsshowthattheproposedLBDSdetectionsystemiscapableofdetectingthemajorityofLDoSattacks.Ithasalowrateoffalsepositivesandfalsenegativerate,andthisprovesthefeasibilityandeffectivenessoftheLBDSdetectionsystemforLDoSattackdetection.:Low-rateDenialofService,Attackdetection,CoefficientofVariation,ingerDistance摘 緒 服務概 慢速服務概 課題研究的意義、內容及目 的組織結 基于變異系數的LDoS檢測方相關概念與定 LDoS導致的TCP數據流量“變異”的現象及分 TCP數據流量“變異”程度的度量與判 基于變異系數的LDoS檢測算 實驗及結果分 本章小 基于海寧格距離的LDoS檢測方相關概念與定 LDoS對TCP數據流量分布的影 TCP數據流量分布異常的描述與分 TCP數據流量分布異常的判 基于海寧格距離的LDoS檢測算 實驗及結果分 本章小 LBDS系統的原 LBDS系統的部 LBDS系統的檢測規(guī)則與算 LBDS系統的算法復雜度分 實驗及結果分 本章小 結束已完成工 下一步工 致 參考文 附錄英文縮寫 緒 服務概1969年世界第一個計算機網絡—阿帕計算機網（ARPAnet）誕生以來，世界各地的異構網絡互連成為可能，其后世界互聯網發(fā)展進入高速發(fā)展階段，越來越多TCP/IP協議的脆弱性對互聯網發(fā)動，給企業(yè)和人們帶來了巨大的經濟損失，嚴重的甚至到國家安全。其中服務（DenialofService，DoS）[1-3]是影響較大的一種方式，的資源無法響應正常用戶的請求，從而使其無法為正常用戶提供相應的服務。服務的目標既可以是主機，也可以是網絡中的節(jié)點（如路由器還可以是整個服務作為現今Internet的最為嚴峻的之一[4]，已經給人們帶來巨大的損失。如國外著名的Yahoo、Amazon、和CNN等都曾過服務攻擊從而導致服務癱瘓。國內著名的聯眾游戲和暴風影音也因為分布式服務而導致大規(guī)模網絡故障。據Yankee小組的分析，僅2004年的服務攻擊已經造成的經濟損失達27億[5]。而且隨著互聯網的發(fā)展，服務的工具越來越多，發(fā)起服務的方法也越來越簡單，者往往只需要簡單的操作便可以發(fā)起，因此服務ofServiceLDoS慢速服務概LDoS的原傳統的DoS往往是由者在一段時間內持續(xù)發(fā)送大量數據使網絡出因此可以認為傳統的DoS是一種通過“壓力”的方式來達到目的的攻擊，即者大多通過持續(xù)向網絡中注入大量數據包，致使網絡發(fā)生嚴重擁塞大量丟包，從而達到“服務”的目的。這種方式會使網絡流量的一些統計的異常來檢測傳統DoS。一旦檢測到DoS發(fā)生，被者就可以采取相應的措施（如丟棄數據包、限制發(fā)送速率等）將DoS的影響程度降到最低。雖然現有的檢測方法能夠檢測出大多數傳統的DoS，但近年來，隨著DoS方式的多樣化，DoS的檢測也遇到很多新的，尤其是在2003年，RiceAleksandar在計算機網絡方面的頂級會議N上提出了一種稱為低速率服務（Low-rateDenialofService，LDoS）的DoS方式，使得DoS的檢測和防范受到了更大的。LDoS主要針對TCP/IP協議，利用協議中的安全（如TCP擁塞控制機大量丟包，從而顯著降低被者的服務性能，而在其他時間段內，者則保持靜默，即“間歇性”。LDoS“間歇性”的特點，使得LDoS在一個周期內的平均數據流DoS攻雖然當前LDoS的方式多種多樣但是大多數類型的LDoS都存在著一網絡系統可以在平衡遭到破壞而不穩(wěn)定時，依靠一定的方法自我調整重新恢復到穩(wěn)TP/P協議中自適應機制設計之初追求的主要TP/P當網絡系統運行在“穩(wěn)定狀態(tài)”時，往往能夠獲得較高的性能，而當網絡系統oS和傳統DoS相比，LDoS具有更高的效率，可以使用較低的代價已有檢測方法的檢測，具有更高的隱蔽性。LDoS根據其針對的TCP/IP協議自適應機制的不同,大致可分為兩類：一類是針對TCP擁塞控制機制[11-13]的LDoS；一類是針對路由器主動隊列管理機制[14-16]的LDoS。而無論哪一類LDoS，其基本的方式可以歸納描述為圖1.1中所示。圖1.1基本的LDoS示意的持續(xù)發(fā)送時間，T表示LDoS的發(fā)送周期。由此可將LDoS用一個三元組表示，即（Rattack,Tattack,T其中Rattack、lattack、T稱為LDoS的參數。示的方式。圖1.2“階梯形”LDoS示意圖1.3周期變化的LDoS示意圖1.2中所示的LDoS的lattack可分為兩個階段：第一階段稱為“發(fā)起擊者會降低自己的發(fā)送速率，但由于者并沒有停止，因此網絡丟包依然較為嚴重。此種較圖1.1中所示的LDoS相比具有更低的平均發(fā)送速率，因圖1.3中所示的LDoS是一種周期不斷變化的，這種周期的變化既有可能是者在發(fā)送數據流時使用了“隨機周期法”所導致的，也有可能是由于發(fā)送者分布在不同的地方（即分布式服務）所導致的。采用LDoS的檢LDoS具有的低速率和高隱蔽性的特點，給檢測造成了一定的。目前，LDoS檢測技術尚未成熟，根據現有各檢測方法所具有的特點，可以將這些檢測LDoS所具備的周期性特點來實現對LDoS的檢測，或根據LDoS所具備的高速脈沖特點來實現對LDoS的檢測[17-20]?；陬l域的檢測方法基于頻域的LDoS檢測方法通過對網絡流量的頻譜分析發(fā)現LDoS會導致網絡流量的頻域分布發(fā)生異常，然后通過檢測這種異常來實現對LDoS的檢測[21-23]。目前主要有分布式協同檢測過濾方法、基分析的檢測方法和基于UDP頻域檢測的過濾方法。分布式協同檢測過濾方法Chen等提出了一種分布式協同檢測過濾CDF（CollaborativeDetectionandDensityNCPSDNCPSD在低頻段存在的差異[26-29]，然后對采樣測能量分布是否發(fā)生異常來判斷網絡中是否存在LDoS。CDF方法包括兩個階段：學習階段和測試階段。學習階段主要是根據一個模板產生模板和高斯模板分布，模板包含三個參數：周期α、脈寬度β和脈沖速率γ，高斯模板分布基于包含的數據集獲得；測試階段主要是使用三個算法來設定關鍵頻域、檢測流和對合法流量中的流進行過濾，該階段還使用路由器的流入流量對CDF檢測方法的有效性進行了驗證。通過對包含LDoS和不包含LDoS的兩種流量的功率譜密度PS（Power依據兩種流量能量分布的這種差異可以判斷一個采樣流量中是否包含LDoS?；治龅臋z測方Luo等提出了一種兩階段檢測方法[31]來檢測針對TCP[3]（Direvletrnform分析路由器TPTPKT主要用到兩個函數：小波函數和度量函數。小波函數通過時間窗口計算信號差異起到高通濾波器的作用，能夠檢測出流入流量的變化；度量函數則起到低通濾波器TPK流量是否發(fā)生了顯著變化。為實現檢測，該檢測方法使用了滑動窗口的方法，即對流入路由器的流量n個采樣信號的強度進行分析。第二階段，利用累積和CUSUM（CumulatedSum）方法[34]，判斷網絡中的流量是否出現異常，并以此為依據來判斷網絡中是否發(fā)生了LDoS。將第一階段中獲得的兩個流量：流入流量和ACK流量，轉換成兩個隨機序列ZH(n)EH(n)H、ZL(n)LEL(n)，其中， 中元素的最大值； ，其中，為中所有元素的平均值，參數稱為的“縮放因子 為中所有元素的標準差基于UDP頻域檢測的過濾方法進行“時/頻”轉換，該轉換主要用到離散傅里葉變換DFT[30]（DiscreteFourierTransformNCAS（NormalizedCumulativeAmplitudeSpectrum）上存在較大差異，據此可以判斷某個數據流中是否包含LDoS。這種方法較好的把握住了LDoS所導致的異常特征，者若要避免此類特征的出現，則需要向網絡中注入的數據包。該方法通過對大量數據的分析，發(fā)現采樣結果近似服從正態(tài)分布[35]IPIP地址、目的端NFTSFTPDTNFT中PDT中有某數據流的記錄，則所有屬于此流的數據包將被丟棄；新到來的數據流則被加入到SFT中?；跁r域的檢測方法基于時域的檢測方法主要根據數據流所具有的周期性特點和檢測窗口內的流量所表現出的異常，事先分析并設定特征，然后對數據流進行采樣分析，如其主要包括基于動態(tài)時間環(huán)繞的檢測方法[36-37]HAWK檢測方法[38]Vanguard檢測基于動態(tài)時間環(huán)繞的檢測方法Sun等給出了LDoS的數學模型，該模型使用五元 描述LDoS的行為特征，其中T為周期，l為一個周期內數據流的持續(xù)時間，R表示數據流的發(fā)生速率，S表示從計時開始到第一次LDoS開始之間的時間差，N表示背景流量等級。Sun等LDoS檢測方法主要包括四特征，然后將提取到的特征與特征進行匹配。當識別出流后，使用差額循而減小LDoS造成的影響。此外，為減小檢測防范機制對合法TCP流性能的影該檢測方法的優(yōu)點在于對LDoS有較高的識別率和較低的誤報率，對“標準”的LDoS、周期和脈沖發(fā)送速率發(fā)生變化的LDoS以及分布式后，能逐步向上游路由器推進，盡可能接近源，以盡量減少受影響的且其所采用的DRR算法并不能過濾LDoS流HAWK檢測方法為有效檢測和防范利用路由器隊列管理策略存在缺陷而發(fā)起的LDoSKwok等提出了一種新的路由器隊列管理算法—HAWK算法得到的一種LDoS檢測方法。該檢測方法根據LDoS在持續(xù)時間、數據發(fā)送速率和周期上具有的特點，通過一個UDP流表來實現對網絡中的大發(fā)送速率出現的頻率均超過事先設定的閾值，則認為該UDP流為LDoS流，并丟棄所有屬于此流的數據包。該檢測方法對分布式LDoS具有較好的檢測和Vanguard檢測方Luo等提出了Vanguard檢測方法，根據LDoS所導致的TCP流量的異常特征來確定網絡中是否發(fā)生了LDoS。該方法通過LDoS發(fā)生時，TCP流量所表現出的3個異常特征來判斷網絡中是否發(fā)生了LDoS：①流出的TCPACK響TCPTCPACK響應流量的比值顯著TCP3個特征中的①出現或者②、③同時出現，則認定網絡中存在LDoS。Vanguard方法可以較好的檢測出網絡中是否發(fā)生了LDoS，但無法確定攻現有檢測方法存在的不足以上提到的方法都是當前比較有效的LDoS的檢測方法，在某些情況下，網絡中的LDoS，但由于該方記錄數據包的IP地址等信息，致使其內存消耗較大，尤其是在者使用虛假IP地址發(fā)送數據流時，系統消耗內存會急劇成，再加上其發(fā)送信息只是LDoS檢測結果，導致CDF方法的協同檢測程度有限。而基于UDP頻域檢測的過濾方法用到了“時/頻”變換，帶來了較多的計算時比較依賴于具體的特征，對于變種的LDoS檢測效果不佳。如基于LDoS時則出現了較多的漏報。而基于動態(tài)時間環(huán)繞的檢測方法主要利用了Shrew的特點檢測LDoS，對于周期變化的LDoS檢測效果不佳，HAWK算法在實驗中發(fā)生了較多誤報，使得很多不包含LDoS的的合法流被誤報為含有LDoS的數據流，而特息的保課題研究的意義、內容及目標意目前，人們對于LDoS的研究還處于起步階段，雖然現有的檢測方法也能夠在某種程度上檢測出LDoS，但是也存在較多的問題。因此，尋找一種能夠實時檢測LDoS、具有較低的誤報率和漏報率的檢測方法對提升網絡系統的安全性內TCP數據流量進行分析，然后根據分析制LDoS的原理、特點及相關檢測方法目課題的預期目標是構建一個融合兩種檢測方法的LDoS檢測系統，該系統的組織結構第1章：緒論。分析LDoS的原理、特點以及研究現狀，現有LDoS檢測方法存在的不足，明確課題研究在領域的重要理論意義和實用價程度進行度量和判斷，給出一種基于變異系數的LDoS檢測方法，同時設計相第3章：基于海寧格距離的LDoS檢測方法。對三種網絡場景中的TCP數TCP數據流量分布可能出現的異常，的LDoS檢測方法，同時設計相關實驗對該檢測方法的有效性進行驗證。第4章：融合兩種檢測方法的LDoS檢測系統—LBDS。對LBDS系統的原5章：結束語?？偨Y已完成的工作，并對仍然存在的問題和下一步工作進行基于變異系數的LDoS檢測方LDoS發(fā)生時，會導致TCP數據流量出現劇烈波動，同時平均TCP數據流提出一種基于變異系數的LDoS的檢測方法。首先，為便于討論，本章將給出LDoS攻異常的方法；最后，本章將給出用以檢測LDoS的判斷準則，并通過實驗證明基于變異系數的LDoS的檢測方法的可行性和有效性。相關概念與定義為便于評測檢測LDoS的方法的效果，事先給出如下定義：定義2.1檢測準確度指檢測結果和實際情況相符合的程度。2.1中的“相符合的程度”主要是從定性角度來描述檢測結果，其取值為定義2.2在檢測LDoS時，實際未發(fā)生但被檢測為LDoS的幾率稱為誤報率（FalsePositiveRate，FPR）。為n，在所檢測出的n次中實屬LDoS的為l次，則可得FPR的形式化描FPRnlm

（誤報率反映了檢測方法對LDoS判斷的“精準”程度，是對檢測準確度的定義2.3在檢測LDoS時，LDoS實際發(fā)生而未被檢測出的幾率稱為漏報率（MissingReportRate，MRR）。設在某次檢測中，總的檢測次數為m次，m次檢測中實際發(fā)生的LDoSMRRwxm

（漏報率反映了檢測方法對LDoS的“敏感”程度，也是對檢測準確度的一FTCP：每秒時間內的TCP數據流量，單位為DATAtr，DATAte：根FTCP及采樣時間得到的時序序列DATAtr表示“訓能含有的網絡中獲取的TCP流量數據）OO

SS

本文中LDoS檢測的準確度主要包括以下兩個方面：第一，不受具體LDoS模式的影響，能夠檢測出多種模式的LDoS，降低漏報率；第二，在網絡LDoS外的其它，降低誤報率。為LDoS此，可假定在場景S1中網絡中不存在任何。場景S2中的可以稱之為非LDoS，這些大多通過使用“壓力”方式來對合法TCP數據生影響，從而達到的目的，如SYNFlood洪泛、Land等。LDoS導致的TCP數據流量“變異”的現象及分TCP協議是目前互聯網中使用最為廣泛的傳輸協議。根據MCI（MicrowaveCommunicationIncorporation的統計互聯網上總字節(jié)數的95%及總數據包數的90%均使用TCP協議傳輸[42]。目前大多數LDoS也都是針對TCP協議中主要的自適應機制——擁塞控制機制所。因此本文重點關注的是LDoS對網絡中TCP數據生的影響，并在此基礎上通過比較分析的方法找出有無LDoS時TCP數據流量的差異，從而達到檢測LDoS的目的。在場景S1中，由于網絡中不存在任何，網絡中的TCP數據流量沒有發(fā)生TCP數據流量處于一個較高的水平。即使網絡中發(fā)生擁塞，TCPTCP數據流量并不會出現持續(xù)劇烈波動的情況，如圖TCP數TCP數據流量

平均TCP數據流 時間

2.1S1TCP2.1中可以看到，實際網絡中，TCPTCPTCP擁塞控制機制作用的結果：當網TCP數據流量呈現出一個穩(wěn)定的增長狀態(tài)，當網絡TCP數據流量較快下降，此后又慢慢恢復到初始水平。TCP數據流TCP數據流量值附近振蕩，且一般不會長時間明顯“偏離”平均TCP數據流量值。）在場景S2中，網絡中存在非LDoS的其它，這些對網絡中的TCP數據流量產生了很大的影響，使得網絡中的TCP數據流量與正常情況下相比發(fā)生了較大的變化，這些大多通過“壓力”的方式來呈現，即者自身會向網Service中的SYN-Flood便是通過使用的IP地址向受害主機發(fā)送大量在這些時，TCP數據流量會出現一個跳變，即TCP數據流量在某一個時刻急劇TCPTCP數據流量值，如圖2.2所示。） 時平均TCP數據流 發(fā)生時平均TCP數據流TCP數TCP數據流量0 時間

TCP數據流量會逐漸恢復到與正常狀況下較為接近的一個水平，而后下一個周期發(fā)出的脈沖又會使TCP數據流量急劇下降，最終，網絡中0

時間

圖2.3中，第50-200秒沒有任何，從第200秒開始發(fā)生LDoS直至350秒結束。LDoS的周期為1s，數據流的發(fā)送速率為3Mb/s，一個周期內的持續(xù)時長為150ms從圖2.3可以看到，LDoS發(fā)生時網絡中的TCP數據流量持續(xù)頻繁波動，平均TCP數據流量急劇下降。 數據流量“變異”程度的度量與判斷動，但不會出現持續(xù)頻繁波動的情況。當LDoS發(fā)生時，即場景S3中，網絡中TCP數據流量的分布上主要表現為以下兩點：第一，TCP數據流量的方差增大；第二，平均TCP數據流量降低。其原因在于，LDoS發(fā)生時，TCP數據流量連續(xù)出現較大幅度的波動，使得TCP數據流量的方差變大，且整個網絡一直處于“不穩(wěn)定狀態(tài)”，平均TCP數據流量顯著降低，即TCP數據流量發(fā)生了“變異”。這種“變異”可表現為TCP數據流量的方差與TCP數據流量的均值之比變大，即“變異系數”產生變化。變異系數（CoefficientofVariation，CV）[43]是概率論和統計學中的一個概念，StandardDeviation），其值為分布的標準差與分布的平均值的比值，如式（2.3）所CVx

（其中σxS1S2S2TCP數據流量“跳TCP數據流量沒有發(fā)生持續(xù)頻繁波動，各時間段的變異系數大多為一個相對較小的值。而在場景S3中，LDoS會導致TCP數據流量系數超過事先設定的閾值時，該時間段內可能發(fā)生LDoS。度的方法來定義檢測窗口，如定義2.5所示。為檢測窗口（Detection設采樣間隔為tTsi次采樣得in為樣本容量,計算Ai中樣本觀測值的平均值得到第i個TCP數據流量xTCPi則xTCP的定義如式（2.5）所示，根據xTCP及其在檢測窗口中的順序號可以構建 iin （nxTCP （ TsDWm=xTCP,1xTCP,2x Ts n*n*t 其中m為檢測窗口的編號，Ts通常為n*Δt的整數倍。根據檢測窗口的定義可知TCP數據流量樣本的時序序列，因此可以求得m每個檢測窗口對應一個變異系數cTCP，則根據每個檢測窗口的變異系數和該檢測窗口的編號可以構建一個二元組PCV，如式（2.7）所示。mPCVcTCP,m （ 2.2TCP數據流量的分析可知，TCP數據流量的變化可將得到的變異系數分為兩S1S2中的檢測窗口的變異系數稱為TCP數據流量變異系數”，場景S3中的檢測窗口的變異系數稱為TCP數據流量變2.6所示。m2.6TCP數據流量的變異系數cTCPmthresholdCV，則相應的變異系數點稱為異常變異系數點（CoefficientPCV，CAP），反之，則稱為正常變異系數點（CoefficientNormalCAP和CNP集合的形式化定義如式（2.8）和式（2.9）所示

PCV，CNP）{CAPcTCPm|cTCP （ {CNPcTCPm|cTCP （ 其中thresholdCV變異系數大于thresholdCVCAP，否則認為該檢測窗口相應的變異系數點為CNP。S1中，TCP數據流量在擁塞控制機制下呈現較小的波動，因此大多數DW的變異系數相對較小，相應的變異系數點為CNP，圖2.4所示為場景S1中的一

值thresholdCV=0.104（統計算子及閾值的取值將在隨后討論判斷所有檢測窗在場景S2中，網絡中的其他（非LDoS）使得網絡中的合法TCP數據流量較低，而且這些TCP連接無法進入“擁塞控制”過程，所以網絡中的合法TCPS1TCP數據流因為受到影響而始終處于較低水平，但是持續(xù)一段時間后，TCP數S1S2中，各檢測窗口的兩類變異系數點的比例與場景S1是近似的，如圖2.5所示。

檢測窗口編圖.5S2，應各檢測窗口的變異系數皆為較小值，且都沒有超過閾值thresholdCV，CAP0的檢測窗口的時間范圍為第194s-203s，它剛好包含了的始發(fā)階段（開始于200s值，使得該檢測窗口對應的變異系數點表現為CAP。2.6變異變異系 檢測窗口編綜合上述對三種網絡場景下的各檢測窗口的變異系數的分析，給出LDoS窗口內可能存在LDoS。閾值thresholdCV的大小設定會影響判別CAP和CNP的結果，從而影響檢時候的網絡狀態(tài)，因此本文基于“訓練數據”定義thresholdCVthresholdCV的thresholdCVkCV （2.10）其中窗口變異系數的標準差。kCV任何的。對于已知的和kCVthresholdCVkCV的值較小，則網絡中無時，會使得較多的檢測窗口的變異系數超過閾值thresholdCV，從而導致較多的誤判；而如果kCV的值較大，則LDoS發(fā)生時，會使得較多的檢測窗口的變異系數小于閾值thresholdCV，從而導致較多的漏判。因此，統計算子kCV的選擇關系著檢測的準確度。圖2.7和圖2.8分別給出了網絡中不存在任何的情況下和網絡中存在的情況下，統計算子kCV=1、2、3、4CAPCNP的結果示意圖。在網絡沒有任何的情況下，從圖2.7中可以看到，統計算子kCV=1、kV4時，AP為0絡DoS況，圖8PkV有任何的情況下，AP的個數隨著統計算子kV的增大而減少，而在網絡DoS，kV的取值在一定范圍內（為1到4）對P的個數沒有影響。基于這一事實，本文僅從減少誤判的角度設定kV的取值，經過反復試驗，取統計算子kV3。

threshold

threshold

圖2.7網絡中無時，統計算子取不同值的情況下判別CAP和CNP結果示意

threshold

圖2.8網絡中存在LDoS時，統計算子取不同值的情況下判別CAP和CNP結果示意基于變異系數的LDoS檢測算由2.3節(jié)的討論可知，基于TCP數據流量的“變異”來檢測LDoS，一般Step1：數據流量采樣。基于擬定的采樣指標，對 數據流量采樣Step2：采樣數據的處理與度量。根據變異系數的計算方法，對TCP數據流量樣Step3：檢測?；谥贫ǖ呐袛鄿蕜t1對度量結果進行檢測，判斷是否（取中的TP流量數據采樣。采樣得到的數據為每秒時間內的TP數據流量TCP，單位為字節(jié)。設每個檢測窗口W的時間長度為TS，采樣時間間隔為Δt，采樣對象為網絡中的某個關鍵路由器，則通過對該路由器的連續(xù)采樣可以得到一個檢測窗口DWTP數據流量樣本序列。TCP數據流量樣本序列以后，便可以計算各個檢測差，并依據式（2.10）計算閾值thresholdCV，最后，基于thresholdCV1判斷測試數據中的各個檢測窗口內是否發(fā)生了LDoS。根據前面給出的檢測步驟，可以得到基于變異系數的檢測LDoS的檢測算法，如算法2.1所示。//序列OO

//對Otr計算各個檢測窗口的變異系數序列cv

=ComputeCV(Otr=TailAverage(cvtr=Computeσ(cvtr//根據訓練數據所有檢測窗口的變異系數的平均值和標準差 計算//值thresholdCV=ComputeThreshold() //初始化時刻t

=[SS

//Ste計算該檢測窗口內的各個樣本的平均值=ComputeAverage(Ste//Ste計算該檢測窗口內的各個樣本的標準差 =Compute(Ste//計算該檢測窗口的ccTCP=ComputeCV(，//cTCP的值大于

CV，表示發(fā)現 ，輸出IfcTCP>threshold

end以每個檢測窗口為對象，設每個檢測窗口的樣本個數為N，基于變異系數的檢測LDoS的檢測算法在對實時TCP數據流分析時需要的數據主要包該檢測窗口內所有樣本的平均值該檢測窗口內所有樣本的標準差對于TCP數據流量樣本消耗的空間而言，其主要與采樣間隔t和檢測窗口時長Ts有關，對于給定的Ts和t，其消耗的空間只與檢測窗口的樣本個數變異系數CV為計算出來的三個值，它們消耗的空間是固定的，因此整個檢測為O（N）。由算法的空間復雜度的分析可知，基于變異系數的LDoS檢測算法涉及到TCPTCP數據流量樣本，其消耗的時間TCP數據流量樣本計算得到樣本均值，其消耗的時間TCP數據流量樣本計算得到樣本標準差，其消耗的時由于環(huán)節(jié)1、2、3中消耗的時間與檢測窗口的樣本個數線性相關，而環(huán)節(jié)4中消實驗及結果分析NS-2（NetworkSimulatorversion2）[44]網絡仿真軟件進行實驗平臺的構建和相關實驗，實驗的網絡拓撲圖如圖2.10所示。2.1010Mbps30msR2R3之間的鏈100Mbps15ms25條合法TCP10TCP連接使用的擁塞控制算法均為NewReno算法，其最小重傳時間（RetransmissionTimeOut，RTO）為1s。各個350ssLDoS參數設置為：周期T=1s，持續(xù)時間lattack=150ms或或250ms，數據發(fā)送率為Rattack=30Mbps或50Mbps。檢測窗口DW的時間長何，其數據作為訓練數據，第Ⅱ組實驗針對包含FDoS的數據進（Rattack為FDoS數據的發(fā)送速率，第Ⅲ~Ⅷ組實驗針對包含不同參數LDoS的數據進試。實驗實施情況如表2.1（lattack為none表示沒有圖2.11所示。2.1時間l時間lR 時間0 時間

0 時間

根據實驗Ⅰ中的訓練數據計算得到檢測參數thresholdCV=0.104，再結合擬實驗時長和檢測窗口長度Ts33個檢測窗口1…D33。1（1）分別對ⅡTP流量數據進2.12所示。ⅠⅡ1234567891011121314151617181920212223242526272829303132檢測窗口編2.12從圖2.12所示的實驗結果可以看到，在LDoS沒有發(fā)生時（各組實驗的17個檢測窗口，編號為1到17均沒有報告LDoS，即沒有發(fā)生誤報；在FDoS發(fā)生時，檢測窗口Ⅱ-DW18報告LDoS，發(fā)生了誤報，其原因在于該檢測窗口包含了的始發(fā)階段，發(fā)生時，該檢測窗口內的TCP數據流量發(fā)生了較大的“變異”，導致相應的變異系數點為CAP，而在FDoS發(fā)生一段時間后，檢測窗口Ⅱ-DW19~Ⅱ-DW33均沒有報告LDoS；在LDoS發(fā)生時，該檢測方法對不同參數設置的LDoS都有較好的檢測效果，各組實驗包含的檢測窗口（編號為18到33）均被檢測出LDoS，沒有發(fā)生漏報。本章小網絡中存在LDoS時，TCP數據流量的方差會增大，且平均TCP數據流量首先，歸納出了三種網絡場景，并詳細分析了在每種網絡場景中，TCP數據流TCP數據流量的變異系數的大小進行了分析和討論，并在此基礎上給出了使用變異系數檢測LDoS的判斷準則。隨后，對基于變異系數檢測LDoS的算法實現及其流程進行了描述。最后，基于NS-2實驗仿真平臺給出了使用該算法檢測LDoS的實驗結果。實驗結果表明，基于變異系數的LDoS檢測方法能夠檢測出大多數，此，使用該方法檢測網絡中的LDoS具有一定的可行性?；诤幐窬嚯x的LDoS檢測方第二章基于變異系數的LDoS檢測方法根據TCP數據流量分布的離散程度判斷LDoS是否發(fā)生，而實際網絡中可能存在著一些突發(fā)數據流，導致本章試圖從概率分布的角度對TCP數據流量的分布進行分析，以期降低突發(fā)數據流LDoS檢測方法存在的不足。則，并通過實驗證明基于海寧格距離的LDoS檢測方法的可行性和有效性。相關概念與定義海寧格距離（ingerDistance，HD）是統計學中的一個概念，它主要用來衡量兩個離散型或者連續(xù)型概率分布的相似程度。海寧格距離主要由巴氏系數TCP數據流量是離散分布的，因此本文僅給出在離散概率分布的情況下，海寧格距離HD和巴氏系數BC的計算公式，即：1(BC(p,1(BC(p,p(x)q(BC(p(x)q(

（據流量樣本值為min（xTCP，將從min（xTCP）到max（xTCP）的區(qū)間劃分成B個大小相等的區(qū)間，第i個區(qū)間記為Si（0<i<=B）Hm,i：第m個檢測窗口中落入Si內樣本個數占該檢測窗口總樣本個數的比例Hm：第m個檢測窗口中各Hm,i（0<i<=B）形成的

HDm：第m個檢測窗口的海寧格距thresholdHD：根據訓練數據各個檢測窗口的海寧格距離計算得到的海寧格距離LDoS對TCP數據流量分布的影TCP數據流量較少出現“急劇”波動，而且即使出現波動，波動的頻繁TCP數據流量在大多數時間段內處于正常而當LDoS發(fā)生時，網絡中TCP數據流量會出現頻繁波動從而導致TCP數S1TCP流量波動幅度較大且大多TCPTCPS1S3TCP流量數據，則通過對比可知，這兩段數據的分布具有一定的差異，如圖3.1所示。其中第50s-200s沒有，第200s-350s有LDoS。TCP數據流量分布產生了“異常”。有有無0 時間

圖3.1有無LDoS情況下TCP數據流量分布示意 數據流量分布異常的描述與分析TCP2.3節(jié)檢測窗口DW的定義，同時引入流量分布直方圖以便直觀的表示網絡中的TCP數據流量為max(xTCP)，最小值為min(xTCP)，根據事先設定的分段數 將從min(xTCP)max(xTCPBSiSi的定義如式（3.3）所示，SiLS如式（3.4）iSi0<i<=B。Simin(xTCPi1)*LS,min(xTCP)i*LS （max(xTCP)min(xTCP)LS

（HmHm,1Hm,2Hm,B （布直方圖的對比，可以直觀的判斷TCP數據流量分布是否發(fā)生了顯著變化。S1中，TCPTCP數據流量TCP數據流量樣本TCP數據流量樣本個數較少。因此，體TCPSi3.2所TCP數據流量分布直方圖，其中j>0，k>0jk

（a）第j個檢測窗口的TCP數據流量分布直方 （b）第k個檢測窗口的TCP數據流量分布直方t發(fā)生時刻位于某個檢測窗口的后半段，由于此時較低的 比例較小，因此t t口內的xTCP大部分會低于無時的TCP數據流量樣本值，使得該檢測窗口內的tTCP數據流量樣本處于較低水平，導致該檢測窗口的流量分布直方圖發(fā)生較大變化。而在持續(xù)一段時間后，網絡中的TCP數據流量無法恢復到正常水平，雖TCP數據流量樣本依然會落入編號較大的Si中，由此得到的TCP數據流量分布直方圖與網絡中無時的TCP數據流量分布直方圖相似。在場景S3中，LDoS使得網絡中的TCP數據流量持續(xù)頻繁波動，即網絡中TCP數據流量樣本圍繞min(xTCP)和max(xTCP)的均值波動，導致檢測窗口大多TCP數據流量樣本Si內（3.3中的S3~S7，由此形成的TCP數據流量分布直方圖與網絡中無時得到的TCP數據流量分布直方圖相比會呈現顯著的差異。如圖3.3所示，其中LDoS周期T=1s，每個周期內的持續(xù)時間lattack=150ms，數據發(fā)送速率Rattack=30Mbps。TCP0.TCP. TCP數據流量分段編 數據流量分布異常的判別3.3S2S3中，TCP數據流量分布會呈現不同的特S1S2中，TCP數據流量處于較低水平。而在場景S3中，TCP數據流量分布與場景S1相比呈現出較大變化。為有效反映出TCP數據流量分布“差異”的程度，可以使用定義3.2中氏px和qx , ni

1此時，將巴氏系數代入公式（3.1）HD=0，這說明當兩個分布完全一致時，其海寧格距離為0，即兩個分布的差異程度達到最小值。S1S2中，各檢測窗口的海寧格距離超過事先給定的閾值thresholdHD時，可以認為該檢測窗口中發(fā)生了，同時若網絡中無時各個檢測窗口的海寧格距離應該處于該thresholdHD為獲取檢測窗口的海寧格距離，需構建一個“基準”的H，即以該H為基準H?[H?1?2?BmH為B1Hm,j?jHmHm,1Hm,2Hm,B，測試數據第m個檢測窗口的海寧格距B1Hm,j?jHDm （ 其中0?j1,0Hmj1?j=1Hmj=10HDm1，B 巴氏系數事先設定的一個分段數，B越大則判斷結果越精確，但同時也會造成“靈敏度”過高的問題，反之，B越小則判斷結果越不精確，會造成“靈敏度”過低的問m并將其映射為以檢測窗口編號為橫軸、海寧格距離為縱軸的坐標系中的一個點PHDm，稱PHD的定義如式（3.7）所示。mPHDHDm （ 根據PHD中 的取值的不同，可以將所有檢測窗口對應的PHD分成兩類： 義3.2若海寧格距離統計點的HDm大于事先設定的閾值thresholdHD，則該海寧格距離統計點稱為異常海寧格距離統計點 ingerAbnormalPHD反之，則稱為正常海寧格距離統計點 ingerNormalPHD，HNP）HAPHNP集合的形式化定義如式（3.8）和式（3.9）{HAPHDmm|HDmthresholdHD （{HNP}={HDm,m|HDmthresholdHD} 其中閾值thresholdHD可由訓練數據來獲取。在場景S1中，各個檢測窗口內的3.4所示，其中以訓練數據的第一個檢測窗口作為“基準檢測窗口”,設定的統計算子為3，基于訓練數據獲得閾值thresholdHD=0.25（統計算子及閾值的取值將在 檢測窗口編3.4S1中HAP和HNP數據流量始終處于較低水平，在持續(xù)的一段時間內，雖然網絡中的TCP數據流量一直處于較低水平，但是其分布形態(tài)與無時相比并沒有明顯差異。因此僅在在場景S3中，由LDoS的特點可知，網絡中的TCP數據流量出現持續(xù)頻繁波動，從LDoS發(fā)生的時刻開始，受網絡的TCP數據流量一直處于持續(xù)的劇烈振蕩當中，發(fā)生LDoS的檢測窗口的TCP數據流量分布與無情況相比統計點為HAP，如圖3.6所示，其中LDoS開始于200s（編號為17的檢測窗口中350s（直至最后一個檢測窗口采樣結束。海寧海寧格距 圖.5S2HAPHNP海寧海寧格距 檢測窗口編圖.6S3中HAP和HNP綜上所述S1S2中，其海寧格距離統計點基本HAP，而在S3中，包含LDoS的檢測窗口的海寧格距離大多越過閾值，其相應的海寧格距離統計點為HAP，由此提出LDoS的判斷準則2。判斷準2（JC2）HAP，則認為該檢測窗口內可能存在LDoS。取值過大，則在場景S3中，會導致HAP誤判為HNP，因此，恰當的thresholdHD的取值關系著檢測結果的準確度。thresholdHD的計算方法如式（3.10）所示。thresholdHDkHD （式3.10）其中為訓練數據各個檢測窗口的海寧格距離的去尾平均值，為各個檢測窗口的海寧格距離的標準差。kHD稱為統計算子，為事先給定的整數對于已知的和kHDthresholdHDkHD的值較小，則網絡中無時，會使得較多的檢測窗口的海寧格距離超過閾值thresholdHD，從而導致較多的誤判；而如果kHD的值較大，則LDoS發(fā)生時會使得較多的檢測窗口的海寧格距離都小于閾值thresholdHD，從而導致較多的漏判。因此，統計算子kHD的選擇關系著檢測的準確度。圖3.7和圖3.8分別給出了網絡中不存在任何的情況下和網絡中存在海寧海寧格距 檢測窗 海寧海寧格 檢測窗口編圖3.7網絡中無時，統計算子取不同值的情況下判別HAP和HNP結果示意 圖3.8網絡中存在LDoS時，統計算子取不同值的情況下判別HAP和HNP結果示意在網絡沒有任何的情況下，從圖3.7中可以看到，統計算子kHD=1時的個數減少為0個。而在網絡LDoS的情況下，從圖3.8中可以看到，HNP情況下，P的個數隨著統計算子kD的而減，在網DoSHD的取值在一定范圍內（13）PHD計算子kHD3?；诤幐窬嚯x的 檢測算Step1：數據流量采樣。基于擬定的采樣指標，對 數據流量采樣Step2：采樣數據的處理與度量據巴氏系數和海寧格距離的計算方法，對（取中的TP流量數據采樣。采樣得到的數據為每秒時間內的TP數據流量TCP，單位為字節(jié)。設每個檢測窗口W的時間長度為TS，采樣時間間隔為Δt，采樣對象為網絡中的某個關鍵路由器，則通過對該路由器的連續(xù)采樣可以得到一個檢測窗口DWTP數據流量樣本序列。TCP流量樣本序列以后，便可以計算出訓練數據和HH為基準，根據公式（3.6）計算出訓練數據各個檢測窗口氏系數和海寧格距離，求得這些海格距離的去尾平均值和標準差，并依據式（3.10）計算閾值thresholdHDthholdHD則2判斷測試數據中的個檢測口內是否生了DoS。根據前面給出的檢測步驟，可以得到基于海寧格距離檢測LDoS的檢測基準H，即訓練數據中某個檢測窗口（本文取第一個）的樣本容量n，分段數B//序列OO

H=ComputeHistogram(Otr ?= HD=ComputeHD(H，? |m =TailAverage( =Computeσ(HDtr//根據訓練數據所有檢測窗口的海寧格距離的平均值和標準差 計//閾值threshold //初始化時刻t

SS

//對Ste H=ComputeHistogram(SteputeHD(H，?

//若HD的值大于閾值thresholdHD，表示發(fā)現LDoS，輸出 HD>thresholdHD

endwhileH的主要與分段數B線性相關，因此H的空間復雜度為O（B）。TCP數據流量樣本消耗的空間與檢測窗口時間長度Ts和采樣間隔t有關，對于確定的Ts和t，TCP數據流量樣本消耗的空間僅與檢測窗口的樣本個數線性相關，因TCPO（N）。而巴氏系數、海寧格距離都為一個綜合上述分析可知，基于海寧格距離檢測LDoS算法消耗的空間主要由基準H和TCP數據流量樣本消耗的空間決定，而二者的空間復雜度分別為于N一般遠大于B，所以可以認為該檢測算法的空間復雜度為O（N）。TCPH，主要包括最根據3中得到氏系數計算該檢測窗口的海寧格距離環(huán)節(jié)1中的時間消耗與檢測窗口的樣本個數線性相關，其時間復雜度為（N。環(huán)節(jié)2中最大值和最小值的計算與樣本容量線性相關，計算各個分段采樣值的TCP數據流量樣本，因此，計算這三個值的時間復雜度均為O（N），2的時間復雜度為O(3N)O（N）。3HB線性相關，因此環(huán)節(jié)3的時間復雜度為O（B）。綜合對所有計算環(huán)節(jié)的時間復雜度的分析可知，基于海寧格距離檢測LDoS攻擊的檢測算法的時間復雜度為O（N）和O（B）的較大者，而一般來說，樣本個數N遠大于分段數B，所以基于海寧格距離檢測LDoS算法的時間復雜度也為O（N）通過對基于海寧格距離檢測LDoS算法的時間復雜度和空間復雜度的分析都是較少的，適合在大規(guī)模網絡中部署以實現對LDoS的實時檢測。實驗及結果分析實驗采用基于NS-2網絡仿真軟件的實驗模擬平臺。實驗采用的網絡拓撲圖3.10R1、R2、R3為路由器，R2為“關鍵路由器”，R2R3之間的鏈10Mbps30msR2R3之間的100Mbps15ms25條合TCP10TCP連接使用的擁塞控制算個路由器采用的隊列管理算法為“隨機早期檢測算法（RandomEarlyDetection，350sLDoS參數設置為：周期T=1s，持續(xù)時間lattack=150ms或或250ms，數據發(fā)送率為Rattack=30Mbps或50Mbps。檢測窗口DW的時間長何，其數據作為訓練數據，第Ⅱ組實驗針對包含 （Rattack為FDoS數據的發(fā)送速率，第Ⅲ~Ⅷ組實驗針對包含不同參數3.1lRⅠⅡⅢⅣⅤⅥⅦⅧ根據實驗Ⅰ中的訓練數據計算得到檢測參數thresholdHD=0.25。由模擬驗時長和檢測窗口長Ts可知，每組實驗可以33個檢測DW1…DW33。使2（JC2）分別對Ⅱ~TCP數據流量數據進行檢測，得到各分組實驗數據的檢測結果，如圖3.11所示。3.11從圖3.11所示的實驗結果可以看到，在LDoS沒有發(fā)生時（各組實驗的前17發(fā)生時，檢測窗口Ⅱ-DW18報告LDoS，發(fā)生了誤報，其原因在于該檢測窗口包含了的始發(fā)階段，發(fā)生時，該檢測窗口內的TCP數據流量急劇降低，其TCPHAP，而在FDoS發(fā)生一段時間后，檢測窗口Ⅱ-DW19~Ⅱ-DW33均沒有報告LDoS攻擊；在LDoS發(fā)生時，包含LDoS的第一個檢測窗（檢測窗口Ⅲ-DW18、Ⅳ-DW18、Ⅴ-DW18、Ⅵ-DW18、Ⅶ-DW18和Ⅷ-DW18）均沒有報告LDoS，發(fā)生了漏報，其原因在于發(fā)生時刻處于這些檢測窗口的后半段，這些檢測窗口的TCP數據流量分布沒有發(fā)生顯著變化，而在LDoS發(fā)生一段時間后（各組實驗的后15個檢測窗口，編號為19到33），各個檢測窗口均被檢測出LDoS，本章小LDoS發(fā)生時，網絡中的TCP數據流量概率分布與無時相比呈現出較TCP數據流量分布差異，從而判斷網絡中是否存在LDoS的檢測方法。首先，對相關概念進行了說明，然后分析了LDoS對TCP數據流量分布的影響，針對第二章三種網絡場景，分析了在每種網絡場景中，TCP數據流量TCP數據流量的海寧格距離的大小進行了分析和討論，并在此基礎上給出了使用海寧格距離檢測LDoS的判斷準則。隨后，對基于海寧格距離出了使用該算法檢測LDoS的實驗結果。實驗結果表明，基于海寧格距離的LDoS檢測方法能夠檢測出大多數LDoS空間復雜度，因此，使用該方法實時檢測網絡中的LDoS是可行的。融合兩種檢測方法的 檢測系統—檢測算法的復雜度進行分析，最后，將通過實驗驗證該檢測系統檢測LDoS的LBDS第二章和第三章檢測方法分別針對LDoS發(fā)生時網絡中的TCP數據流量表現出的不同特征，依據相應的判斷準則判斷某個檢測窗口內是否發(fā)生LDoS。而實際的網絡環(huán)境較為復雜，僅使用其中的法檢測LDoS，可能System，LBDS，從而提高LDoS檢測的準確度。TCPTCP數據流量的樣本處理模塊：對到的TCP數據流量樣本按照第二章和第三章異常判別模塊：使用第二章和第三章檢測方法對樣本數據中的判斷模塊：運用2.3節(jié)和3.4節(jié)判斷準則，對3中得到的異常判種檢測方法都只需要當前檢測窗口的樣本數據和少量的檢測參數，而且每種檢LBDS對網絡中的實時獲取的TCP數據流量進行采樣分析，判別網絡中是否有LDoS發(fā)生，由于該檢測系統具有較低的空間消耗和較少的計算時間消耗，其所樣間隔、檢測窗口大小、分段數等。為了降低網絡中的“噪聲”帶來的影響，檢測數為10-20。LBDS系統安裝部署到網絡以后，需要讓系統在整個網絡中先“學習”一段 系統的檢測規(guī)則與算法檢測規(guī)則的任意一種來檢測LDoS，會產生較多的誤判或者漏判，主要包括以下兩種情：在場景S1中，即網絡中沒有任何時，TCP數據流量分布也可能發(fā)生較TCPLDoS攻擊時的TCP數據流量分布類似。布發(fā)生較大的變化，導致TCP數據流量分布異常。為了消除以上情況導致的誤判和漏判，LBDS則2（JC2），則認為此檢測窗口可能包含LDoS。檢測算法//序列OO

?//H =ComputeAverage(Otr =Compute(Otr CV H=ComputeHistogram(Otr HDm=ComputeHD(Hm?)//計算訓練數據的所有檢測窗口的變異系數的去尾平均值c、海寧格//離去尾平均值，CVtr為訓練數據變異系數序列， =TailAverage(CVtr =TailAverage(HDtr //計算訓練數據所有檢測窗口的變異系數的標準差c和海寧格距離//標準差=Computeσ(CVtr =Computeσ(HDtr //根據c、h、c、h計算閾值thresholdCV和thresholdthresholdCV=ComputeThreshold(c,cthresholdHD=ComputeThreshold(h,h //初始化時刻t SS

//SteHH=ComputeHistogramSteputeHD(H，? puteCV(SteIf(JC1=True)and(JC2=True)thenoutputTrueoutputendwhile 系統的算法復雜度分析因此就要求檢測算法必須具有較低的空間復雜度。同時，考慮到檢測LDoS實時性要求，檢測算法必須具有較低的時間復雜度以便發(fā)生時能夠迅速檢測LBDSLBDSN線性關，因此時間復雜度和空間復雜度皆為O（N。（23、式（31）和式（.2）樣本數據即可，而需要消耗的空間主要是樣本數據的、一些臨時變量的存儲和計算巴氏系數時基準H的，而基準H中元素的個數一般是遠小于樣本個數O（N。格距離進行判別，并運用判斷準則判斷檢測窗口是否包含LDoS，其中僅涉及到統計值和閾值的及比較，因此，時間復雜度和空間復雜度均為O（1。O（N實驗及結果分析NS2模擬仿真實驗及結果分析2.102.5節(jié)中實驗參數的數據，第Ⅱ組數據為包含FDoS（200s-350s）的數據，第Ⅲ~Ⅷ組數據為包含不同參數設置的LDoS的數據。實驗實施表如表5.1所示。根據第Ⅰ組中的訓練數據得到變異系數的閾值0.104和海寧格距離的閾值0.25，然后按照基于變異系數和海寧格距離的檢測LDoS的檢測算法，使用判斷準則1（JC1）和判斷準則2（JC2）對各組數據進行檢測，得到的檢測結果如表5.2所示，其中T表示判斷檢測窗口內存在LDoS，F表示判斷檢測窗口內不存在LDoS攻lRⅠⅡⅢⅣⅤⅥⅦⅧⅠFFFFFFFFFFFFFFFⅡFFTFFFFTFFFFTFFFFTTTFFFTTFFFTT由表5.2可以看到，LDoS發(fā)生時（第Ⅲ~第Ⅷ組實驗中在包含LDoS攻33個檢測窗口，因此，LBDSNS-2模擬數據測試中漏報率為1/33*100%=3.33%。當網絡中存在FDoS時（第Ⅱ組實驗數據中，該檢測方發(fā)生誤報，但是誤報僅發(fā)生在第一個包含FDoS的檢測窗口（Ⅱ-DW18）中，即由于FDoS攻擊引起的誤報在本次試驗中只發(fā)生了一次，因此LBDS系統的誤報率也為 數據集測試實驗及結果分析林肯推出的用于檢測的標準數據集，其中包含了DoS、Probe等各種典型的網絡，是國際公認的標準評測數據集。Darpa99數據集共包含五周的數據，其中第1周和第3周是無數據。第2、4、5周的數據均包含了各種網絡，其中第2周的數據包含18種種類43次實例，第4、5周的數據包含58種攻擊201次實例，第4、5周的數據通常用作測試數據集。1outside1周星期二到第1周星期三的無outside數據和第5周星期一的包含多種的outside數據本實驗共分為4組，編號分別為Ⅰ~Ⅳ，第Ⅰ組實驗為第1周星期一的數據的測11周星期三的數據的測試，第Ⅳ組實驗為第5周星期一的數據的測試。實驗采樣間隔t=0.5s，檢測窗口時長Ts=3600s，每組實驗包含21個檢測窗口，編號為DW1~DW21。使用基于變異系數和海寧格距離檢測LDoS的方法對各組實驗數據進行檢測，得到的實驗結果如表5.3所示，其中T表示判斷檢測窗口內存在LDoS，F表示判斷檢測窗口內不存在LDoS。ⅠFFFFFFFFFFFFFFFFFFFFFⅡFTTTTTTFFFTTFFFFFTTFFⅢFFFFFFTFFFFFFFFFFFFFFⅣFTFFFFFFFFFFFFFFFFFFF由表5.3可知，使用訓練數據測試第1周星期二無的數據時，如果僅使用兩種檢測方法中的一種檢測LDoS，會導致較多的誤報，而使用LBDS系統的檢測方法檢測LDoS后，誤報個數顯著減少，誤報率顯著降低。在使用LBDS系2個誤報，其主要原因是因為在這兩個檢測窗口內TCP數據流量發(fā)生了較大波動，其流量分布與LDoS發(fā)生時相似。因此，LBDS系統在Darpa99數據集的測試中誤報率為2/（214）100%=2.38%本章小本章融合基于變異系數的LDoS檢測方法和基于海寧格距離的LDoS檢成誤判和漏判的特殊網絡環(huán)境，在這種特殊網絡環(huán)境中使用單一檢測方法檢測兩種檢測方法的檢測系統LBDS，給出了該系統的原型；隨后對LBDS系統的部LBDS系統的有效性進行了驗證，實驗結果表明LBDS系統具有較好的檢測效果。已完成工作相對傳統的DoS，LDoS具有更強的隱蔽性，因而更難檢測，而現有通過對三種網絡場景中的TCP數據流量的分析，根據LDoS所導致的不同流量異常特征，提出了兩種新的LDoS檢測方法，并融合兩種檢測方法設計了LDoS綜合檢測系統—LBDS。具體來說，主要完成的工作主要包括以下幾個方面對LDoS的原理和特點進行了分析，了檢測LDoS存在的難度，并結合研究現狀詳細分析了基于頻域和基于時域的兩類檢測LDoS的方法，歸流量，得出LDoS發(fā)生時，網絡中的TCP數據流量的離散程度與無時相比呈現顯著差異的結論?；谶@一結論，明確可使用統計學中的變異系數來對這種差異進行度量，并在此基礎上提出了一種基于變異系數檢測LDoS的方法。通過對三種網絡場景中TCP數據流量概率分布的分析，得出網絡中發(fā)生LDoS時，TCP數據流量會持續(xù)波動，從而導致TCP數據流量的分布產生“異?！钡慕Y論?；谶@一結論，通過分析現有度量TCP數據流量分布異常的方法所存在的某些不足，引入了巴氏系數和海寧格距離來度量不同網絡場景中TCP數據流量分布之間的差異，并在此基礎上提出了一種基于海寧格距離檢測LDoS的方法。針對使用單一檢測方法檢測LDoS可能存在的不足，通過對兩種特殊的基于公共數據和仿真實驗，對本研究兩種檢測方法的有效性進行了測試且具有較低的誤報率和漏報率，證明了使用這兩種檢測方法檢測LDoS是可行下一步工作本文結合LDoS所導致的TCP數據流量分布異常特征給出了基于變異系數和海寧格距離兩種檢測LDoS的檢測方法，并在融合這兩種方法的基礎上構建了LDoS綜合檢測系統。實驗結果表明，上述各種方法能夠發(fā)現網絡中的大多數LDoS，且具有較低的誤報率和漏報率，對于LDoS的檢測具有一定的實際意義。但是由于研究水平和研究時間的限制，對LDoS的研究還存在值得進僅從LDoS導致TCP數據流量分布異常的角度討論了LDoS的檢測方法，而實際LDoS還可能導致其它異常（如ACK流量分布異常等，因此還需要用的觀測指標去度量LDoS導致的網絡異常實現更精準的LDoS攻對LDoS發(fā)生時的防御方法進行研究，實現對LDoS的檢測和防御，降低LDoS造成的影響。然后要感謝曉蘇老師，老師治學嚴謹，為人風趣幽默，和學生打成一片，是我們的良師益友。在和老師的相處過，我們總能夠學到很多以前不知道、但是卻讓我們受益終生的東西。此外，作為的人，老師給我們營造了一個良好的學習和生活環(huán)境，使我們更好的投入到學習和工作中。在的定稿過，老師也細心的為我們中的每一個問題，因此的完成也凝聚了老的血，老辛了！特別感謝凱老師，在研究的初期階段，曾經茫然和彷徨，每到這時，凱老會給我提出很多的建議，教導我做科學研究的方法，帶我走出迷茫。在修改完善的過，老師也在各個方面提出很多有益的修改建議，使我受益匪淺。此外，在做項目的過，老師也教給我許多規(guī)范化的開發(fā)方法，這對我今后的工作都是大有裨益的。 ，2001（3： ．服務的分析與防范．電信技術，2000（6：26～28 濮青．DoS(服務)技術及其防范．中國數據通信 （1：1～19[5]U.Tariq,M.HongandK.S.Lhee.AComprehensiveCategorizationofDDoSAttackandDDoSDefenceTechniques.AdvanceDataMiningandApplications,2006, ，2003（12： ，2004（03：337～346WentaoLiu.ResearchonDoSattackandDetectionProgramming.In:ProceedingsofInligentInformationTechnologyApplication,2009.ThirdInternationalSymposiumon,2009,207~210JunLi.EarlystatisticalanomalyintrusiondetectionofDOSattacksusingMIBtrafficparameters.In:ProceedingsofInformationAssuranceWorkshop,2003.IEEESystems,ManandCyberneticsSociety,2003,53~59HainingWang,Change-pointmonitoringforthedetectionofDoSDependableandSecureComputing,IEEETransactionson,2004,1(4):謝希仁．計算機網絡．：電子工業(yè)2001（829～．2006（24：2005（11QayyumA，IslamMH，JamilM．Taxonomyofstatisticalbasedanomalydetectiontechniquesforintrusiondetection.In:ProceedingsofInternationalConferenceonEmergingTechnologies.InternationalConferenceonEmergingTechnologies,2005,270~276GabrielMF.Evaluationofalow-rateDoSattackagainstiterativeservers.ComputerNetworks,2007,51(4):1013~1030GuirguisMina,BestavrosAzer,MattaIbrahim.Ontheimpactoflow-rateattacks.In:ProceedingsofIEEEInternationalConferenceonCommunications(ICC2006),2006IEEEINTERNATIONALCONFERENCEONCOMMUNICATIONS2006,董闊，．一類慢速服務的防御方法．中國科學技術大學學報2010，40（1：103～108，曹強，等．一種基特征提取的低速率DoS檢測方法．軟件2009，20（4：930～941，，韓奕等．一種針對LDoS的分布式協同檢測方法．小型微2009，30（3：425～430旺，殷建平，蔡志．基于擁塞參與度的分布式低速率DoS檢測過2010，32（7：49～52ChenY,HwangK.CollaborativedetectionandfilteringofShrewDDoSattacksusingspectralysis.JournalofParallel