內(nèi)容參考設(shè)計(jì)

AThesisSubmittedinPartialFulfillmentoftheRequirementsfortheDegreeofMasterofEngineering：Kang：Computer：AssociateProf.XiaoHuazhongUniversityofScienceandTechnologyWuhan,Hubei430074,P.R.ChinaJan.,Service）具有相當(dāng)?shù)奈：π郧腋鼜?qiáng)的隱蔽性。由于LDoS的低速率和高隱蔽性特征，傳統(tǒng)的DoS檢測(cè)方法已無法對(duì)其進(jìn)行有效地檢測(cè)，而現(xiàn)有的LDoS檢測(cè)方法仍然存在一些不足和問題，因此，研究一種能夠有效檢測(cè)LDoS的攻了一種基于變異系數(shù)檢測(cè)LDoS的方法。針對(duì)基于變異系數(shù)檢測(cè)LDoS的方法中存在的不足，通過對(duì)三種網(wǎng)絡(luò)場(chǎng)景測(cè)LDoS的方法?；趯?shí)用性和有效性原則，設(shè)計(jì)了一個(gè)融合基于變異系數(shù)和System，給出驗(yàn)結(jié)果表明，LBDS檢測(cè)系統(tǒng)能夠檢測(cè)出大多數(shù)LDoS，且具有較低的誤報(bào)率和漏報(bào)率，證明了LBDS檢測(cè)系統(tǒng)用于LDoS檢測(cè)的可行性和有效性。：慢速服務(wù)，檢測(cè)，變異系數(shù)，海寧格距AsanimprovementoftraditionalDoS(DenialofService)attack,theLDoS(Low-rateDenialofService)attackisveryhazardousandhasstrongerconcealment.BecauseofthelowrateandhighconcealmentofLDoSattack,traditionalDoSattackdetectionmethodcannoteffectivelydetectit，andcurrentLDoSattackdetectionmethodsstillhavesome ingsandproblems.Therefore,ithasgreattheoreticalvalueandpracticalsignificancetoresearchanattackdetectionmethodwhichcandetectLDoSattackeffectively.ThroughtheysisoftheLDoSattack’sprincipleandcharacteristics,thisthesispointsoutthedifficultyofdetectingtheLDoSattack.Firstly,wereviewstateoftheartoftheLDoSattackdetectionmethodsindetail,andthenwesummarizethe ingsoftheexistingdetectionmethods.Toemphasizetheessentialsoftheproblems,threedifferentnetworkscenariosareconsidered.ThroughtheysisofthefluctuationsofTCP(TransmissionControlProtocol)dataflowinthethreescenarios,itisfoundthatasignificantdifferenceinthedispersiondegreeofTCPdataflowexistswhenLDoSattackoccurscomparedtothecasewithoutanyattackinthenetwork.Basedonthisobservation,wemeasurethatdifferencebyusingthecoefficientofvariationinstatistics,andfurthermore,anLDoSattackdetectionmethodbasedonthecoefficientofvariationisproposed.AccordingtothedeficienciesintheLDoSattackdetectionmethodbasedonthecoefficientofvariation,weintroduceBhattacharyyaCoefficientandingerDistancetomeasurethedifferenceinprobabilitydistributionoftheTCPdataflowindifferentnetworkscenarios.Then,anLDoSattackdetectionmethodbasedoningerDistanceisproposed.Byconsideringpracticalityandeffectiveness,wedesignadetectionsystemcalledLBDS(LDoSBlendDetectionSystem)bycombiningthetwodetectionmethods,i.e.,thecoefficientofvariationandingerDistance.Thecorrespondingdetectionrulesanddetectionalgorithmhavebeenpresented.TheeffectivenessofLBDSisverifiedusingpublicdataandsimulation.TheexperimentalresultsshowthattheproposedLBDSdetectionsystemiscapableofdetectingthemajorityofLDoSattacks.Ithasalowrateoffalsepositivesandfalsenegativerate,andthisprovesthefeasibilityandeffectivenessoftheLBDSdetectionsystemforLDoSattackdetection.:Low-rateDenialofService,Attackdetection,CoefficientofVariation,ingerDistance摘 緒 服務(wù)概 慢速服務(wù)概 課題研究的意義、內(nèi)容及目 的組織結(jié) 基于變異系數(shù)的LDoS檢測(cè)方相關(guān)概念與定 LDoS導(dǎo)致的TCP數(shù)據(jù)流量“變異”的現(xiàn)象及分 TCP數(shù)據(jù)流量“變異”程度的度量與判 基于變異系數(shù)的LDoS檢測(cè)算 實(shí)驗(yàn)及結(jié)果分 本章小 基于海寧格距離的LDoS檢測(cè)方相關(guān)概念與定 LDoS對(duì)TCP數(shù)據(jù)流量分布的影 TCP數(shù)據(jù)流量分布異常的描述與分 TCP數(shù)據(jù)流量分布異常的判 基于海寧格距離的LDoS檢測(cè)算 實(shí)驗(yàn)及結(jié)果分 本章小 LBDS系統(tǒng)的原 LBDS系統(tǒng)的部 LBDS系統(tǒng)的檢測(cè)規(guī)則與算 LBDS系統(tǒng)的算法復(fù)雜度分 實(shí)驗(yàn)及結(jié)果分 本章小 結(jié)束已完成工 下一步工 致 參考文 附錄英文縮寫 緒 服務(wù)概1969年世界第一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)—阿帕計(jì)算機(jī)網(wǎng)（ARPAnet）誕生以來，世界各地的異構(gòu)網(wǎng)絡(luò)互連成為可能，其后世界互聯(lián)網(wǎng)發(fā)展進(jìn)入高速發(fā)展階段，越來越多TCP/IP協(xié)議的脆弱性對(duì)互聯(lián)網(wǎng)發(fā)動(dòng)，給企業(yè)和人們帶來了巨大的經(jīng)濟(jì)損失，嚴(yán)重的甚至到國(guó)家安全。其中服務(wù)（DenialofService，DoS）[1-3]是影響較大的一種方式，的資源無法響應(yīng)正常用戶的請(qǐng)求，從而使其無法為正常用戶提供相應(yīng)的服務(wù)。服務(wù)的目標(biāo)既可以是主機(jī)，也可以是網(wǎng)絡(luò)中的節(jié)點(diǎn)（如路由器還可以是整個(gè)服務(wù)作為現(xiàn)今Internet的最為嚴(yán)峻的之一[4]，已經(jīng)給人們帶來巨大的損失。如國(guó)外著名的Yahoo、Amazon、和CNN等都曾過服務(wù)攻擊從而導(dǎo)致服務(wù)癱瘓。國(guó)內(nèi)著名的聯(lián)眾游戲和暴風(fēng)影音也因?yàn)榉植际椒?wù)而導(dǎo)致大規(guī)模網(wǎng)絡(luò)故障。據(jù)Yankee小組的分析，僅2004年的服務(wù)攻擊已經(jīng)造成的經(jīng)濟(jì)損失達(dá)27億[5]。而且隨著互聯(lián)網(wǎng)的發(fā)展，服務(wù)的工具越來越多，發(fā)起服務(wù)的方法也越來越簡(jiǎn)單，者往往只需要簡(jiǎn)單的操作便可以發(fā)起，因此服務(wù)ofServiceLDoS慢速服務(wù)概LDoS的原傳統(tǒng)的DoS往往是由者在一段時(shí)間內(nèi)持續(xù)發(fā)送大量數(shù)據(jù)使網(wǎng)絡(luò)出因此可以認(rèn)為傳統(tǒng)的DoS是一種通過“壓力”的方式來達(dá)到目的的攻擊，即者大多通過持續(xù)向網(wǎng)絡(luò)中注入大量數(shù)據(jù)包，致使網(wǎng)絡(luò)發(fā)生嚴(yán)重?fù)砣罅縼G包，從而達(dá)到“服務(wù)”的目的。這種方式會(huì)使網(wǎng)絡(luò)流量的一些統(tǒng)計(jì)的異常來檢測(cè)傳統(tǒng)DoS。一旦檢測(cè)到DoS發(fā)生，被者就可以采取相應(yīng)的措施（如丟棄數(shù)據(jù)包、限制發(fā)送速率等）將DoS的影響程度降到最低。雖然現(xiàn)有的檢測(cè)方法能夠檢測(cè)出大多數(shù)傳統(tǒng)的DoS，但近年來，隨著DoS方式的多樣化，DoS的檢測(cè)也遇到很多新的，尤其是在2003年，RiceAleksandar在計(jì)算機(jī)網(wǎng)絡(luò)方面的頂級(jí)會(huì)議N上提出了一種稱為低速率服務(wù)（Low-rateDenialofService，LDoS）的DoS方式，使得DoS的檢測(cè)和防范受到了更大的。LDoS主要針對(duì)TCP/IP協(xié)議，利用協(xié)議中的安全（如TCP擁塞控制機(jī)大量丟包，從而顯著降低被者的服務(wù)性能，而在其他時(shí)間段內(nèi)，者則保持靜默，即“間歇性”。LDoS“間歇性”的特點(diǎn)，使得LDoS在一個(gè)周期內(nèi)的平均數(shù)據(jù)流DoS攻雖然當(dāng)前LDoS的方式多種多樣但是大多數(shù)類型的LDoS都存在著一網(wǎng)絡(luò)系統(tǒng)可以在平衡遭到破壞而不穩(wěn)定時(shí)，依靠一定的方法自我調(diào)整重新恢復(fù)到穩(wěn)TP/P協(xié)議中自適應(yīng)機(jī)制設(shè)計(jì)之初追求的主要TP/P當(dāng)網(wǎng)絡(luò)系統(tǒng)運(yùn)行在“穩(wěn)定狀態(tài)”時(shí)，往往能夠獲得較高的性能，而當(dāng)網(wǎng)絡(luò)系統(tǒng)oS和傳統(tǒng)DoS相比，LDoS具有更高的效率，可以使用較低的代價(jià)已有檢測(cè)方法的檢測(cè)，具有更高的隱蔽性。LDoS根據(jù)其針對(duì)的TCP/IP協(xié)議自適應(yīng)機(jī)制的不同,大致可分為兩類：一類是針對(duì)TCP擁塞控制機(jī)制[11-13]的LDoS；一類是針對(duì)路由器主動(dòng)隊(duì)列管理機(jī)制[14-16]的LDoS。而無論哪一類LDoS，其基本的方式可以歸納描述為圖1.1中所示。圖1.1基本的LDoS示意的持續(xù)發(fā)送時(shí)間，T表示LDoS的發(fā)送周期。由此可將LDoS用一個(gè)三元組表示，即（Rattack,Tattack,T其中Rattack、lattack、T稱為L(zhǎng)DoS的參數(shù)。示的方式。圖1.2“階梯形”LDoS示意圖1.3周期變化的LDoS示意圖1.2中所示的LDoS的lattack可分為兩個(gè)階段：第一階段稱為“發(fā)起擊者會(huì)降低自己的發(fā)送速率，但由于者并沒有停止，因此網(wǎng)絡(luò)丟包依然較為嚴(yán)重。此種較圖1.1中所示的LDoS相比具有更低的平均發(fā)送速率，因圖1.3中所示的LDoS是一種周期不斷變化的，這種周期的變化既有可能是者在發(fā)送數(shù)據(jù)流時(shí)使用了“隨機(jī)周期法”所導(dǎo)致的，也有可能是由于發(fā)送者分布在不同的地方（即分布式服務(wù)）所導(dǎo)致的。采用LDoS的檢LDoS具有的低速率和高隱蔽性的特點(diǎn)，給檢測(cè)造成了一定的。目前，LDoS檢測(cè)技術(shù)尚未成熟，根據(jù)現(xiàn)有各檢測(cè)方法所具有的特點(diǎn)，可以將這些檢測(cè)LDoS所具備的周期性特點(diǎn)來實(shí)現(xiàn)對(duì)LDoS的檢測(cè)，或根據(jù)LDoS所具備的高速脈沖特點(diǎn)來實(shí)現(xiàn)對(duì)LDoS的檢測(cè)[17-20]?；陬l域的檢測(cè)方法基于頻域的LDoS檢測(cè)方法通過對(duì)網(wǎng)絡(luò)流量的頻譜分析發(fā)現(xiàn)LDoS會(huì)導(dǎo)致網(wǎng)絡(luò)流量的頻域分布發(fā)生異常，然后通過檢測(cè)這種異常來實(shí)現(xiàn)對(duì)LDoS的檢測(cè)[21-23]。目前主要有分布式協(xié)同檢測(cè)過濾方法、基分析的檢測(cè)方法和基于UDP頻域檢測(cè)的過濾方法。分布式協(xié)同檢測(cè)過濾方法Chen等提出了一種分布式協(xié)同檢測(cè)過濾CDF（CollaborativeDetectionandDensityNCPSDNCPSD在低頻段存在的差異[26-29]，然后對(duì)采樣測(cè)能量分布是否發(fā)生異常來判斷網(wǎng)絡(luò)中是否存在LDoS。CDF方法包括兩個(gè)階段：學(xué)習(xí)階段和測(cè)試階段。學(xué)習(xí)階段主要是根據(jù)一個(gè)模板產(chǎn)生模板和高斯模板分布，模板包含三個(gè)參數(shù)：周期α、脈寬度β和脈沖速率γ，高斯模板分布基于包含的數(shù)據(jù)集獲得；測(cè)試階段主要是使用三個(gè)算法來設(shè)定關(guān)鍵頻域、檢測(cè)流和對(duì)合法流量中的流進(jìn)行過濾，該階段還使用路由器的流入流量對(duì)CDF檢測(cè)方法的有效性進(jìn)行了驗(yàn)證。通過對(duì)包含LDoS和不包含LDoS的兩種流量的功率譜密度PS（Power依據(jù)兩種流量能量分布的這種差異可以判斷一個(gè)采樣流量中是否包含LDoS。基分析的檢測(cè)方Luo等提出了一種兩階段檢測(cè)方法[31]來檢測(cè)針對(duì)TCP[3]（Direvletrnform分析路由器TPTPKT主要用到兩個(gè)函數(shù)：小波函數(shù)和度量函數(shù)。小波函數(shù)通過時(shí)間窗口計(jì)算信號(hào)差異起到高通濾波器的作用，能夠檢測(cè)出流入流量的變化；度量函數(shù)則起到低通濾波器TPK流量是否發(fā)生了顯著變化。為實(shí)現(xiàn)檢測(cè)，該檢測(cè)方法使用了滑動(dòng)窗口的方法，即對(duì)流入路由器的流量n個(gè)采樣信號(hào)的強(qiáng)度進(jìn)行分析。第二階段，利用累積和CUSUM（CumulatedSum）方法[34]，判斷網(wǎng)絡(luò)中的流量是否出現(xiàn)異常，并以此為依據(jù)來判斷網(wǎng)絡(luò)中是否發(fā)生了LDoS。將第一階段中獲得的兩個(gè)流量：流入流量和ACK流量，轉(zhuǎn)換成兩個(gè)隨機(jī)序列ZH(n)EH(n)H、ZL(n)LEL(n)，其中， 中元素的最大值； ，其中，為中所有元素的平均值，參數(shù)稱為的“縮放因子 為中所有元素的標(biāo)準(zhǔn)差基于UDP頻域檢測(cè)的過濾方法進(jìn)行“時(shí)/頻”轉(zhuǎn)換，該轉(zhuǎn)換主要用到離散傅里葉變換DFT[30]（DiscreteFourierTransformNCAS（NormalizedCumulativeAmplitudeSpectrum）上存在較大差異，據(jù)此可以判斷某個(gè)數(shù)據(jù)流中是否包含LDoS。這種方法較好的把握住了LDoS所導(dǎo)致的異常特征，者若要避免此類特征的出現(xiàn)，則需要向網(wǎng)絡(luò)中注入的數(shù)據(jù)包。該方法通過對(duì)大量數(shù)據(jù)的分析，發(fā)現(xiàn)采樣結(jié)果近似服從正態(tài)分布[35]IPIP地址、目的端NFTSFTPDTNFT中PDT中有某數(shù)據(jù)流的記錄，則所有屬于此流的數(shù)據(jù)包將被丟棄；新到來的數(shù)據(jù)流則被加入到SFT中?；跁r(shí)域的檢測(cè)方法基于時(shí)域的檢測(cè)方法主要根據(jù)數(shù)據(jù)流所具有的周期性特點(diǎn)和檢測(cè)窗口內(nèi)的流量所表現(xiàn)出的異常，事先分析并設(shè)定特征，然后對(duì)數(shù)據(jù)流進(jìn)行采樣分析，如其主要包括基于動(dòng)態(tài)時(shí)間環(huán)繞的檢測(cè)方法[36-37]HAWK檢測(cè)方法[38]Vanguard檢測(cè)基于動(dòng)態(tài)時(shí)間環(huán)繞的檢測(cè)方法Sun等給出了LDoS的數(shù)學(xué)模型，該模型使用五元 描述LDoS的行為特征，其中T為周期，l為一個(gè)周期內(nèi)數(shù)據(jù)流的持續(xù)時(shí)間，R表示數(shù)據(jù)流的發(fā)生速率，S表示從計(jì)時(shí)開始到第一次LDoS開始之間的時(shí)間差，N表示背景流量等級(jí)。Sun等LDoS檢測(cè)方法主要包括四特征，然后將提取到的特征與特征進(jìn)行匹配。當(dāng)識(shí)別出流后，使用差額循而減小LDoS造成的影響。此外，為減小檢測(cè)防范機(jī)制對(duì)合法TCP流性能的影該檢測(cè)方法的優(yōu)點(diǎn)在于對(duì)LDoS有較高的識(shí)別率和較低的誤報(bào)率，對(duì)“標(biāo)準(zhǔn)”的LDoS、周期和脈沖發(fā)送速率發(fā)生變化的LDoS以及分布式后，能逐步向上游路由器推進(jìn)，盡可能接近源，以盡量減少受影響的且其所采用的DRR算法并不能過濾LDoS流HAWK檢測(cè)方法為有效檢測(cè)和防范利用路由器隊(duì)列管理策略存在缺陷而發(fā)起的LDoSKwok等提出了一種新的路由器隊(duì)列管理算法—HAWK算法得到的一種LDoS檢測(cè)方法。該檢測(cè)方法根據(jù)LDoS在持續(xù)時(shí)間、數(shù)據(jù)發(fā)送速率和周期上具有的特點(diǎn)，通過一個(gè)UDP流表來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中的大發(fā)送速率出現(xiàn)的頻率均超過事先設(shè)定的閾值，則認(rèn)為該UDP流為L(zhǎng)DoS流，并丟棄所有屬于此流的數(shù)據(jù)包。該檢測(cè)方法對(duì)分布式LDoS具有較好的檢測(cè)和Vanguard檢測(cè)方Luo等提出了Vanguard檢測(cè)方法，根據(jù)LDoS所導(dǎo)致的TCP流量的異常特征來確定網(wǎng)絡(luò)中是否發(fā)生了LDoS。該方法通過LDoS發(fā)生時(shí)，TCP流量所表現(xiàn)出的3個(gè)異常特征來判斷網(wǎng)絡(luò)中是否發(fā)生了LDoS：①流出的TCPACK響TCPTCPACK響應(yīng)流量的比值顯著TCP3個(gè)特征中的①出現(xiàn)或者②、③同時(shí)出現(xiàn)，則認(rèn)定網(wǎng)絡(luò)中存在LDoS。Vanguard方法可以較好的檢測(cè)出網(wǎng)絡(luò)中是否發(fā)生了LDoS，但無法確定攻現(xiàn)有檢測(cè)方法存在的不足以上提到的方法都是當(dāng)前比較有效的LDoS的檢測(cè)方法，在某些情況下，網(wǎng)絡(luò)中的LDoS，但由于該方記錄數(shù)據(jù)包的IP地址等信息，致使其內(nèi)存消耗較大，尤其是在者使用虛假IP地址發(fā)送數(shù)據(jù)流時(shí)，系統(tǒng)消耗內(nèi)存會(huì)急劇成，再加上其發(fā)送信息只是LDoS檢測(cè)結(jié)果，導(dǎo)致CDF方法的協(xié)同檢測(cè)程度有限。而基于UDP頻域檢測(cè)的過濾方法用到了“時(shí)/頻”變換，帶來了較多的計(jì)算時(shí)比較依賴于具體的特征，對(duì)于變種的LDoS檢測(cè)效果不佳。如基于LDoS時(shí)則出現(xiàn)了較多的漏報(bào)。而基于動(dòng)態(tài)時(shí)間環(huán)繞的檢測(cè)方法主要利用了Shrew的特點(diǎn)檢測(cè)LDoS，對(duì)于周期變化的LDoS檢測(cè)效果不佳，HAWK算法在實(shí)驗(yàn)中發(fā)生了較多誤報(bào)，使得很多不包含LDoS的的合法流被誤報(bào)為含有LDoS的數(shù)據(jù)流，而特息的保課題研究的意義、內(nèi)容及目標(biāo)意目前，人們對(duì)于LDoS的研究還處于起步階段，雖然現(xiàn)有的檢測(cè)方法也能夠在某種程度上檢測(cè)出LDoS，但是也存在較多的問題。因此，尋找一種能夠?qū)崟r(shí)檢測(cè)LDoS、具有較低的誤報(bào)率和漏報(bào)率的檢測(cè)方法對(duì)提升網(wǎng)絡(luò)系統(tǒng)的安全性內(nèi)TCP數(shù)據(jù)流量進(jìn)行分析，然后根據(jù)分析制LDoS的原理、特點(diǎn)及相關(guān)檢測(cè)方法目課題的預(yù)期目標(biāo)是構(gòu)建一個(gè)融合兩種檢測(cè)方法的LDoS檢測(cè)系統(tǒng)，該系統(tǒng)的組織結(jié)構(gòu)第1章：緒論。分析LDoS的原理、特點(diǎn)以及研究現(xiàn)狀，現(xiàn)有LDoS檢測(cè)方法存在的不足，明確課題研究在領(lǐng)域的重要理論意義和實(shí)用價(jià)程度進(jìn)行度量和判斷，給出一種基于變異系數(shù)的LDoS檢測(cè)方法，同時(shí)設(shè)計(jì)相第3章：基于海寧格距離的LDoS檢測(cè)方法。對(duì)三種網(wǎng)絡(luò)場(chǎng)景中的TCP數(shù)TCP數(shù)據(jù)流量分布可能出現(xiàn)的異常，的LDoS檢測(cè)方法，同時(shí)設(shè)計(jì)相關(guān)實(shí)驗(yàn)對(duì)該檢測(cè)方法的有效性進(jìn)行驗(yàn)證。第4章：融合兩種檢測(cè)方法的LDoS檢測(cè)系統(tǒng)—LBDS。對(duì)LBDS系統(tǒng)的原5章：結(jié)束語(yǔ)。總結(jié)已完成的工作，并對(duì)仍然存在的問題和下一步工作進(jìn)行基于變異系數(shù)的LDoS檢測(cè)方LDoS發(fā)生時(shí)，會(huì)導(dǎo)致TCP數(shù)據(jù)流量出現(xiàn)劇烈波動(dòng)，同時(shí)平均TCP數(shù)據(jù)流提出一種基于變異系數(shù)的LDoS的檢測(cè)方法。首先，為便于討論，本章將給出LDoS攻異常的方法；最后，本章將給出用以檢測(cè)LDoS的判斷準(zhǔn)則，并通過實(shí)驗(yàn)證明基于變異系數(shù)的LDoS的檢測(cè)方法的可行性和有效性。相關(guān)概念與定義為便于評(píng)測(cè)檢測(cè)LDoS的方法的效果，事先給出如下定義：定義2.1檢測(cè)準(zhǔn)確度指檢測(cè)結(jié)果和實(shí)際情況相符合的程度。2.1中的“相符合的程度”主要是從定性角度來描述檢測(cè)結(jié)果，其取值為定義2.2在檢測(cè)LDoS時(shí)，實(shí)際未發(fā)生但被檢測(cè)為L(zhǎng)DoS的幾率稱為誤報(bào)率（FalsePositiveRate，F(xiàn)PR）。為n，在所檢測(cè)出的n次中實(shí)屬LDoS的為l次，則可得FPR的形式化描FPRnlm

（誤報(bào)率反映了檢測(cè)方法對(duì)LDoS判斷的“精準(zhǔn)”程度，是對(duì)檢測(cè)準(zhǔn)確度的定義2.3在檢測(cè)LDoS時(shí)，LDoS實(shí)際發(fā)生而未被檢測(cè)出的幾率稱為漏報(bào)率（MissingReportRate，MRR）。設(shè)在某次檢測(cè)中，總的檢測(cè)次數(shù)為m次，m次檢測(cè)中實(shí)際發(fā)生的LDoSMRRwxm

（漏報(bào)率反映了檢測(cè)方法對(duì)LDoS的“敏感”程度，也是對(duì)檢測(cè)準(zhǔn)確度的一FTCP：每秒時(shí)間內(nèi)的TCP數(shù)據(jù)流量，單位為DATAtr，DATAte：根FTCP及采樣時(shí)間得到的時(shí)序序列DATAtr表示“訓(xùn)能含有的網(wǎng)絡(luò)中獲取的TCP流量數(shù)據(jù)）OO

SS

本文中LDoS檢測(cè)的準(zhǔn)確度主要包括以下兩個(gè)方面：第一，不受具體LDoS模式的影響，能夠檢測(cè)出多種模式的LDoS，降低漏報(bào)率；第二，在網(wǎng)絡(luò)LDoS外的其它，降低誤報(bào)率。為L(zhǎng)DoS此，可假定在場(chǎng)景S1中網(wǎng)絡(luò)中不存在任何。場(chǎng)景S2中的可以稱之為非LDoS，這些大多通過使用“壓力”方式來對(duì)合法TCP數(shù)據(jù)生影響，從而達(dá)到的目的，如SYNFlood洪泛、Land等。LDoS導(dǎo)致的TCP數(shù)據(jù)流量“變異”的現(xiàn)象及分TCP協(xié)議是目前互聯(lián)網(wǎng)中使用最為廣泛的傳輸協(xié)議。根據(jù)MCI（MicrowaveCommunicationIncorporation的統(tǒng)計(jì)互聯(lián)網(wǎng)上總字節(jié)數(shù)的95%及總數(shù)據(jù)包數(shù)的90%均使用TCP協(xié)議傳輸[42]。目前大多數(shù)LDoS也都是針對(duì)TCP協(xié)議中主要的自適應(yīng)機(jī)制——擁塞控制機(jī)制所。因此本文重點(diǎn)關(guān)注的是LDoS對(duì)網(wǎng)絡(luò)中TCP數(shù)據(jù)生的影響，并在此基礎(chǔ)上通過比較分析的方法找出有無LDoS時(shí)TCP數(shù)據(jù)流量的差異，從而達(dá)到檢測(cè)LDoS的目的。在場(chǎng)景S1中，由于網(wǎng)絡(luò)中不存在任何，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量沒有發(fā)生TCP數(shù)據(jù)流量處于一個(gè)較高的水平。即使網(wǎng)絡(luò)中發(fā)生擁塞，TCPTCP數(shù)據(jù)流量并不會(huì)出現(xiàn)持續(xù)劇烈波動(dòng)的情況，如圖TCP數(shù)TCP數(shù)據(jù)流量

平均TCP數(shù)據(jù)流 時(shí)間

2.1S1TCP2.1中可以看到，實(shí)際網(wǎng)絡(luò)中，TCPTCPTCP擁塞控制機(jī)制作用的結(jié)果：當(dāng)網(wǎng)TCP數(shù)據(jù)流量呈現(xiàn)出一個(gè)穩(wěn)定的增長(zhǎng)狀態(tài)，當(dāng)網(wǎng)絡(luò)TCP數(shù)據(jù)流量較快下降，此后又慢慢恢復(fù)到初始水平。TCP數(shù)據(jù)流TCP數(shù)據(jù)流量值附近振蕩，且一般不會(huì)長(zhǎng)時(shí)間明顯“偏離”平均TCP數(shù)據(jù)流量值。）在場(chǎng)景S2中，網(wǎng)絡(luò)中存在非LDoS的其它，這些對(duì)網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量產(chǎn)生了很大的影響，使得網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量與正常情況下相比發(fā)生了較大的變化，這些大多通過“壓力”的方式來呈現(xiàn)，即者自身會(huì)向網(wǎng)Service中的SYN-Flood便是通過使用的IP地址向受害主機(jī)發(fā)送大量在這些時(shí)，TCP數(shù)據(jù)流量會(huì)出現(xiàn)一個(gè)跳變，即TCP數(shù)據(jù)流量在某一個(gè)時(shí)刻急劇TCPTCP數(shù)據(jù)流量值，如圖2.2所示。） 時(shí)平均TCP數(shù)據(jù)流 發(fā)生時(shí)平均TCP數(shù)據(jù)流TCP數(shù)TCP數(shù)據(jù)流量0 時(shí)間

TCP數(shù)據(jù)流量會(huì)逐漸恢復(fù)到與正常狀況下較為接近的一個(gè)水平，而后下一個(gè)周期發(fā)出的脈沖又會(huì)使TCP數(shù)據(jù)流量急劇下降，最終，網(wǎng)絡(luò)中0

時(shí)間

圖2.3中，第50-200秒沒有任何，從第200秒開始發(fā)生LDoS直至350秒結(jié)束。LDoS的周期為1s，數(shù)據(jù)流的發(fā)送速率為3Mb/s，一個(gè)周期內(nèi)的持續(xù)時(shí)長(zhǎng)為150ms從圖2.3可以看到，LDoS發(fā)生時(shí)網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量持續(xù)頻繁波動(dòng)，平均TCP數(shù)據(jù)流量急劇下降。 數(shù)據(jù)流量“變異”程度的度量與判斷動(dòng)，但不會(huì)出現(xiàn)持續(xù)頻繁波動(dòng)的情況。當(dāng)LDoS發(fā)生時(shí)，即場(chǎng)景S3中，網(wǎng)絡(luò)中TCP數(shù)據(jù)流量的分布上主要表現(xiàn)為以下兩點(diǎn)：第一，TCP數(shù)據(jù)流量的方差增大；第二，平均TCP數(shù)據(jù)流量降低。其原因在于，LDoS發(fā)生時(shí)，TCP數(shù)據(jù)流量連續(xù)出現(xiàn)較大幅度的波動(dòng)，使得TCP數(shù)據(jù)流量的方差變大，且整個(gè)網(wǎng)絡(luò)一直處于“不穩(wěn)定狀態(tài)”，平均TCP數(shù)據(jù)流量顯著降低，即TCP數(shù)據(jù)流量發(fā)生了“變異”。這種“變異”可表現(xiàn)為TCP數(shù)據(jù)流量的方差與TCP數(shù)據(jù)流量的均值之比變大，即“變異系數(shù)”產(chǎn)生變化。變異系數(shù)（CoefficientofVariation，CV）[43]是概率論和統(tǒng)計(jì)學(xué)中的一個(gè)概念，StandardDeviation），其值為分布的標(biāo)準(zhǔn)差與分布的平均值的比值，如式（2.3）所CVx

（其中σxS1S2S2TCP數(shù)據(jù)流量“跳TCP數(shù)據(jù)流量沒有發(fā)生持續(xù)頻繁波動(dòng)，各時(shí)間段的變異系數(shù)大多為一個(gè)相對(duì)較小的值。而在場(chǎng)景S3中，LDoS會(huì)導(dǎo)致TCP數(shù)據(jù)流量系數(shù)超過事先設(shè)定的閾值時(shí)，該時(shí)間段內(nèi)可能發(fā)生LDoS。度的方法來定義檢測(cè)窗口，如定義2.5所示。為檢測(cè)窗口（Detection設(shè)采樣間隔為tTsi次采樣得in為樣本容量,計(jì)算Ai中樣本觀測(cè)值的平均值得到第i個(gè)TCP數(shù)據(jù)流量xTCPi則xTCP的定義如式（2.5）所示，根據(jù)xTCP及其在檢測(cè)窗口中的順序號(hào)可以構(gòu)建 iin （nxTCP （ TsDWm=xTCP,1xTCP,2x Ts n*n*t 其中m為檢測(cè)窗口的編號(hào)，Ts通常為n*Δt的整數(shù)倍。根據(jù)檢測(cè)窗口的定義可知TCP數(shù)據(jù)流量樣本的時(shí)序序列，因此可以求得m每個(gè)檢測(cè)窗口對(duì)應(yīng)一個(gè)變異系數(shù)cTCP，則根據(jù)每個(gè)檢測(cè)窗口的變異系數(shù)和該檢測(cè)窗口的編號(hào)可以構(gòu)建一個(gè)二元組PCV，如式（2.7）所示。mPCVcTCP,m （ 2.2TCP數(shù)據(jù)流量的分析可知，TCP數(shù)據(jù)流量的變化可將得到的變異系數(shù)分為兩S1S2中的檢測(cè)窗口的變異系數(shù)稱為TCP數(shù)據(jù)流量變異系數(shù)”，場(chǎng)景S3中的檢測(cè)窗口的變異系數(shù)稱為TCP數(shù)據(jù)流量變2.6所示。m2.6TCP數(shù)據(jù)流量的變異系數(shù)cTCPmthresholdCV，則相應(yīng)的變異系數(shù)點(diǎn)稱為異常變異系數(shù)點(diǎn)（CoefficientPCV，CAP），反之，則稱為正常變異系數(shù)點(diǎn)（CoefficientNormalCAP和CNP集合的形式化定義如式（2.8）和式（2.9）所示

PCV，CNP）{CAPcTCPm|cTCP （ {CNPcTCPm|cTCP （ 其中thresholdCV變異系數(shù)大于thresholdCVCAP，否則認(rèn)為該檢測(cè)窗口相應(yīng)的變異系數(shù)點(diǎn)為CNP。S1中，TCP數(shù)據(jù)流量在擁塞控制機(jī)制下呈現(xiàn)較小的波動(dòng)，因此大多數(shù)DW的變異系數(shù)相對(duì)較小，相應(yīng)的變異系數(shù)點(diǎn)為CNP，圖2.4所示為場(chǎng)景S1中的一

值thresholdCV=0.104（統(tǒng)計(jì)算子及閾值的取值將在隨后討論判斷所有檢測(cè)窗在場(chǎng)景S2中，網(wǎng)絡(luò)中的其他（非LDoS）使得網(wǎng)絡(luò)中的合法TCP數(shù)據(jù)流量較低，而且這些TCP連接無法進(jìn)入“擁塞控制”過程，所以網(wǎng)絡(luò)中的合法TCPS1TCP數(shù)據(jù)流因?yàn)槭艿接绊懚冀K處于較低水平，但是持續(xù)一段時(shí)間后，TCP數(shù)S1S2中，各檢測(cè)窗口的兩類變異系數(shù)點(diǎn)的比例與場(chǎng)景S1是近似的，如圖2.5所示。

檢測(cè)窗口編圖.5S2，應(yīng)各檢測(cè)窗口的變異系數(shù)皆為較小值，且都沒有超過閾值thresholdCV，CAP0的檢測(cè)窗口的時(shí)間范圍為第194s-203s，它剛好包含了的始發(fā)階段（開始于200s值，使得該檢測(cè)窗口對(duì)應(yīng)的變異系數(shù)點(diǎn)表現(xiàn)為CAP。2.6變異變異系 檢測(cè)窗口編綜合上述對(duì)三種網(wǎng)絡(luò)場(chǎng)景下的各檢測(cè)窗口的變異系數(shù)的分析，給出LDoS窗口內(nèi)可能存在LDoS。閾值thresholdCV的大小設(shè)定會(huì)影響判別CAP和CNP的結(jié)果，從而影響檢時(shí)候的網(wǎng)絡(luò)狀態(tài)，因此本文基于“訓(xùn)練數(shù)據(jù)”定義thresholdCVthresholdCV的thresholdCVkCV （2.10）其中窗口變異系數(shù)的標(biāo)準(zhǔn)差。kCV任何的。對(duì)于已知的和kCVthresholdCVkCV的值較小，則網(wǎng)絡(luò)中無時(shí)，會(huì)使得較多的檢測(cè)窗口的變異系數(shù)超過閾值thresholdCV，從而導(dǎo)致較多的誤判；而如果kCV的值較大，則LDoS發(fā)生時(shí)，會(huì)使得較多的檢測(cè)窗口的變異系數(shù)小于閾值thresholdCV，從而導(dǎo)致較多的漏判。因此，統(tǒng)計(jì)算子kCV的選擇關(guān)系著檢測(cè)的準(zhǔn)確度。圖2.7和圖2.8分別給出了網(wǎng)絡(luò)中不存在任何的情況下和網(wǎng)絡(luò)中存在的情況下，統(tǒng)計(jì)算子kCV=1、2、3、4CAPCNP的結(jié)果示意圖。在網(wǎng)絡(luò)沒有任何的情況下，從圖2.7中可以看到，統(tǒng)計(jì)算子kCV=1、kV4時(shí)，AP為0絡(luò)DoS況，圖8PkV有任何的情況下，AP的個(gè)數(shù)隨著統(tǒng)計(jì)算子kV的增大而減少，而在網(wǎng)絡(luò)DoS，kV的取值在一定范圍內(nèi)（為1到4）對(duì)P的個(gè)數(shù)沒有影響。基于這一事實(shí)，本文僅從減少誤判的角度設(shè)定kV的取值，經(jīng)過反復(fù)試驗(yàn)，取統(tǒng)計(jì)算子kV3。

threshold

threshold

圖2.7網(wǎng)絡(luò)中無時(shí)，統(tǒng)計(jì)算子取不同值的情況下判別CAP和CNP結(jié)果示意

threshold

圖2.8網(wǎng)絡(luò)中存在LDoS時(shí)，統(tǒng)計(jì)算子取不同值的情況下判別CAP和CNP結(jié)果示意基于變異系數(shù)的LDoS檢測(cè)算由2.3節(jié)的討論可知，基于TCP數(shù)據(jù)流量的“變異”來檢測(cè)LDoS，一般Step1：數(shù)據(jù)流量采樣。基于擬定的采樣指標(biāo)，對(duì) 數(shù)據(jù)流量采樣Step2：采樣數(shù)據(jù)的處理與度量。根據(jù)變異系數(shù)的計(jì)算方法，對(duì)TCP數(shù)據(jù)流量樣Step3：檢測(cè)?；谥贫ǖ呐袛鄿?zhǔn)則1對(duì)度量結(jié)果進(jìn)行檢測(cè)，判斷是否（取中的TP流量數(shù)據(jù)采樣。采樣得到的數(shù)據(jù)為每秒時(shí)間內(nèi)的TP數(shù)據(jù)流量TCP，單位為字節(jié)。設(shè)每個(gè)檢測(cè)窗口W的時(shí)間長(zhǎng)度為TS，采樣時(shí)間間隔為Δt，采樣對(duì)象為網(wǎng)絡(luò)中的某個(gè)關(guān)鍵路由器，則通過對(duì)該路由器的連續(xù)采樣可以得到一個(gè)檢測(cè)窗口DWTP數(shù)據(jù)流量樣本序列。TCP數(shù)據(jù)流量樣本序列以后，便可以計(jì)算各個(gè)檢測(cè)差，并依據(jù)式（2.10）計(jì)算閾值thresholdCV，最后，基于thresholdCV1判斷測(cè)試數(shù)據(jù)中的各個(gè)檢測(cè)窗口內(nèi)是否發(fā)生了LDoS。根據(jù)前面給出的檢測(cè)步驟，可以得到基于變異系數(shù)的檢測(cè)LDoS的檢測(cè)算法，如算法2.1所示。//序列OO

//對(duì)Otr計(jì)算各個(gè)檢測(cè)窗口的變異系數(shù)序列cv

=ComputeCV(Otr=TailAverage(cvtr=Computeσ(cvtr//根據(jù)訓(xùn)練數(shù)據(jù)所有檢測(cè)窗口的變異系數(shù)的平均值和標(biāo)準(zhǔn)差 計(jì)算//值thresholdCV=ComputeThreshold() //初始化時(shí)刻t

=[SS

//Ste計(jì)算該檢測(cè)窗口內(nèi)的各個(gè)樣本的平均值=ComputeAverage(Ste//Ste計(jì)算該檢測(cè)窗口內(nèi)的各個(gè)樣本的標(biāo)準(zhǔn)差 =Compute(Ste//計(jì)算該檢測(cè)窗口的ccTCP=ComputeCV(，//cTCP的值大于

CV，表示發(fā)現(xiàn) ，輸出IfcTCP>threshold

end以每個(gè)檢測(cè)窗口為對(duì)象，設(shè)每個(gè)檢測(cè)窗口的樣本個(gè)數(shù)為N，基于變異系數(shù)的檢測(cè)LDoS的檢測(cè)算法在對(duì)實(shí)時(shí)TCP數(shù)據(jù)流分析時(shí)需要的數(shù)據(jù)主要包該檢測(cè)窗口內(nèi)所有樣本的平均值該檢測(cè)窗口內(nèi)所有樣本的標(biāo)準(zhǔn)差對(duì)于TCP數(shù)據(jù)流量樣本消耗的空間而言，其主要與采樣間隔t和檢測(cè)窗口時(shí)長(zhǎng)Ts有關(guān)，對(duì)于給定的Ts和t，其消耗的空間只與檢測(cè)窗口的樣本個(gè)數(shù)變異系數(shù)CV為計(jì)算出來的三個(gè)值，它們消耗的空間是固定的，因此整個(gè)檢測(cè)為O（N）。由算法的空間復(fù)雜度的分析可知，基于變異系數(shù)的LDoS檢測(cè)算法涉及到TCPTCP數(shù)據(jù)流量樣本，其消耗的時(shí)間TCP數(shù)據(jù)流量樣本計(jì)算得到樣本均值，其消耗的時(shí)間TCP數(shù)據(jù)流量樣本計(jì)算得到樣本標(biāo)準(zhǔn)差，其消耗的時(shí)由于環(huán)節(jié)1、2、3中消耗的時(shí)間與檢測(cè)窗口的樣本個(gè)數(shù)線性相關(guān)，而環(huán)節(jié)4中消實(shí)驗(yàn)及結(jié)果分析NS-2（NetworkSimulatorversion2）[44]網(wǎng)絡(luò)仿真軟件進(jìn)行實(shí)驗(yàn)平臺(tái)的構(gòu)建和相關(guān)實(shí)驗(yàn)，實(shí)驗(yàn)的網(wǎng)絡(luò)拓?fù)鋱D如圖2.10所示。2.1010Mbps30msR2R3之間的鏈100Mbps15ms25條合法TCP10TCP連接使用的擁塞控制算法均為NewReno算法，其最小重傳時(shí)間（RetransmissionTimeOut，RTO）為1s。各個(gè)350ssLDoS參數(shù)設(shè)置為：周期T=1s，持續(xù)時(shí)間lattack=150ms或或250ms，數(shù)據(jù)發(fā)送率為Rattack=30Mbps或50Mbps。檢測(cè)窗口DW的時(shí)間長(zhǎng)何，其數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，第Ⅱ組實(shí)驗(yàn)針對(duì)包含F(xiàn)DoS的數(shù)據(jù)進(jìn)（Rattack為FDoS數(shù)據(jù)的發(fā)送速率，第Ⅲ~Ⅷ組實(shí)驗(yàn)針對(duì)包含不同參數(shù)LDoS的數(shù)據(jù)進(jìn)試。實(shí)驗(yàn)實(shí)施情況如表2.1（lattack為none表示沒有圖2.11所示。2.1時(shí)間l時(shí)間lR 時(shí)間0 時(shí)間

0 時(shí)間

根據(jù)實(shí)驗(yàn)Ⅰ中的訓(xùn)練數(shù)據(jù)計(jì)算得到檢測(cè)參數(shù)thresholdCV=0.104，再結(jié)合擬實(shí)驗(yàn)時(shí)長(zhǎng)和檢測(cè)窗口長(zhǎng)度Ts33個(gè)檢測(cè)窗口1…D33。1（1）分別對(duì)ⅡTP流量數(shù)據(jù)進(jìn)2.12所示。ⅠⅡ1234567891011121314151617181920212223242526272829303132檢測(cè)窗口編2.12從圖2.12所示的實(shí)驗(yàn)結(jié)果可以看到，在LDoS沒有發(fā)生時(shí)（各組實(shí)驗(yàn)的17個(gè)檢測(cè)窗口，編號(hào)為1到17均沒有報(bào)告LDoS，即沒有發(fā)生誤報(bào)；在FDoS發(fā)生時(shí)，檢測(cè)窗口Ⅱ-DW18報(bào)告LDoS，發(fā)生了誤報(bào)，其原因在于該檢測(cè)窗口包含了的始發(fā)階段，發(fā)生時(shí)，該檢測(cè)窗口內(nèi)的TCP數(shù)據(jù)流量發(fā)生了較大的“變異”，導(dǎo)致相應(yīng)的變異系數(shù)點(diǎn)為CAP，而在FDoS發(fā)生一段時(shí)間后，檢測(cè)窗口Ⅱ-DW19~Ⅱ-DW33均沒有報(bào)告LDoS；在LDoS發(fā)生時(shí)，該檢測(cè)方法對(duì)不同參數(shù)設(shè)置的LDoS都有較好的檢測(cè)效果，各組實(shí)驗(yàn)包含的檢測(cè)窗口（編號(hào)為18到33）均被檢測(cè)出LDoS，沒有發(fā)生漏報(bào)。本章小網(wǎng)絡(luò)中存在LDoS時(shí)，TCP數(shù)據(jù)流量的方差會(huì)增大，且平均TCP數(shù)據(jù)流量首先，歸納出了三種網(wǎng)絡(luò)場(chǎng)景，并詳細(xì)分析了在每種網(wǎng)絡(luò)場(chǎng)景中，TCP數(shù)據(jù)流TCP數(shù)據(jù)流量的變異系數(shù)的大小進(jìn)行了分析和討論，并在此基礎(chǔ)上給出了使用變異系數(shù)檢測(cè)LDoS的判斷準(zhǔn)則。隨后，對(duì)基于變異系數(shù)檢測(cè)LDoS的算法實(shí)現(xiàn)及其流程進(jìn)行了描述。最后，基于NS-2實(shí)驗(yàn)仿真平臺(tái)給出了使用該算法檢測(cè)LDoS的實(shí)驗(yàn)結(jié)果。實(shí)驗(yàn)結(jié)果表明，基于變異系數(shù)的LDoS檢測(cè)方法能夠檢測(cè)出大多數(shù)，此，使用該方法檢測(cè)網(wǎng)絡(luò)中的LDoS具有一定的可行性。基于海寧格距離的LDoS檢測(cè)方第二章基于變異系數(shù)的LDoS檢測(cè)方法根據(jù)TCP數(shù)據(jù)流量分布的離散程度判斷LDoS是否發(fā)生，而實(shí)際網(wǎng)絡(luò)中可能存在著一些突發(fā)數(shù)據(jù)流，導(dǎo)致本章試圖從概率分布的角度對(duì)TCP數(shù)據(jù)流量的分布進(jìn)行分析，以期降低突發(fā)數(shù)據(jù)流LDoS檢測(cè)方法存在的不足。則，并通過實(shí)驗(yàn)證明基于海寧格距離的LDoS檢測(cè)方法的可行性和有效性。相關(guān)概念與定義海寧格距離（ingerDistance，HD）是統(tǒng)計(jì)學(xué)中的一個(gè)概念，它主要用來衡量?jī)蓚€(gè)離散型或者連續(xù)型概率分布的相似程度。海寧格距離主要由巴氏系數(shù)TCP數(shù)據(jù)流量是離散分布的，因此本文僅給出在離散概率分布的情況下，海寧格距離HD和巴氏系數(shù)BC的計(jì)算公式，即：1(BC(p,1(BC(p,p(x)q(BC(p(x)q(

（據(jù)流量樣本值為min（xTCP，將從min（xTCP）到max（xTCP）的區(qū)間劃分成B個(gè)大小相等的區(qū)間，第i個(gè)區(qū)間記為Si（0<i<=B）Hm,i：第m個(gè)檢測(cè)窗口中落入Si內(nèi)樣本個(gè)數(shù)占該檢測(cè)窗口總樣本個(gè)數(shù)的比例Hm：第m個(gè)檢測(cè)窗口中各Hm,i（0<i<=B）形成的

HDm：第m個(gè)檢測(cè)窗口的海寧格距thresholdHD：根據(jù)訓(xùn)練數(shù)據(jù)各個(gè)檢測(cè)窗口的海寧格距離計(jì)算得到的海寧格距離LDoS對(duì)TCP數(shù)據(jù)流量分布的影TCP數(shù)據(jù)流量較少出現(xiàn)“急劇”波動(dòng)，而且即使出現(xiàn)波動(dòng)，波動(dòng)的頻繁TCP數(shù)據(jù)流量在大多數(shù)時(shí)間段內(nèi)處于正常而當(dāng)LDoS發(fā)生時(shí)，網(wǎng)絡(luò)中TCP數(shù)據(jù)流量會(huì)出現(xiàn)頻繁波動(dòng)從而導(dǎo)致TCP數(shù)S1TCP流量波動(dòng)幅度較大且大多TCPTCPS1S3TCP流量數(shù)據(jù)，則通過對(duì)比可知，這兩段數(shù)據(jù)的分布具有一定的差異，如圖3.1所示。其中第50s-200s沒有，第200s-350s有LDoS。TCP數(shù)據(jù)流量分布產(chǎn)生了“異?！薄Ｓ杏袩o0 時(shí)間

圖3.1有無LDoS情況下TCP數(shù)據(jù)流量分布示意 數(shù)據(jù)流量分布異常的描述與分析TCP2.3節(jié)檢測(cè)窗口DW的定義，同時(shí)引入流量分布直方圖以便直觀的表示網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量為max(xTCP)，最小值為min(xTCP)，根據(jù)事先設(shè)定的分段數(shù) 將從min(xTCP)max(xTCPBSiSi的定義如式（3.3）所示，SiLS如式（3.4）iSi0<i<=B。Simin(xTCPi1)*LS,min(xTCP)i*LS （max(xTCP)min(xTCP)LS

（HmHm,1Hm,2Hm,B （布直方圖的對(duì)比，可以直觀的判斷TCP數(shù)據(jù)流量分布是否發(fā)生了顯著變化。S1中，TCPTCP數(shù)據(jù)流量TCP數(shù)據(jù)流量樣本TCP數(shù)據(jù)流量樣本個(gè)數(shù)較少。因此，體TCPSi3.2所TCP數(shù)據(jù)流量分布直方圖，其中j>0，k>0jk

（a）第j個(gè)檢測(cè)窗口的TCP數(shù)據(jù)流量分布直方 （b）第k個(gè)檢測(cè)窗口的TCP數(shù)據(jù)流量分布直方t發(fā)生時(shí)刻位于某個(gè)檢測(cè)窗口的后半段，由于此時(shí)較低的 比例較小，因此t t口內(nèi)的xTCP大部分會(huì)低于無時(shí)的TCP數(shù)據(jù)流量樣本值，使得該檢測(cè)窗口內(nèi)的tTCP數(shù)據(jù)流量樣本處于較低水平，導(dǎo)致該檢測(cè)窗口的流量分布直方圖發(fā)生較大變化。而在持續(xù)一段時(shí)間后，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量無法恢復(fù)到正常水平，雖TCP數(shù)據(jù)流量樣本依然會(huì)落入編號(hào)較大的Si中，由此得到的TCP數(shù)據(jù)流量分布直方圖與網(wǎng)絡(luò)中無時(shí)的TCP數(shù)據(jù)流量分布直方圖相似。在場(chǎng)景S3中，LDoS使得網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量持續(xù)頻繁波動(dòng)，即網(wǎng)絡(luò)中TCP數(shù)據(jù)流量樣本圍繞min(xTCP)和max(xTCP)的均值波動(dòng)，導(dǎo)致檢測(cè)窗口大多TCP數(shù)據(jù)流量樣本Si內(nèi)（3.3中的S3~S7，由此形成的TCP數(shù)據(jù)流量分布直方圖與網(wǎng)絡(luò)中無時(shí)得到的TCP數(shù)據(jù)流量分布直方圖相比會(huì)呈現(xiàn)顯著的差異。如圖3.3所示，其中LDoS周期T=1s，每個(gè)周期內(nèi)的持續(xù)時(shí)間lattack=150ms，數(shù)據(jù)發(fā)送速率Rattack=30Mbps。TCP0.TCP. TCP數(shù)據(jù)流量分段編 數(shù)據(jù)流量分布異常的判別3.3S2S3中，TCP數(shù)據(jù)流量分布會(huì)呈現(xiàn)不同的特S1S2中，TCP數(shù)據(jù)流量處于較低水平。而在場(chǎng)景S3中，TCP數(shù)據(jù)流量分布與場(chǎng)景S1相比呈現(xiàn)出較大變化。為有效反映出TCP數(shù)據(jù)流量分布“差異”的程度，可以使用定義3.2中氏px和qx , ni

1此時(shí)，將巴氏系數(shù)代入公式（3.1）HD=0，這說明當(dāng)兩個(gè)分布完全一致時(shí)，其海寧格距離為0，即兩個(gè)分布的差異程度達(dá)到最小值。S1S2中，各檢測(cè)窗口的海寧格距離超過事先給定的閾值thresholdHD時(shí)，可以認(rèn)為該檢測(cè)窗口中發(fā)生了，同時(shí)若網(wǎng)絡(luò)中無時(shí)各個(gè)檢測(cè)窗口的海寧格距離應(yīng)該處于該thresholdHD為獲取檢測(cè)窗口的海寧格距離，需構(gòu)建一個(gè)“基準(zhǔn)”的H，即以該H為基準(zhǔn)H?[H?1?2?BmH為B1Hm,j?jHmHm,1Hm,2Hm,B，測(cè)試數(shù)據(jù)第m個(gè)檢測(cè)窗口的海寧格距B1Hm,j?jHDm （ 其中0?j1,0Hmj1?j=1Hmj=10HDm1，B 巴氏系數(shù)事先設(shè)定的一個(gè)分段數(shù)，B越大則判斷結(jié)果越精確，但同時(shí)也會(huì)造成“靈敏度”過高的問題，反之，B越小則判斷結(jié)果越不精確，會(huì)造成“靈敏度”過低的問m并將其映射為以檢測(cè)窗口編號(hào)為橫軸、海寧格距離為縱軸的坐標(biāo)系中的一個(gè)點(diǎn)PHDm，稱PHD的定義如式（3.7）所示。mPHDHDm （ 根據(jù)PHD中 的取值的不同，可以將所有檢測(cè)窗口對(duì)應(yīng)的PHD分成兩類： 義3.2若海寧格距離統(tǒng)計(jì)點(diǎn)的HDm大于事先設(shè)定的閾值thresholdHD，則該海寧格距離統(tǒng)計(jì)點(diǎn)稱為異常海寧格距離統(tǒng)計(jì)點(diǎn) ingerAbnormalPHD反之，則稱為正常海寧格距離統(tǒng)計(jì)點(diǎn) ingerNormalPHD，HNP）HAPHNP集合的形式化定義如式（3.8）和式（3.9）{HAPHDmm|HDmthresholdHD （{HNP}={HDm,m|HDmthresholdHD} 其中閾值thresholdHD可由訓(xùn)練數(shù)據(jù)來獲取。在場(chǎng)景S1中，各個(gè)檢測(cè)窗口內(nèi)的3.4所示，其中以訓(xùn)練數(shù)據(jù)的第一個(gè)檢測(cè)窗口作為“基準(zhǔn)檢測(cè)窗口”,設(shè)定的統(tǒng)計(jì)算子為3，基于訓(xùn)練數(shù)據(jù)獲得閾值thresholdHD=0.25（統(tǒng)計(jì)算子及閾值的取值將在 檢測(cè)窗口編3.4S1中HAP和HNP數(shù)據(jù)流量始終處于較低水平，在持續(xù)的一段時(shí)間內(nèi)，雖然網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量一直處于較低水平，但是其分布形態(tài)與無時(shí)相比并沒有明顯差異。因此僅在在場(chǎng)景S3中，由LDoS的特點(diǎn)可知，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量出現(xiàn)持續(xù)頻繁波動(dòng)，從LDoS發(fā)生的時(shí)刻開始，受網(wǎng)絡(luò)的TCP數(shù)據(jù)流量一直處于持續(xù)的劇烈振蕩當(dāng)中，發(fā)生LDoS的檢測(cè)窗口的TCP數(shù)據(jù)流量分布與無情況相比統(tǒng)計(jì)點(diǎn)為HAP，如圖3.6所示，其中LDoS開始于200s（編號(hào)為17的檢測(cè)窗口中350s（直至最后一個(gè)檢測(cè)窗口采樣結(jié)束。海寧海寧格距 圖.5S2HAPHNP海寧海寧格距 檢測(cè)窗口編圖.6S3中HAP和HNP綜上所述S1S2中，其海寧格距離統(tǒng)計(jì)點(diǎn)基本HAP，而在S3中，包含LDoS的檢測(cè)窗口的海寧格距離大多越過閾值，其相應(yīng)的海寧格距離統(tǒng)計(jì)點(diǎn)為HAP，由此提出LDoS的判斷準(zhǔn)則2。判斷準(zhǔn)2（JC2）HAP，則認(rèn)為該檢測(cè)窗口內(nèi)可能存在LDoS。取值過大，則在場(chǎng)景S3中，會(huì)導(dǎo)致HAP誤判為HNP，因此，恰當(dāng)?shù)膖hresholdHD的取值關(guān)系著檢測(cè)結(jié)果的準(zhǔn)確度。thresholdHD的計(jì)算方法如式（3.10）所示。thresholdHDkHD （式3.10）其中為訓(xùn)練數(shù)據(jù)各個(gè)檢測(cè)窗口的海寧格距離的去尾平均值，為各個(gè)檢測(cè)窗口的海寧格距離的標(biāo)準(zhǔn)差。kHD稱為統(tǒng)計(jì)算子，為事先給定的整數(shù)對(duì)于已知的和kHDthresholdHDkHD的值較小，則網(wǎng)絡(luò)中無時(shí)，會(huì)使得較多的檢測(cè)窗口的海寧格距離超過閾值thresholdHD，從而導(dǎo)致較多的誤判；而如果kHD的值較大，則LDoS發(fā)生時(shí)會(huì)使得較多的檢測(cè)窗口的海寧格距離都小于閾值thresholdHD，從而導(dǎo)致較多的漏判。因此，統(tǒng)計(jì)算子kHD的選擇關(guān)系著檢測(cè)的準(zhǔn)確度。圖3.7和圖3.8分別給出了網(wǎng)絡(luò)中不存在任何的情況下和網(wǎng)絡(luò)中存在海寧海寧格距 檢測(cè)窗 海寧海寧格 檢測(cè)窗口編圖3.7網(wǎng)絡(luò)中無時(shí)，統(tǒng)計(jì)算子取不同值的情況下判別HAP和HNP結(jié)果示意 圖3.8網(wǎng)絡(luò)中存在LDoS時(shí)，統(tǒng)計(jì)算子取不同值的情況下判別HAP和HNP結(jié)果示意在網(wǎng)絡(luò)沒有任何的情況下，從圖3.7中可以看到，統(tǒng)計(jì)算子kHD=1時(shí)的個(gè)數(shù)減少為0個(gè)。而在網(wǎng)絡(luò)LDoS的情況下，從圖3.8中可以看到，HNP情況下，P的個(gè)數(shù)隨著統(tǒng)計(jì)算子kD的而減，在網(wǎng)DoSHD的取值在一定范圍內(nèi)（13）PHD計(jì)算子kHD3。基于海寧格距離的 檢測(cè)算Step1：數(shù)據(jù)流量采樣。基于擬定的采樣指標(biāo)，對(duì) 數(shù)據(jù)流量采樣Step2：采樣數(shù)據(jù)的處理與度量據(jù)巴氏系數(shù)和海寧格距離的計(jì)算方法，對(duì)（取中的TP流量數(shù)據(jù)采樣。采樣得到的數(shù)據(jù)為每秒時(shí)間內(nèi)的TP數(shù)據(jù)流量TCP，單位為字節(jié)。設(shè)每個(gè)檢測(cè)窗口W的時(shí)間長(zhǎng)度為TS，采樣時(shí)間間隔為Δt，采樣對(duì)象為網(wǎng)絡(luò)中的某個(gè)關(guān)鍵路由器，則通過對(duì)該路由器的連續(xù)采樣可以得到一個(gè)檢測(cè)窗口DWTP數(shù)據(jù)流量樣本序列。TCP流量樣本序列以后，便可以計(jì)算出訓(xùn)練數(shù)據(jù)和HH為基準(zhǔn)，根據(jù)公式（3.6）計(jì)算出訓(xùn)練數(shù)據(jù)各個(gè)檢測(cè)窗口氏系數(shù)和海寧格距離，求得這些海格距離的去尾平均值和標(biāo)準(zhǔn)差，并依據(jù)式（3.10）計(jì)算閾值thresholdHDthholdHD則2判斷測(cè)試數(shù)據(jù)中的個(gè)檢測(cè)口內(nèi)是否生了DoS。根據(jù)前面給出的檢測(cè)步驟，可以得到基于海寧格距離檢測(cè)LDoS的檢測(cè)基準(zhǔn)H，即訓(xùn)練數(shù)據(jù)中某個(gè)檢測(cè)窗口（本文取第一個(gè)）的樣本容量n，分段數(shù)B//序列OO

H=ComputeHistogram(Otr ?= HD=ComputeHD(H，? |m =TailAverage( =Computeσ(HDtr//根據(jù)訓(xùn)練數(shù)據(jù)所有檢測(cè)窗口的海寧格距離的平均值和標(biāo)準(zhǔn)差 計(jì)//閾值threshold //初始化時(shí)刻t

SS

//對(duì)Ste H=ComputeHistogram(SteputeHD(H，?

//若HD的值大于閾值thresholdHD，表示發(fā)現(xiàn)LDoS，輸出 HD>thresholdHD

endwhileH的主要與分段數(shù)B線性相關(guān)，因此H的空間復(fù)雜度為O（B）。TCP數(shù)據(jù)流量樣本消耗的空間與檢測(cè)窗口時(shí)間長(zhǎng)度Ts和采樣間隔t有關(guān)，對(duì)于確定的Ts和t，TCP數(shù)據(jù)流量樣本消耗的空間僅與檢測(cè)窗口的樣本個(gè)數(shù)線性相關(guān)，因TCPO（N）。而巴氏系數(shù)、海寧格距離都為一個(gè)綜合上述分析可知，基于海寧格距離檢測(cè)LDoS算法消耗的空間主要由基準(zhǔn)H和TCP數(shù)據(jù)流量樣本消耗的空間決定，而二者的空間復(fù)雜度分別為于N一般遠(yuǎn)大于B，所以可以認(rèn)為該檢測(cè)算法的空間復(fù)雜度為O（N）。TCPH，主要包括最根據(jù)3中得到氏系數(shù)計(jì)算該檢測(cè)窗口的海寧格距離環(huán)節(jié)1中的時(shí)間消耗與檢測(cè)窗口的樣本個(gè)數(shù)線性相關(guān)，其時(shí)間復(fù)雜度為（N。環(huán)節(jié)2中最大值和最小值的計(jì)算與樣本容量線性相關(guān)，計(jì)算各個(gè)分段采樣值的TCP數(shù)據(jù)流量樣本，因此，計(jì)算這三個(gè)值的時(shí)間復(fù)雜度均為O（N），2的時(shí)間復(fù)雜度為O(3N)O（N）。3HB線性相關(guān)，因此環(huán)節(jié)3的時(shí)間復(fù)雜度為O（B）。綜合對(duì)所有計(jì)算環(huán)節(jié)的時(shí)間復(fù)雜度的分析可知，基于海寧格距離檢測(cè)LDoS攻擊的檢測(cè)算法的時(shí)間復(fù)雜度為O（N）和O（B）的較大者，而一般來說，樣本個(gè)數(shù)N遠(yuǎn)大于分段數(shù)B，所以基于海寧格距離檢測(cè)LDoS算法的時(shí)間復(fù)雜度也為O（N）通過對(duì)基于海寧格距離檢測(cè)LDoS算法的時(shí)間復(fù)雜度和空間復(fù)雜度的分析都是較少的，適合在大規(guī)模網(wǎng)絡(luò)中部署以實(shí)現(xiàn)對(duì)LDoS的實(shí)時(shí)檢測(cè)。實(shí)驗(yàn)及結(jié)果分析實(shí)驗(yàn)采用基于NS-2網(wǎng)絡(luò)仿真軟件的實(shí)驗(yàn)?zāi)M平臺(tái)。實(shí)驗(yàn)采用的網(wǎng)絡(luò)拓?fù)鋱D3.10R1、R2、R3為路由器，R2為“關(guān)鍵路由器”，R2R3之間的鏈10Mbps30msR2R3之間的100Mbps15ms25條合TCP10TCP連接使用的擁塞控制算個(gè)路由器采用的隊(duì)列管理算法為“隨機(jī)早期檢測(cè)算法（RandomEarlyDetection，350sLDoS參數(shù)設(shè)置為：周期T=1s，持續(xù)時(shí)間lattack=150ms或或250ms，數(shù)據(jù)發(fā)送率為Rattack=30Mbps或50Mbps。檢測(cè)窗口DW的時(shí)間長(zhǎng)何，其數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，第Ⅱ組實(shí)驗(yàn)針對(duì)包含 （Rattack為FDoS數(shù)據(jù)的發(fā)送速率，第Ⅲ~Ⅷ組實(shí)驗(yàn)針對(duì)包含不同參數(shù)3.1lRⅠⅡⅢⅣⅤⅥⅦⅧ根據(jù)實(shí)驗(yàn)Ⅰ中的訓(xùn)練數(shù)據(jù)計(jì)算得到檢測(cè)參數(shù)thresholdHD=0.25。由模擬驗(yàn)時(shí)長(zhǎng)和檢測(cè)窗口長(zhǎng)Ts可知，每組實(shí)驗(yàn)可以33個(gè)檢測(cè)DW1…DW33。使2（JC2）分別對(duì)Ⅱ~TCP數(shù)據(jù)流量數(shù)據(jù)進(jìn)行檢測(cè)，得到各分組實(shí)驗(yàn)數(shù)據(jù)的檢測(cè)結(jié)果，如圖3.11所示。3.11從圖3.11所示的實(shí)驗(yàn)結(jié)果可以看到，在LDoS沒有發(fā)生時(shí)（各組實(shí)驗(yàn)的前17發(fā)生時(shí)，檢測(cè)窗口Ⅱ-DW18報(bào)告LDoS，發(fā)生了誤報(bào)，其原因在于該檢測(cè)窗口包含了的始發(fā)階段，發(fā)生時(shí)，該檢測(cè)窗口內(nèi)的TCP數(shù)據(jù)流量急劇降低，其TCPHAP，而在FDoS發(fā)生一段時(shí)間后，檢測(cè)窗口Ⅱ-DW19~Ⅱ-DW33均沒有報(bào)告LDoS攻擊；在LDoS發(fā)生時(shí)，包含LDoS的第一個(gè)檢測(cè)窗（檢測(cè)窗口Ⅲ-DW18、Ⅳ-DW18、Ⅴ-DW18、Ⅵ-DW18、Ⅶ-DW18和Ⅷ-DW18）均沒有報(bào)告LDoS，發(fā)生了漏報(bào)，其原因在于發(fā)生時(shí)刻處于這些檢測(cè)窗口的后半段，這些檢測(cè)窗口的TCP數(shù)據(jù)流量分布沒有發(fā)生顯著變化，而在LDoS發(fā)生一段時(shí)間后（各組實(shí)驗(yàn)的后15個(gè)檢測(cè)窗口，編號(hào)為19到33），各個(gè)檢測(cè)窗口均被檢測(cè)出LDoS，本章小LDoS發(fā)生時(shí)，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量概率分布與無時(shí)相比呈現(xiàn)出較TCP數(shù)據(jù)流量分布差異，從而判斷網(wǎng)絡(luò)中是否存在LDoS的檢測(cè)方法。首先，對(duì)相關(guān)概念進(jìn)行了說明，然后分析了LDoS對(duì)TCP數(shù)據(jù)流量分布的影響，針對(duì)第二章三種網(wǎng)絡(luò)場(chǎng)景，分析了在每種網(wǎng)絡(luò)場(chǎng)景中，TCP數(shù)據(jù)流量TCP數(shù)據(jù)流量的海寧格距離的大小進(jìn)行了分析和討論，并在此基礎(chǔ)上給出了使用海寧格距離檢測(cè)LDoS的判斷準(zhǔn)則。隨后，對(duì)基于海寧格距離出了使用該算法檢測(cè)LDoS的實(shí)驗(yàn)結(jié)果。實(shí)驗(yàn)結(jié)果表明，基于海寧格距離的LDoS檢測(cè)方法能夠檢測(cè)出大多數(shù)LDoS空間復(fù)雜度，因此，使用該方法實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)中的LDoS是可行的。融合兩種檢測(cè)方法的 檢測(cè)系統(tǒng)—檢測(cè)算法的復(fù)雜度進(jìn)行分析，最后，將通過實(shí)驗(yàn)驗(yàn)證該檢測(cè)系統(tǒng)檢測(cè)LDoS的LBDS第二章和第三章檢測(cè)方法分別針對(duì)LDoS發(fā)生時(shí)網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量表現(xiàn)出的不同特征，依據(jù)相應(yīng)的判斷準(zhǔn)則判斷某個(gè)檢測(cè)窗口內(nèi)是否發(fā)生LDoS。而實(shí)際的網(wǎng)絡(luò)環(huán)境較為復(fù)雜，僅使用其中的法檢測(cè)LDoS，可能System，LBDS，從而提高LDoS檢測(cè)的準(zhǔn)確度。TCPTCP數(shù)據(jù)流量的樣本處理模塊：對(duì)到的TCP數(shù)據(jù)流量樣本按照第二章和第三章異常判別模塊：使用第二章和第三章檢測(cè)方法對(duì)樣本數(shù)據(jù)中的判斷模塊：運(yùn)用2.3節(jié)和3.4節(jié)判斷準(zhǔn)則，對(duì)3中得到的異常判種檢測(cè)方法都只需要當(dāng)前檢測(cè)窗口的樣本數(shù)據(jù)和少量的檢測(cè)參數(shù)，而且每種檢LBDS對(duì)網(wǎng)絡(luò)中的實(shí)時(shí)獲取的TCP數(shù)據(jù)流量進(jìn)行采樣分析，判別網(wǎng)絡(luò)中是否有LDoS發(fā)生，由于該檢測(cè)系統(tǒng)具有較低的空間消耗和較少的計(jì)算時(shí)間消耗，其所樣間隔、檢測(cè)窗口大小、分段數(shù)等。為了降低網(wǎng)絡(luò)中的“噪聲”帶來的影響，檢測(cè)數(shù)為10-20。LBDS系統(tǒng)安裝部署到網(wǎng)絡(luò)以后，需要讓系統(tǒng)在整個(gè)網(wǎng)絡(luò)中先“學(xué)習(xí)”一段 系統(tǒng)的檢測(cè)規(guī)則與算法檢測(cè)規(guī)則的任意一種來檢測(cè)LDoS，會(huì)產(chǎn)生較多的誤判或者漏判，主要包括以下兩種情：在場(chǎng)景S1中，即網(wǎng)絡(luò)中沒有任何時(shí)，TCP數(shù)據(jù)流量分布也可能發(fā)生較TCPLDoS攻擊時(shí)的TCP數(shù)據(jù)流量分布類似。布發(fā)生較大的變化，導(dǎo)致TCP數(shù)據(jù)流量分布異常。為了消除以上情況導(dǎo)致的誤判和漏判，LBDS則2（JC2），則認(rèn)為此檢測(cè)窗口可能包含LDoS。檢測(cè)算法//序列OO

?//H =ComputeAverage(Otr =Compute(Otr CV H=ComputeHistogram(Otr HDm=ComputeHD(Hm?)//計(jì)算訓(xùn)練數(shù)據(jù)的所有檢測(cè)窗口的變異系數(shù)的去尾平均值c、海寧格//離去尾平均值，CVtr為訓(xùn)練數(shù)據(jù)變異系數(shù)序列， =TailAverage(CVtr =TailAverage(HDtr //計(jì)算訓(xùn)練數(shù)據(jù)所有檢測(cè)窗口的變異系數(shù)的標(biāo)準(zhǔn)差c和海寧格距離//標(biāo)準(zhǔn)差=Computeσ(CVtr =Computeσ(HDtr //根據(jù)c、h、c、h計(jì)算閾值thresholdCV和thresholdthresholdCV=ComputeThreshold(c,cthresholdHD=ComputeThreshold(h,h //初始化時(shí)刻t SS

//SteHH=ComputeHistogramSteputeHD(H，? puteCV(SteIf(JC1=True)and(JC2=True)thenoutputTrueoutputendwhile 系統(tǒng)的算法復(fù)雜度分析因此就要求檢測(cè)算法必須具有較低的空間復(fù)雜度。同時(shí)，考慮到檢測(cè)LDoS實(shí)時(shí)性要求，檢測(cè)算法必須具有較低的時(shí)間復(fù)雜度以便發(fā)生時(shí)能夠迅速檢測(cè)LBDSLBDSN線性關(guān)，因此時(shí)間復(fù)雜度和空間復(fù)雜度皆為O（N。（23、式（31）和式（.2）樣本數(shù)據(jù)即可，而需要消耗的空間主要是樣本數(shù)據(jù)的、一些臨時(shí)變量的存儲(chǔ)和計(jì)算巴氏系數(shù)時(shí)基準(zhǔn)H的，而基準(zhǔn)H中元素的個(gè)數(shù)一般是遠(yuǎn)小于樣本個(gè)數(shù)O（N。格距離進(jìn)行判別，并運(yùn)用判斷準(zhǔn)則判斷檢測(cè)窗口是否包含LDoS，其中僅涉及到統(tǒng)計(jì)值和閾值的及比較，因此，時(shí)間復(fù)雜度和空間復(fù)雜度均為O（1。O（N實(shí)驗(yàn)及結(jié)果分析NS2模擬仿真實(shí)驗(yàn)及結(jié)果分析2.102.5節(jié)中實(shí)驗(yàn)參數(shù)的數(shù)據(jù)，第Ⅱ組數(shù)據(jù)為包含F(xiàn)DoS（200s-350s）的數(shù)據(jù)，第Ⅲ~Ⅷ組數(shù)據(jù)為包含不同參數(shù)設(shè)置的LDoS的數(shù)據(jù)。實(shí)驗(yàn)實(shí)施表如表5.1所示。根據(jù)第Ⅰ組中的訓(xùn)練數(shù)據(jù)得到變異系數(shù)的閾值0.104和海寧格距離的閾值0.25，然后按照基于變異系數(shù)和海寧格距離的檢測(cè)LDoS的檢測(cè)算法，使用判斷準(zhǔn)則1（JC1）和判斷準(zhǔn)則2（JC2）對(duì)各組數(shù)據(jù)進(jìn)行檢測(cè)，得到的檢測(cè)結(jié)果如表5.2所示，其中T表示判斷檢測(cè)窗口內(nèi)存在LDoS，F(xiàn)表示判斷檢測(cè)窗口內(nèi)不存在LDoS攻lRⅠⅡⅢⅣⅤⅥⅦⅧⅠFFFFFFFFFFFFFFFⅡFFTFFFFTFFFFTFFFFTTTFFFTTFFFTT由表5.2可以看到，LDoS發(fā)生時(shí)（第Ⅲ~第Ⅷ組實(shí)驗(yàn)中在包含LDoS攻33個(gè)檢測(cè)窗口，因此，LBDSNS-2模擬數(shù)據(jù)測(cè)試中漏報(bào)率為1/33*100%=3.33%。當(dāng)網(wǎng)絡(luò)中存在FDoS時(shí)（第Ⅱ組實(shí)驗(yàn)數(shù)據(jù)中，該檢測(cè)方發(fā)生誤報(bào)，但是誤報(bào)僅發(fā)生在第一個(gè)包含F(xiàn)DoS的檢測(cè)窗口（Ⅱ-DW18）中，即由于FDoS攻擊引起的誤報(bào)在本次試驗(yàn)中只發(fā)生了一次，因此LBDS系統(tǒng)的誤報(bào)率也為 數(shù)據(jù)集測(cè)試實(shí)驗(yàn)及結(jié)果分析林肯推出的用于檢測(cè)的標(biāo)準(zhǔn)數(shù)據(jù)集，其中包含了DoS、Probe等各種典型的網(wǎng)絡(luò)，是國(guó)際公認(rèn)的標(biāo)準(zhǔn)評(píng)測(cè)數(shù)據(jù)集。Darpa99數(shù)據(jù)集共包含五周的數(shù)據(jù)，其中第1周和第3周是無數(shù)據(jù)。第2、4、5周的數(shù)據(jù)均包含了各種網(wǎng)絡(luò)，其中第2周的數(shù)據(jù)包含18種種類43次實(shí)例，第4、5周的數(shù)據(jù)包含58種攻擊201次實(shí)例，第4、5周的數(shù)據(jù)通常用作測(cè)試數(shù)據(jù)集。1outside1周星期二到第1周星期三的無outside數(shù)據(jù)和第5周星期一的包含多種的outside數(shù)據(jù)本實(shí)驗(yàn)共分為4組，編號(hào)分別為Ⅰ~Ⅳ，第Ⅰ組實(shí)驗(yàn)為第1周星期一的數(shù)據(jù)的測(cè)11周星期三的數(shù)據(jù)的測(cè)試，第Ⅳ組實(shí)驗(yàn)為第5周星期一的數(shù)據(jù)的測(cè)試。實(shí)驗(yàn)采樣間隔t=0.5s，檢測(cè)窗口時(shí)長(zhǎng)Ts=3600s，每組實(shí)驗(yàn)包含21個(gè)檢測(cè)窗口，編號(hào)為DW1~DW21。使用基于變異系數(shù)和海寧格距離檢測(cè)LDoS的方法對(duì)各組實(shí)驗(yàn)數(shù)據(jù)進(jìn)行檢測(cè)，得到的實(shí)驗(yàn)結(jié)果如表5.3所示，其中T表示判斷檢測(cè)窗口內(nèi)存在LDoS，F(xiàn)表示判斷檢測(cè)窗口內(nèi)不存在LDoS。ⅠFFFFFFFFFFFFFFFFFFFFFⅡFTTTTTTFFFTTFFFFFTTFFⅢFFFFFFTFFFFFFFFFFFFFFⅣFTFFFFFFFFFFFFFFFFFFF由表5.3可知，使用訓(xùn)練數(shù)據(jù)測(cè)試第1周星期二無的數(shù)據(jù)時(shí)，如果僅使用兩種檢測(cè)方法中的一種檢測(cè)LDoS，會(huì)導(dǎo)致較多的誤報(bào)，而使用LBDS系統(tǒng)的檢測(cè)方法檢測(cè)LDoS后，誤報(bào)個(gè)數(shù)顯著減少，誤報(bào)率顯著降低。在使用LBDS系2個(gè)誤報(bào)，其主要原因是因?yàn)樵谶@兩個(gè)檢測(cè)窗口內(nèi)TCP數(shù)據(jù)流量發(fā)生了較大波動(dòng)，其流量分布與LDoS發(fā)生時(shí)相似。因此，LBDS系統(tǒng)在Darpa99數(shù)據(jù)集的測(cè)試中誤報(bào)率為2/（214）100%=2.38%本章小本章融合基于變異系數(shù)的LDoS檢測(cè)方法和基于海寧格距離的LDoS檢成誤判和漏判的特殊網(wǎng)絡(luò)環(huán)境，在這種特殊網(wǎng)絡(luò)環(huán)境中使用單一檢測(cè)方法檢測(cè)兩種檢測(cè)方法的檢測(cè)系統(tǒng)LBDS，給出了該系統(tǒng)的原型；隨后對(duì)LBDS系統(tǒng)的部LBDS系統(tǒng)的有效性進(jìn)行了驗(yàn)證，實(shí)驗(yàn)結(jié)果表明LBDS系統(tǒng)具有較好的檢測(cè)效果。已完成工作相對(duì)傳統(tǒng)的DoS，LDoS具有更強(qiáng)的隱蔽性，因而更難檢測(cè)，而現(xiàn)有通過對(duì)三種網(wǎng)絡(luò)場(chǎng)景中的TCP數(shù)據(jù)流量的分析，根據(jù)LDoS所導(dǎo)致的不同流量異常特征，提出了兩種新的LDoS檢測(cè)方法，并融合兩種檢測(cè)方法設(shè)計(jì)了LDoS綜合檢測(cè)系統(tǒng)—LBDS。具體來說，主要完成的工作主要包括以下幾個(gè)方面對(duì)LDoS的原理和特點(diǎn)進(jìn)行了分析，了檢測(cè)LDoS存在的難度，并結(jié)合研究現(xiàn)狀詳細(xì)分析了基于頻域和基于時(shí)域的兩類檢測(cè)LDoS的方法，歸流量，得出LDoS發(fā)生時(shí)，網(wǎng)絡(luò)中的TCP數(shù)據(jù)流量的離散程度與無時(shí)相比呈現(xiàn)顯著差異的結(jié)論?；谶@一結(jié)論，明確可使用統(tǒng)計(jì)學(xué)中的變異系數(shù)來對(duì)這種差異進(jìn)行度量，并在此基礎(chǔ)上提出了一種基于變異系數(shù)檢測(cè)LDoS的方法。通過對(duì)三種網(wǎng)絡(luò)場(chǎng)景中TCP數(shù)據(jù)流量概率分布的分析，得出網(wǎng)絡(luò)中發(fā)生LDoS時(shí)，TCP數(shù)據(jù)流量會(huì)持續(xù)波動(dòng)，從而導(dǎo)致TCP數(shù)據(jù)流量的分布產(chǎn)生“異常”的結(jié)論。基于這一結(jié)論，通過分析現(xiàn)有度量TCP數(shù)據(jù)流量分布異常的方法所存在的某些不足，引入了巴氏系數(shù)和海寧格距離來度量不同網(wǎng)絡(luò)場(chǎng)景中TCP數(shù)據(jù)流量分布之間的差異，并在此基礎(chǔ)上提出了一種基于海寧格距離檢測(cè)LDoS的方法。針對(duì)使用單一檢測(cè)方法檢測(cè)LDoS可能存在的不足，通過對(duì)兩種特殊的基于公共數(shù)據(jù)和仿真實(shí)驗(yàn)，對(duì)本研究?jī)煞N檢測(cè)方法的有效性進(jìn)行了測(cè)試且具有較低的誤報(bào)率和漏報(bào)率，證明了使用這兩種檢測(cè)方法檢測(cè)LDoS是可行下一步工作本文結(jié)合LDoS所導(dǎo)致的TCP數(shù)據(jù)流量分布異常特征給出了基于變異系數(shù)和海寧格距離兩種檢測(cè)LDoS的檢測(cè)方法，并在融合這兩種方法的基礎(chǔ)上構(gòu)建了LDoS綜合檢測(cè)系統(tǒng)。實(shí)驗(yàn)結(jié)果表明，上述各種方法能夠發(fā)現(xiàn)網(wǎng)絡(luò)中的大多數(shù)LDoS，且具有較低的誤報(bào)率和漏報(bào)率，對(duì)于LDoS的檢測(cè)具有一定的實(shí)際意義。但是由于研究水平和研究時(shí)間的限制，對(duì)LDoS的研究還存在值得進(jìn)僅從LDoS導(dǎo)致TCP數(shù)據(jù)流量分布異常的角度討論了LDoS的檢測(cè)方法，而實(shí)際LDoS還可能導(dǎo)致其它異常（如ACK流量分布異常等，因此還需要用的觀測(cè)指標(biāo)去度量LDoS導(dǎo)致的網(wǎng)絡(luò)異常實(shí)現(xiàn)更精準(zhǔn)的LDoS攻對(duì)LDoS發(fā)生時(shí)的防御方法進(jìn)行研究，實(shí)現(xiàn)對(duì)LDoS的檢測(cè)和防御，降低LDoS造成的影響。然后要感謝曉蘇老師，老師治學(xué)嚴(yán)謹(jǐn)，為人風(fēng)趣幽默，和學(xué)生打成一片，是我們的良師益友。在和老師的相處過，我們總能夠?qū)W到很多以前不知道、但是卻讓我們受益終生的東西。此外，作為的人，老師給我們營(yíng)造了一個(gè)良好的學(xué)習(xí)和生活環(huán)境，使我們更好的投入到學(xué)習(xí)和工作中。在的定稿過，老師也細(xì)心的為我們中的每一個(gè)問題，因此的完成也凝聚了老的血，老辛了！特別感謝凱老師，在研究的初期階段，曾經(jīng)茫然和彷徨，每到這時(shí)，凱老會(huì)給我提出很多的建議，教導(dǎo)我做科學(xué)研究的方法，帶我走出迷茫。在修改完善的過，老師也在各個(gè)方面提出很多有益的修改建議，使我受益匪淺。此外，在做項(xiàng)目的過，老師也教給我許多規(guī)范化的開發(fā)方法，這對(duì)我今后的工作都是大有裨益的。 ，2001（3： ．服務(wù)的分析與防范．電信技術(shù)，2000（6：26～28 濮青．DoS(服務(wù))技術(shù)及其防范．中國(guó)數(shù)據(jù)通信 （1：1～19[5]U.Tariq,M.HongandK.S.Lhee.AComprehensiveCategorizationofDDoSAttackandDDoSDefenceTechniques.AdvanceDataMiningandApplications,2006, ，2003（12： ，2004（03：337～346WentaoLiu.ResearchonDoSattackandDetectionProgramming.In:ProceedingsofInligentInformationTechnologyApplication,2009.ThirdInternationalSymposiumon,2009,207~210JunLi.EarlystatisticalanomalyintrusiondetectionofDOSattacksusingMIBtrafficparameters.In:ProceedingsofInformationAssuranceWorkshop,2003.IEEESystems,ManandCyberneticsSociety,2003,53~59HainingWang,Change-pointmonitoringforthedetectionofDoSDependableandSecureComputing,IEEETransactionson,2004,1(4):謝希仁．計(jì)算機(jī)網(wǎng)絡(luò)．：電子工業(yè)2001（829～．2006（24：2005（11QayyumA，IslamMH，JamilM．Taxonomyofstatisticalbasedanomalydetectiontechniquesforintrusiondetection.In:ProceedingsofInternationalConferenceonEmergingTechnologies.InternationalConferenceonEmergingTechnologies,2005,270~276GabrielMF.Evaluationofalow-rateDoSattackagainstiterativeservers.ComputerNetworks,2007,51(4):1013~1030GuirguisMina,BestavrosAzer,MattaIbrahim.Ontheimpactoflow-rateattacks.In:ProceedingsofIEEEInternationalConferenceonCommunications(ICC2006),2006IEEEINTERNATIONALCONFERENCEONCOMMUNICATIONS2006,董闊，．一類慢速服務(wù)的防御方法．中國(guó)科學(xué)技術(shù)大學(xué)學(xué)報(bào)2010，40（1：103～108，曹強(qiáng)，等．一種基特征提取的低速率DoS檢測(cè)方法．軟件2009，20（4：930～941，，韓奕等．一種針對(duì)LDoS的分布式協(xié)同檢測(cè)方法．小型微2009，30（3：425～430旺，殷建平，蔡志．基于擁塞參與度的分布式低速率DoS檢測(cè)過2010，32（7：49～52ChenY,HwangK.CollaborativedetectionandfilteringofShrewDDoSattacksusingspectralysis.JournalofParallel