基于TCP流量統(tǒng)計(jì)特征的LDoS攻擊檢測(cè)方法研究.pdf

1、DoS（Denial of Service）類攻擊增長(zhǎng)規(guī)?？?，是互聯(lián)網(wǎng)中廣泛存在的安全隱患。其中LDoS（Low-rate DoS）攻擊作為一種變異的DoS類攻擊，危害程度大，隱蔽性好，難以采用其它DoS類攻擊檢測(cè)方法檢測(cè)。已有LDoS攻擊檢測(cè)方法通常在檢測(cè)成本、準(zhǔn)確率或普適性等方面具有一定的局限性，故有必要針對(duì)該攻擊的檢測(cè)進(jìn)行持續(xù)深入地探究，以期獲得更高效的檢測(cè)方法。
　　以實(shí)際網(wǎng)絡(luò)為背景，歸納和定義出四種討論問(wèn)題用的典型網(wǎng)絡(luò)場(chǎng)

2、景?；谒姆N場(chǎng)景中TCP流量分布與波動(dòng)兩方面的比較分析，發(fā)現(xiàn)LDoS攻擊發(fā)生時(shí)TCP流量的分布及波動(dòng)和其它場(chǎng)景相比具有顯著差異。為度量不同場(chǎng)景中TCP流量分布與波動(dòng)的差異性，分別引入了峰度系數(shù)和移動(dòng)極差序列，前者用以確定不同場(chǎng)景中TCP流量的分布集中程度而后者表示不同場(chǎng)景中TCP流量的波動(dòng)程度。以此為基礎(chǔ)，分別提出了基于峰度系數(shù)判別的LDoS攻擊檢測(cè)方法和基于移動(dòng)極差序列判別的LDoS攻擊檢測(cè)方法，這兩種方法中分別給出了相應(yīng)的判斷方法和

3、標(biāo)準(zhǔn)。
　　實(shí)驗(yàn)結(jié)果驗(yàn)證了這兩種方法的可用性和有效性，但同時(shí)也發(fā)現(xiàn)兩種方法各自的缺陷?；诜宥认禂?shù)的判斷方法在正常情況下網(wǎng)絡(luò)流量發(fā)生突變時(shí)會(huì)導(dǎo)致誤判，而基于移動(dòng)極差序列的判斷方法則難以有效區(qū)分正常網(wǎng)絡(luò)流量的少許跳變和LDoS攻擊導(dǎo)致的網(wǎng)絡(luò)流量的頻繁劇烈波動(dòng)。
　　基于這兩種方法從不同角度對(duì)LDoS攻擊導(dǎo)致的異?，F(xiàn)象進(jìn)行了分析、度量和判斷，同時(shí)各自的優(yōu)勢(shì)和缺陷具有互補(bǔ)性，通過(guò)這兩個(gè)方法的融合得到協(xié)同檢測(cè)方法。基于模擬實(shí)驗(yàn)平臺(tái)和