基于TCP流量統(tǒng)計特征的LDoS攻擊檢測方法研究.pdf

1、DoS（Denial of Service）類攻擊增長規(guī)?？欤腔ヂ?lián)網(wǎng)中廣泛存在的安全隱患。其中LDoS（Low-rate DoS）攻擊作為一種變異的DoS類攻擊，危害程度大，隱蔽性好，難以采用其它DoS類攻擊檢測方法檢測。已有LDoS攻擊檢測方法通常在檢測成本、準確率或普適性等方面具有一定的局限性，故有必要針對該攻擊的檢測進行持續(xù)深入地探究，以期獲得更高效的檢測方法。
　　以實際網(wǎng)絡(luò)為背景，歸納和定義出四種討論問題用的典型網(wǎng)絡(luò)場

2、景?；谒姆N場景中TCP流量分布與波動兩方面的比較分析，發(fā)現(xiàn)LDoS攻擊發(fā)生時TCP流量的分布及波動和其它場景相比具有顯著差異。為度量不同場景中TCP流量分布與波動的差異性，分別引入了峰度系數(shù)和移動極差序列，前者用以確定不同場景中TCP流量的分布集中程度而后者表示不同場景中TCP流量的波動程度。以此為基礎(chǔ)，分別提出了基于峰度系數(shù)判別的LDoS攻擊檢測方法和基于移動極差序列判別的LDoS攻擊檢測方法，這兩種方法中分別給出了相應(yīng)的判斷方法和

3、標準。
　　實驗結(jié)果驗證了這兩種方法的可用性和有效性，但同時也發(fā)現(xiàn)兩種方法各自的缺陷。基于峰度系數(shù)的判斷方法在正常情況下網(wǎng)絡(luò)流量發(fā)生突變時會導(dǎo)致誤判，而基于移動極差序列的判斷方法則難以有效區(qū)分正常網(wǎng)絡(luò)流量的少許跳變和LDoS攻擊導(dǎo)致的網(wǎng)絡(luò)流量的頻繁劇烈波動。
　　基于這兩種方法從不同角度對LDoS攻擊導(dǎo)致的異?，F(xiàn)象進行了分析、度量和判斷，同時各自的優(yōu)勢和缺陷具有互補性，通過這兩個方法的融合得到協(xié)同檢測方法。基于模擬實驗平臺和