文稿成果设计

AThesisSubmittedinPartialFulfillmentoftheRequirementsfortheDegreeofMasterofEngineeringDetectingLDoSAttacksMethodbasedonAbnormalTCPDataTraffic：Zhang：Computer：Prof.XiaoHuazhongUniversityofScienceandTechnologyWuhan,Hubei430074,P.R.China 技大学服务（DenialofService，DoS）近年来给互联网的安全环境带来了极大的隐患和。慢速服务LDoS（LowrateDoS）是一种新的DoS，与传统的DoS相比，其效率更高、隐蔽性更强。由于LDoS的数据流量特征和结果所呈现出的特征与传统的DoS差别很大，使得传统DoS攻探索出行之有效的LDoS检测方法，对提升网络的安全性具有重要的理论意义通过对LDoS原理的介绍，分析了LDoS效果与周期、脉冲持续时长和脉冲强度三种参数之间的关系，并阐述了LDoS对网络数据为便于讨论和分析LDoS发生时TCP（TransmissionControlProtocol）数据了LDoS导致的TCP数据流量的异常分布形态和大小异常变化形态针对LDoS发生时TCP数据流量“异常分布”的特征，使用指数移动平均算法EWMA（ExponentiallyWeightedMovingAverage）TCP数据流量的异常。针对有显著区别，依据“熵差”处理并度量合法TCP数据流量和数据流量大小的变TCPTCP数据流量大小异常变化的LDoS检测方法。为检测给出的 检测方法的检测效果，通过仿真实验和（DefenseAdvancedResearchProjectsAgency1999）数据集进试，证明所LDoS检测方法检测准确度高，检测效率高，误判率和漏判率低。：慢速服 华华Denialofserviceattackshas easeriousthreattothesecureenvironmentoftheInternet.LowratedenialofserviceattackswhichareakindofDoSattacks,areharmfulconsequenceswiththetraditionalDoSattacks,butwithhigherefficiencyandmorehidden.ThecharacteristicsofbehavioralandattackdataflowonLDoSareverydifferentfromtraditionalDoSattacks,whiakethedetectionmethodsforthetraditionalDoSattackaredifficulttoworkonLDoS,whiletheexistingLDoSattackdetectionmethodsarelimitedintypeofLDoS,highresourceconsumption,real-timeweakandlowaccuracyandotherissues.Therefore,toexploreeffectiveLDoSattackdetectionmethodshasimportanttheoreticalandpracticalsignificanceinenhancenetworksecurity.BasedonthedescribtionoftheprocessofLDoSattacks,therelationshipbetweentheparametersandattackeffectisyzed,aswellastheeffectsofLDoSattacksonnetworktraffichavedescribed.InordertoysisTCPdatatrafficcharacteristicswhenLDoSattackoccurred,threebasicnetworkscenariosareestablished,onwhichbasedtheformofabnormaldistributiononTCPdatatrafficandabnormalchangesondatatrafficarecharacterized.BasedontheTCPdatatrafficabnormaldistributionleadbyLDoSattacks,thecriteriaareestablishedwhichinaccordancewithExponentiallyWeightedMovingAveragealgorithm.BasedonthesignificantdifferencesexistinthedegreeofchangesonseveraltypesofnetworkdatatrafficbetweenLDoSattackoccuringandnon-LDoSattackoccurring,thecriteriaareestablishedwhichinaccordancewiththedifferenceofentropy.Underthese,anLDoSattackdetectionmethodbasedontheabnomaldistributiononTCPdatatrafficandabnormalchangesondatatrafficisproposed.TotesttheeffectoftheLDoSattackdetectionmethod,theexperimentsbasedonsimulationandthegeneraldatasetssuchastheDARPA99(DefenseAdvancedResearchProjectsAgency1999)datasethavedone.TheexperimentalresultshaveproventhattheLDoSattacksdetectionmethodcangethighdetectionefficiencyandhighdetectionaccuracy,withalowfalseandmissingdetectionrate.：Lowratedenialofserviceattack,AttackDetection,Attackparameters,ExponentiallyWeightedMovingAverage,MovingRange,differenceof............................................................................................4 绪 研究背 LDOS的现状课题研究的意义、内容及目标 LDOS的原理及参数分析…………………TCP/IP拥塞控制机 LDOS的原 LDOS相关参数分 LDOS的影 本章小 LDOS对TCP数据流量的影 相关概念与定 LDOS对TCP数据流量形态的影 本章小 基于TCP数据流量异常特征的LDOS检测方 相关定 基于TCP数据流量异常分布的LDOS检 基于TCP数据流量大小异常变化的LDOS检 检测方 本章小 实验及结果分 NS-2模拟仿真实验及结果分 DRAPP99数据集测试实验及结果分 本章小 总 已完成工 下一步工 参考文 附录英文缩写词对照 华华华华绪研究背防等方面，然而近年来网络给互联网的安全环境带来了极大的隐患和。网络的主要方法包括、计算机、偷取和，其中攻的“服务（Denial-of-Service，DoS”[1]危害极大。传统的DoS以消耗网络资源为目的，通过一个或多个发送端向目标网络中至无响应。这种通过消耗大量的网络带宽和系统资源，使得网络或系统无法负务（FloodDenialofService，FDoS）[3]是在DoS的基础上发展出的一种破坏力更强的DoS，这种通过控制“僵尸网络”同时向目标发动，造成巨大的流涌向目标，这种情形就如同洪水泛滥一样，因此通常被形象地称（挂起”[4]，导致“不完全服务”。在2003年的M会议上，ICNP以及2005年的 会议上，Guirguis提出了RoQ[6][7]，这种的性能下降。之后，的研究者对这类进行了深入研究，并将这类定义为低速率服务LDoS。泛式DoS的原理决定了它必须维持一个高频率和高速率的数据流，故其攻击数据流与正常用户数据流相比具有明显的异常特性。而LDoS充分利用间隔内突发大量数据包[9]，使得TCP数据流频繁进入“拥塞避免”和“拥塞恢TCP数据流量的吞吐率降低从而降低整个网络的性能。LDoS的周期性特征，使得流的平均数据流量较低，易隐藏于正常数据流中，大幅提相较于传统洪泛式DoS，效率更高，隐蔽性更强，因而更加难于检测LDoS的现LDoS的分目的，LDoS可分为多种模式，本文根据LDoS涉及的TCP/IP模型的网络层次对LDoS进行以下分类。基于链路层的LDoS主要是针对AdHoc网络[10]，在该网络中，TCP发送请求发送/清除发送（RTS/CTS，RequestToSend/ClearToSend（全称放到后面的发送方始终无法收到CTS信号而失去发送数据的“机会”。基于网络层的LDoS主要针对IP拥塞控制策略中的路由器队列管理策略，基于传输层的LDoS主要是针对TCP拥塞控制策略。TCP拥塞控制策略基基于应用层的慢速服务LoRDAS[12][13]主要是针对应用层协议（如VOIP[14]、SIP[15]）的服务队列，通过让目标服务队列“满载”而丢弃合法的请求致由于基于其它层次（除传输层之外）的LDoS与基于传输层的LDoS导致TCP数据流量及数据流量变化相似，而且基于其它层次的LDoS大多也会触发TCP拥塞控制策略，从而基于传输层的LDoS，因此本文仅研究针对传输层的LDoS。LDoS的典型检测方法通常情况下，LDoS产生的数据流量较低并且模式变化多样，这种处于起步阶段，下面论述已典型LDoS检测方法。LDoS数据流相比于正常TCP数据流更集中于低频区，根据这一特征，基NASNCASTCP数据流，而将其它数据流认作为LDoS数据流，此方法的误判和漏判率较低。但这种方法在检测使用IP地址的LDoS时，由于需要对不同来源的数据包的地址存Sun等人DTW检测方法[18]在特征匹配过程中使用动态时间环绕（DTW）方法，获取网络数据流量的特征构建测试样本，进而对比分析。DTW检测方法同时击目标产生影响，并可向方回溯以期发现源。DTW检测方法对LDoS的识别率较高、误判率低，且能够检测出多种类型的LDoS，但检测效率较低UDP数据流的峰值速率和峰值速率出现次数，并与事先给定的阈值对比，从而判断是否发生LDoS。该方法同时还能够进一步对UDP数据流的来源进行阻隔，从而降低分布式LDoS的影响。但该检测方法存在误判率高和漏判率高且耗费资源大等问题，同时需要大量的空间用以保存流的特息，导致空间复杂度高。占满（一般小于15个MSS）通过比较给定时间段内（通常为5s）高速数据脉冲的数量是否超过给定阀值来判断是否发生LDoS。但现在的网络应用中，短暂时间内发送UDP流量的情况很多，导致这种检测方法的误判率较高。Luo等在文献[22]VanguardTCP数据流和ACK数据流是否出现异常来判断LDoS，并在文献[23]中进一步对该方法进行了修改和优化，使得该方法可以检测出“周期变化”的LDoS。Vanguard方法检测LDoS的依据是在一定观测时间段TCP流量和相应的ACKACKTCP流量大小分布发生了变化，则可能发生LDoS。该检测方法检测效率高，算法复杂度低，并能够用于LDoS检法虽然能够对大多数类型LDoS得到较好的检测效果，但在网络流量突发或静已有检测方法存在的不足种模式的LDoS。发生的中期或者发生一段时间之后，对LDoS始发阶段的检测为力，且只课题研究的意义、内容及目标意量中，其拥有传统DoS的危害性却更难以被检测。目前，对LDoS的研究处于准确率较高而误判率和漏判率较低，且能够检测出多种模式的LDoS的检测方内课题将基于网络中发生LDoS时，网络中的TCP数据流量和数据流并确定相应的检测准则，从而构建一个有效的LDoS检测方法，并在模拟实验基于熵差方法检测TCP数据流量大小和数据流量大小的异常变化。并通过仿真实验和实际的网络流量数据集验证这一检测方法检测LDoS的目本文LDoS检测方法应当达到以下预期目标 的原理及参数分本章将首先阐述LDoS的相关知识，描述TCP/IP拥塞控制机制及相关的策TCP/IP拥塞控制机制交换结点中的缓存空间等）的承受能力，导致网络的性能明显下降，因此需要有一套拥塞控制机制来限制上述情况的发生。拥塞控制机制是维持网络稳定、高效运行的关键，同时又是提高网络服务质量的基础和前提。而良好的拥塞控制策略决定着P网络中的（1TP（2）P拥塞控制策略。这两类TP/P拥塞控制机制。（QueueManagement，AQM）策略方面[29][30]。AIMD策略只能减缓拥塞，不能避免拥TCP/IP拥塞控制机制虽然能够一定程度缓解和避免网络中的拥塞，但仍然存在分丢包原因便执行拥塞控制机制，且一旦发生拥塞则盲目执行AIMD。因此，网络TCP/IPTCPLDoS的原LDoS的实质是利用了TCP/IP拥塞控制机制中存在的缺陷，通过间歇性地突发脉冲，反复触发TCP/IP拥塞机制，使得TCP数据流量频繁进入突降和逐步回升的过程，导致目标网络或主机的平均TCP数据流量降低，达到“不完全服变；脉冲强度固定或可变；可针对不同的拥塞控制策略（如AIMD和AQM），以UD（UserProtocolCM（IrnetControlMessageProtocol）数据、无效TCP数据（源地址、无效Flag标识及首部校验错误、DNS（NameSystem）数据和SYN数据[31]。持续时间，Rattack为脉冲强度（平均数据流量。LDoS相关参数分析脉冲持续时间Lattack和脉冲强度Rattack密切相关，本文将这三个参数称为2.3.1周TCPTCP数据时，会设置一个超时重RTO设置为一个恰当的时间长度是非常重要的，RTO时长过短可能导致大量报文段为控制流量的大小以保持LDoS的隐蔽性，LDoS者往往根据TCP发送方的RTO来设置周期。若LDoS者精确知道TCP发送方每次发送数据的RTO，从而动态调整周期Tattack=RTO则可使目标网络中TCP连接的拥塞窗口维持为1，并且吞吐量始终为0，即同步，此时LDoS效果最佳。然而在实际TTavg来获得一个相对较好的效果，其中RTOmin为最小超时重传时间，RTTavgRTTRTOmin=1s[32]图2.2LDoS周期对TCP数据流量的影从图2.2中可以看到，当Tattack=0.2s时，Tattack=Lattack相当于LDoS向网络中持续地注入数据流，TCP数据流量接近于0，其效果类似于FDoS。随着Tattack的增加，发生的时间间隔越来越长，TCP数据流量逐渐增加，数据流量逐渐降低，在Tattack=1.4s时达到一个“平衡点”，此时数据流量和TCP数据流量都较小，并且Tattack恰好处于1s+2RTT～1s+3RTT之间。2.3.2脉冲持续时为达到较好的效果，LDoS脉冲会持续一定时间长度，使得目标网络中TCP数据包被及时丢量也会相应增大，容易被LDoS检测系统发现。为维持LDoS的隐蔽性，同时获得较好的效果，LDoS者往往会精心选择一个合适的脉冲持续时LDoS的理想状态是迫使一个RTT内TCP发送方的所有TCP数据包被丢弃，使得TCP发送方等待“足够”长的时间才能依次重传完所有丢失的数据包。假设网络中存在n条TCP连接，则脉冲时长Lattack∈{RTT1,RTT2,...,RTTn}，根据“木桶定律”，LDoS者通常取略大于{RTT1,RTT2,...,RTTn}中的最小值作为脉冲持续时间，且为保持LDoS的隐蔽性，脉冲持续时间要小于周期，即min{RTT1,RTT2,...,RTTn}≤Lattack≤ηTattack，通常取η≤0.5。图2.3给出了关键节点上，给定参数Tattack=1.2s和Rattack=30Mbps，Lattack取从图2.3中可以看到，随着Lattack的增加，数据流量逐渐增加，平均TCP数据流量逐渐减少。在Lattack=0.80s时，TCP数据流量基本为0，数据流量约为瓶颈带宽，近似于FDoS。在Lattack=0.2s时为一个“平衡点”，此时数据流量2.3.3脉冲强度LDoS时目标网络损失的数据流量随脉冲强度Rattack的增大而增大，攻流量增加到一定的程度时也会因拥塞而丢包，即“饱和”。同时，Rattack的取值还与链路本身的饱和状态有关，链路越饱和，达到一定的效果所需的数据流量越少。因此LDoS者会根据方式和网络中背景流量的不同，设置一华华合理的Rattack，通常设C<Rattack<C

值时，LDoS对TCP数据流量影响的示意图，其中网络瓶颈带宽为30Mbps。图2.4LDoS强度对TCP数据流量的影从图2.4中可以看到，随着Rattack的增加，数据流量逐渐增加，平均TCP数但在关键节点上起到作用的数据流量始终约为15Mbps，而受影响的TCP数据流量也始终保持固定的大小。LDoS的影由LDoS原理可知，LDoS通过周期性突发的脉冲，导致目标网络以一定时间间隔反复拥塞复触TCP/IP拥塞控制机制使得TCP数据流量反TCP发送方和中间节点采用的拥塞控制算法不同，则拥塞发生时采用的措施和拥塞窗口的变化也有所不同。但根据相关的TCP/IP拥塞控制机制文档[33][34]中的说明，无论网络中使用哪一种拥塞控制策略，当TCP拥塞控制策略分别如式（2.1）和式（2.2）所示。图2.5给出了LDoS对网络性能的影响示意图。图2.5(a)描述了LDoS对TCP连接拥塞窗口的影响，图2.5(b)描述了LDoS对目标网络TCP数据流量、平均TCP数据流量和网络流量三个方面上的结果，图2.5(c)描述了正常情况下图2.5LDoS结果示意由式（2.1、式（2.2）和图2.5可以得出，LDoS对TCP发送方的拥塞窗口华华图2.6LDoS导致平均TCP数据流量损失示意由式（2.1）和式（2.2）可知，无论LDoS哪种拥塞控制策略，最终都会导致目标TCP数据流量异常。所以，仅仅通过观测一种拥塞控制策略的发生以及检测局部数据流量变化来判断LDoS的发生将导致较大的误判和漏判，而这也是目前大多数LDoS检测方法局限性的原因所在。同时无论目标是网络边TCP数据流量异常，因此课题将以关键路由器（目标网络中的网关、边界路由器等）上的TCP数据流量作为LDoS的主要检测对象，挖掘多种模式LDoS的共同特征，这是能够在复杂的网络背景流量下检测出多种模式LDoS的要点。本章小TCP/IPLDoS的原理。同时论述了LDoS参数与效果的关系，并基于LDoS所触发的拥塞控制机制，描述了LDoS对网络产生的影响，继而引出了检测多种模式LDoS的检测要点，为下一步提出合适的检测方法提供了理论和技术基础。LDoS对TCP数据流量的影本章将阐述LDoS对TCP数据流量的影响。首先将论述LDoS对TCP数据流量分布和TCP数据流量大小的影响，进而将描述LDoS导致的TCP数据流量异常分布和TCP数据流量大小异常变化的形态及特征。相关概念与定义本章主要讨论LDoS对TCP数据流量分布和流量大小的影响，为便于描 数据流量的影响，首先定义三种网络场景：S1：网络中不存在任何，或网络中存在的对TCP数据流量没有直接影响；S2：网络中存在的对TCP数据流量有直接影响，但不存在LDoS；S3：网络中存在LDoS。的效果，因此本文给出的场景中都假设存在较大的网络背景数据流量。本文主要研究的是LDoS对TCP数据流量的影响，即比较和分析LDoS攻击发生时和其它情况下TCP数据流量的差异，从而得到LDoS发生时TCP数据流量表现出的一些特征，进而构建出检测LDoS的方法。场景S1中的两种情况分别出现时，TCP数据流量的“状态”是相似的，因此本文姑且认为场景S1中不存attacks，这类往往会向网络中注入大量的数据流，导致TCP数据流量近于0，从而达到目的，如FDoS、蠕虫等。场景S3中描述的LDoS利用了图3.1中描述了三种网络场景中TCP数据流量和数据流量示意图，其中观图3.1三种网络场景中TCP数据流量和数据流量示意频度和幅度较小且维持在一定的较高水平，数据流量持续为0。场景S2中，即同时数据流量极高（通常接近于瓶颈链路带宽。场景S3中，LDoS通过周流量波动较大且其平均数据流量降到一个较低的程度，同时这种周期性的方式LDoS对TCP数据流量形态的影LDoS导致TCP数据流量异常分布的分kTCPTCPTCP数据流量样本值序列表示为xTCP|k12,，并将三种网络场景TCP数据流量的概率分布分别Px|S1Px|S2Px|S3。根据中心极限定理可知，大量统计独k立的随量和的分布以正态分布为极限Px|Sii1,23独立同分布且皆可3.1~3.312 Px|S~N,12

其中μ1μ2和μ3分别表示TCP数据流量样本值在三种网络场景中正态分布的期三种网络场景中的TCP数据流量概率分Px|Sii123的形态3.2所示，其中横坐x表示TCP数据流量x取某个值时对应Px。PP(x│S1P(x│S2P(x│S33.2三种网络场景中TCPTCP数据流量的概率分布形态，需将三种网络场景中概率分布的期望值重合，由此TCP数据流量样本值进行规范化处理，规范化公式为xstandxiii123，其中TCP数据流量概率分Px|Si的横坐标取三种P(xstand│S2P(xstand│S3P(xstand│S2P(xstand│S33.3三种网络场景中TCP3.3可以看出Pxstand|S1Pxstand|S2的分布范围比较集中且形态相似，S1S2TCP数据流量波动较小且波动变化相似，即12。而Pxstand|S3的分布范围更广Pxstand|S1Pxstand|S2有明显区别，表明场景S3基于三种网络场景中TCP数据流量概率分布的形态，可以推断在xstand样一个区间CIstandCILowerCIUpper

，使得Pxstand|S1Pxstand|S2落在该区间之 stand的概率较小，而Pxstand|S3落在该区间之外的概率较大。根据xstand的规范化Px|Si1,23在区间CI

CILower,

CIUpper

上具有相同的性 i Interval，CI量，都可以根据相关公式构建出相应的置信区间CI，进而度量TCP数据流量分布的偏离程度，从而判断网络中是否发生了LDoS。LDoS导致TCP数据流量大小异常变化的分由3.1节的讨论可知，LDoS的方式使得场景S3中TCP数据流量和数据流量的波动程度与场景S1和场景S2中截然不同。在相同的网络环境和网络流量背景下，这种波动程度的不同，将导致三种网络场景中平均TCP数据流量大小不同。为讨论问题方便将场景S3与场景S1中平均TCP数据流量大小差异称为LDoS导致TCP数据流量大小的“异常变化”。为便于比较这三种网络场景中TCP数据流量和数据流量大小的变化情况，课题以单位时间内TCP数据包数量和数据包数量分别作为TCP数据流量和(a)场景S1中TCP数据流 (b)场景S1中数据流(c)场景S2中TCP数据流 (d)场景S2中数据流(e)场景S3中TCP数据流量 (f)场景S3中数据流量图3.4三种网络场景中TCP数据流量和数据流量频数统计21bag/s~25bag/s，且为24bag/s的次数最多，即在流量值较大处的频数很高，而数据流量全部为0，表明该场景中TCP数据流量维持在一定的较高水平，而数极低，而数据流量极高。从图3.4(e)和图3.4(f)中可以看到，场景S3中TCP数均TCP数据流量较低，平均数据流量较低。由此得到三种网络场景中某个观测时间窗内TCP数据流量和数据流量的图3.5三种网络场景中TCP数据流量和数据流量均从图3.5可以看出，场景S1中TCP数据流量均值最大，而无流量，TCP数S1中的平均TCP数据流量。同时，数据流量均值处于一个较低水平，其小于场本章小本章描述了LDoS发生时TCP流量在分布形态和大小变化方面体现出来的量所体现出来的这两种特征，提出了三种网络场景，基于这三种网络场景，详细论述了多种情况下TCP流量的分布和大小变化的形态，并通过对比与分析，给出了LDoS所导致的TCP流量的异常分布和大小异常变化。基于TCP数据流量异常特征的LDoS检测方这两种异常特征，提出基于TCP数据流量异常分布的LDoS检测方法和基于TCP数据流量大小异常变化的LDoS检测方法。同时将给出相应检测准则的定义，相关定定义4.1检测结果与实际值之间的一致性程度称为检测准确度。设在某次检测中，总的检测次数为M，M次检测中检测出LDoS的次FDRHL M,MDRIJ M基于TCP数据流量异常分布的LDoS检LDoS导致的TCP数据流量异常分布的度据3.2.1对oS的TP下TP数据流生oS时TPPTP数据流量取样并进行统计分析。一般情况下，在取样数据中往往叠加有一定程度的噪声，为了消弱噪声对分析结果的影响，需要对取样数据进行平滑处理。基于TP数据流量的长相关性[3]的TP数据流量（ExponntilihtedovevrgE）[37][38]算法可兼顾统计对象的时域和频域特征，并且其统计值是统计对象样本的一分布，EWMA算法表达如式4.3所示。EWMAi1Mi11EWMAi EWMAi1i+1Mi+1i+1λ的增大，越“新”的数据所占的比例越大，时效性越强，反之越弱；另一方面，λEWMA算法平滑实际观测值突变的能力，WSNTsEWMA4.3n NEWMAi1WiMi1 N NWii个样本观测值权值，且满足Wi1。EWMAEWMA0=M0，M0为历史观测值的平均4.34.4EWMA统计值由当前的样本观测值和上一次样本的EWMA统计值共同EWMA算法在TCP数据流量处理上的时域λ来设置历史观测值对当前统计值的影响程度以及平滑TCP数据流量的细微波动，本文使用EWMA算法来平滑TCP数据流量CI的计算如式4.5所示。CI[kT 2kT /2] 其中μ为待检测网络数据流量（称为“测试数据”）中TCP数据流量样本统值均值，σT为未发生LDoS时网络数据流量（称为“训练数据中TCP数据LDoS时，TCP数据流量EWMA统计值落在置信区间CI之外的概率较小，若落在置信区间CI之外的EWMA统计值超过一定的概率，则表示TCP数据流量分布发生了偏离，且落在置信区间CI之外的EWMA统计值越多，偏离程度越高。4.5CIkσT和权λkσTλ决4.1kσT的情况下，λ0.1（增加步长为0.1）时，置信区间CI区间大小的变化情况。图4.2给出了在给定权重λ和训练数据标σT的情况下，k分别取16（增加步长1）时置信区间CI的区间大小的变化情况。4.1kσT的情况下，随着权重λCI4.2可以看到，给定权重算子λ和训练数据σT的情况下，随着置信算子k的增大，置信区间CI区间大小逐同时，根可知，权λ也密切关系着度TCP数λEWMATCP数TCP数据流量变化的时效性。另一方面，权λEWMA算法“平滑”TCP数据流量的程度。λEWMA统中的“噪音”；λ过小，则容易“弱化”LDoS导致的“异常”TCP数据流量变λTCP3.2.1λS1S3中取不同值时EWMA统计值分布情况。1， 2.

22.176211246281(aλ=0.1，CI之间的EWMA322个，(bλ=0.2，CI之间的EWMA324CI之外的EWMA统计值有28 CI之外的EWMA统计值有26(cλ=0.3，CI之间的EWMA326个，(dλ=0.4，CI之间的EWMA323CI之外的EWMA统计值有24 CI之外的EWMA统计值有27CI之外的EWMA统计值有32 CI之外的EWMA统计值有29λ=0.7，CI之间的EWMA326个，(hλ=0.8，CI之间的EWMA325CI之外的EWMA统计值有24 CI之外的EWMA统计值有25CI之外的EWMA统计值有23个 CI之外的EWMA统计值有18个图4.3网络中不存在任何，λ取不同值时TCP数据流量EWMA统计值分布情况CI之外的EWMA统计值有122 CI之外的EWMA统计值有158CI之外的EWMA统计值有184 CI之外的EWMA统计值有208CI之外的EWMA统计值有215 CI之外的EWMA统计值有218(g)λ=0.7，CI之间的EWMA128个，(hλ=0.8，CI之间的EWMA130CI之外的EWMA统计值有222 CI之外的EWMA统计值有220CI之外的EWMA统计值有217个 CI之外的EWMA统计值有198个图4.4网络中发生LDoS，λ取不同值时TCP流量EWMA统计值分布情况CIEWMA统计值的差值增加，即随着λ的增大，EWMA统计值的“变化”越来越剧烈。从图4.4中可以看出，网络中发生LDoS时，CI之间的EWMA统计值较少（图中CI之间的平均EWMA统计值有153.8个I之外的EWMA统计值较多（CIEWMA169.2个。同时，随着权重算子EWMAλ4.4CIEWMAλ=0.7CI之外的EWMA统计值先大幅增大后略微减小，且在λ=0.7时达到最大值。4.5TCPk也密kS1和场S3中取EWMA统计值分布情4.54.6分别给出了在给λ和训σT的情况下，置信算子k分别取1到6（增加步长为1）时，网络中不存在任何时和存在时，TCPEWMA 23 176211246281(ak=1，CIEWMA207个，(b)k=2，CIEWMA297CI之外的EWMA统计值有143 CI之外的EWMA统计值有53k=3，CIEWMA327(dk=4，CIEWMA341CI之外的EWMA统计值有23 CI之外的EWMA统计值有9EWMA176211246281(ek=5，CIEWMA347(fk=6，CIEWMA349CI之外的EWMA统计值有3个 CI之外的EWMA统计值有1个图4.5网络中不存在任何，k取不同值时TCP数据流量EWMA统计值分布情况CI之外的EWMA统计值有307 CI之外的EWMA统计值有275(ck=3，CIEWMA133(dk=4，CIEWMA194CI之外的EWMA统计值有217 CI之外的EWMA统计值有156(ek=5，CI之间的EWMA256(fk=6，CIEWMA298CI之外的EWMA统计值有94个 CI之外的EWMA统计值有52个图4.6网络中发生LDoS，k取不同值时TCP流量EWMA统计值分布情况（图CI之间的平EWMA统计值311.3个CI之外EWMA统计值（图CIEWMA38.7个λ的的增大，CI之间EWMA统计值逐渐增多CI之外EWMA统计值逐渐减少4.6中可以看出，网络中发生LDoS时，CI之间的EWMA统计值较少（图中CI之间的EWMA统计值166.5个）CI之外EWMA统计值较多（CI之外的平EWMA统计值183.5个且随着权重算子λ的的增大，CI之间的EWMA统计值逐渐增多，相应CI之外的EWMA4.7所示。0

发生

0

发生 (a)CI之间的EWMA统计值数比例变化情况 (b)CI之外的EWMA统计值数比例变化情况图4.7k取不同值时EWMA统计值在置信区间CI上的分布情况λ∈[0.7,1LDoS导致的TCP数据流量异常分布的判检测准则的定义S1S2中，TCPEWMACICI的概率较低。在CICITCPEWMA统计值TCP数据流EWMA统计反之TCP数据流EWMA统计TCPEWMA统计值的获取方式可知，每个观测时间窗对应一条iF(i)i,xEWMA，其中i为正整 i根据EWMA统计点的定义，“正常TCP数据流量EWMA统计值”为“正常EWMA统计点异常TCP数据流量EWMA统计值为“异常EWMA4.4所述。iii之间，则称之为正EWMA统计点（NormalPoint,NP，xEWMA处于置信区iPoint,APNP、AP集合表达式分别如式4.7和式4.8所示。/2 NPi, | xEWMA //2 /2 |xEWMAk orxEWMAk /2 4.8TCPEWMA统计点中AP和NP由4.2.1节的分析可知，若网络中未发生LDoS，则AP的比例较小，而若AP的比例较大（超过一定数值TCPAP越的可能性越高。但仅根据AP的比例来判断发生LDoS会产生漏判和误判， 未发生LDoS时

txEWMA仍然有一定的概率处于置信区间之其它TCP数据流量的剧变根据对TCP数据流量EWMA统计点的分析可知，网络中不存在任何时，TCPCIAP的概率较小，而网络中发生LDoS时，TCP数据流量频繁的越过置信区间，连续出现AP的概率较大，因此，可通过连续出现AP的概率判定是否发生LDoS，如定义4.5所述。定义4.5APAP链（LAP，LAPLAP4.9LAP{APi,APi1,APi2,...|i为正整数 P11={AP27,AP28}S1S2S3400TCP数据流量样本进行4.114.12图4.10给出了场景S1中某个观测时间窗内TCP数据流量EWMA统计点示意图图4.11给出了场景S2中某个观测时间窗内TCP数据流量EWMA统计点示意图。4.11S2中TCPEWMA4.11NP的数量400个，AP的数0个，LAP的数量0条，LAP比例为0%，NP的比例为100%。场景S2中其它使得TCP数据流量极低，且TCP数TCP数据流量始终在一定CIEWMA统计值较少，即AP较少，相应LAP也较少，NP较多。图4.12给出了场景S3中某个观测时间窗内TCP数据流量EWMA统计点示意图比例为23%，而NP的比例为36.5%。由于LDoS导致的TCP数据流量剧烈波动，从而使得“越过”置信区间CI的EWMA统计值较多，即AP较多，相应LAP也较多，NP相对较少。TCPEWMA统计点的分布特点和NP、APLAP的统计情况，给出检测准则1。检测准1（JC1）TCPEWMALAP其中ΛaΛb称为EWMA检测算子，它们是通过对训练数据进行统计分析获取检测准则相关参数的取值分析检测准则1中EWMA检测算子Λa和Λb的取值关系着检测LDoS的准确度。为保证检测准则1的检测准确度，Λa和Λb需设定适当的值。LDoS判断的准确度包括以下两个方面：（1）能够“”网络中未受任何时TCP数据流量上的细微波动，能够识别其它导致的TCP数据流量的异常分布，降低误判率；（2）能够准确检测出的LDoS，降低漏判率。根据LDoS原理可知，“标准”的LDoS是每当TCP数据流量恢复到一定程度时又立刻使其突降到最低同时基于3.2.1节对LDoS导致的TCP数据流量异常分布的分析可知，“标准”的LDoS发生时，TCP数据流量的损失比例PThrough如式4.10所示。表明TCP数据流量落在置信区间之外的比PThrough，即 所有的EWMA统计点中AP的比例PThrough，NP的比例为1PThrough

2RTTavg

attack当给定等时间获取观测值的时间间隔和样本容量n时，在一个周期 Tattack内可得到attack个观测值，相应可得到 n内必然存在至少2条P①TCP数据流量受LDoS影响而突降到最小值数据流量逐步恢复至下一 脉冲到达前的最大值，则LAP的比例为2nTheoretical=2 TaT

2RTTavg attack

a背景流量下反复实验从而获取多组测试数据来获取相应的“实验Experimental和a。。段和不同网络流量背景下，TCP数据流量EWMA统计点的统计情况。4.1不同观测时间窗内TCP数据流量的EWMA123456078华技大学华技大学9000ab从表4.1可以看出，LAP所占比例的最大值为3.6%，最小值为0%，去掉重复值 =75.3%。ab4.134.14aΛa=[abΛb=[b

,Theoretical ab,Theoretical ab基于TCP数据流量大小异常变化的LDoS检测LDoS导致的TCP数据流量大小异常变化的度据流量大小变化的比较分析可知，发生LDoS时，TCP数据流量及数据流数据流量大小变化和数据流量大小变化截然不同，本文将这种变化称为LDoS（明“系统”的变化方向。本文基于“熵差”的这个特性，通过使用“熵差”观测TCP数据流量及LDoS数据流量大小异常变化的方法来检测LDoS。华华为便于讨论，本文提出了与“熵”的计算及TCP数据流量和数据流量大小定义4.7发生时数据流量均值的熵值称为代价Sc。定义4.8效果与代价的差值称为效能S。设LDoS数据类型为X，LDoS发生前TCP数据流量平均值为V1，X数据流量的平均值为U1。LDoS发生时TCP数据流量平均值为V2，X数据流量的平均值U2，则Se、ScS的表达式分别4.15~4.17所示，式V1-V2>0且SeSc

g

V1 U2 S=Se-Sc=log2(V1-U2-

其中U2-U1表示发生时，X数据增加的流量“数据流量从式4.15~式4.17可以看出，效能越高，表示达到相同的效果者所付出的代价越小，的隐蔽性越强。同时，效能越高，者付出相同的代价时图4.13给出了在网络环境给定的情况下LDoS的效能与LDoS参数（攻击周期Tattack、脉冲持续时间Lattack和脉冲强度Rattack）的关系。当前网络环境中最小超时重传时间RTOmin=1s，平均往返时延RTTavg=0.03s，链路瓶颈带宽(a)Lattack=0.03s，Rattack=20Mbps时(b)Tattack=1s，Rattack=20Mbps时(c)Tattack=1s，Lattack=0.032sSTattack之间的关系SLattack之间的关系SRattack从图4.13中可以看到，当参数对应图4.13(a)中的Tattack=0s表明网络中还未Lattack=0.01s、Rattack=20Mbps时 Lattack表明网络中间隔很长时间才发生S2S=-0.074.13LDoS参数取值，相应S的值皆大于0。尤其是当Tattack=1s、Lattack=0.032s、Rattack=19Mbps时，效能达到最大，此时S=1.37。综上所述，在场景S1中，网络中不存在任何，一般情况下TCP数据流量和但两者的差别较小，从而得到的效能较低。在场景S3中，LDoS通过间歇X数据流量增加的程度相对较低，则Se大于Sc且两者之间差别较大，效能较高。即未发生LDoS（场景S1和场景S2）时，效能较低，而发生LDoS攻击（场景S3）时，则效能较高，同时LDoS参数越接近于“标准”LDoS攻SS2SS3SS1<SS2<0<SS3。LDoS导致的TCP数据流量大小异常变化的判检测准则的定义根据4.3.1节的讨论可知，LDoS通常以较低的数据流量导致目中TCP数据流量大幅度降低，即以较低的代价获得相对较高的效果，效能高，这是LDoS与其它明显不同的特征，由此本文给出与效能相关的检测准则2。检测准则2（JC2）若一个观测时间窗内效能S≥Λc，则当前观测时间窗内可能发生LDoS。其中，Λc称为“效能检测算子”，为一个事先给定的常数检测准则相关参数的取值分析证检测准则1的检测准确度，Λc需设定一个适当的值。根据4.3.1节的分析可知，LDoS是以较低的代价换取相对较高的效果，从而保证的“隐蔽性”和“破坏性”。而其它基于“压力”的方式则是以数据流量“换取”TCP数据流量，从而以较高的代价换取近似相等的效果，这是LDoS与它们不同的地方。因此，设想一种极限情况，若某些因素（如参数不合理，网络结构发生变化）导致LDoS无法触发TCP/IP拥以高强度的数据流量占用网络资源，导致TCP数据流量极低，此时数据流量的增加量和TCP数据流量的减少量近似相等，即效果等于代价，因此取为检测Λc=0的准确度，本文对Drappa99数据集进试。选取Drappa99数据集的1nd-Tu-outside数据（该数据无任何）中0~5000ms的数据作为训练数据，时间窗内的TCP数据流量均值和UDP数据流量均值作为V1和U1的取值，即V1=1339.2B/s和U1=761.4B/s。取1nd-Tu-outside数据中除0~5000ms外的数据和5nd-mon-outside数据（该数据存在多种）为测试数据，从测试数据中随机选取20组时长为LSW的数据进试。如表4.2所示4.2Drappa99数据集V1-U2---------------S--------------从表4.2可以看出，网络中发生LDoS时，效能S>0，因此取效能检测算子Λc=0可以准确检测出网络中是否发生LDoS。检测方检测流程4.24.3TCP判断：基于本文检测准则对度量结果进行判断在数据流量采样阶段，需要分别对训练数据和测试数据中的TCP数据流量和攻击数据流量进行采样，以获得相应的参数。本文将TCPFlags标识为“0x18”和“0x10TCPTCP数据，可认为这些数据是合法且有效载荷。无法简单的从网络数据中区分出数据，因此本文将所有除合法且有效的TCP数与“0x18”的TCP数据作为数据。TCP数据包数量和其他数据包数量内，以等时间获取观测值的时间间隔TCP 、 和 test 、 和 Otran{Itran|i1,2,

和

tran|i1,2, test|i1,2, test|i1,2, II

T1 K T1 TP2 EWMA统计值序列xtranxtranT1 K T1 TP2 T1 TPTP2 T1 K,,,xtranxtran,xtran的标准σT和xtestT1 TPTP2 T1 K,,,EWMA统计值序列

，根据4.7、式4.84.9NP根据式4.18和式4.20中的观测值序列Otran和Otest分别获取式4.15中的前 中的观测值序列Otran和Otest分别获取式4.16中的前其他平均数据流量U1和 根据3.1节的讨论可知网络中未发生LDoS时合法TCP平均数据流量大于网络中发生LDoS时合法TCP平均数据流量，并且网络中发生LDoS时平均数据流量大于网络中未发生LDoS时平均数据流量，由此本文给出检测LDoS的检测前提。检测前V1—V2>0U2—U1>0时，当前观测时间窗内才可能发生LDoS。V1—V2>0U2—U1>04.17生LDoS。检测算法根据4.4.1节的检测流程，我们建立检测LDoS的算法，如算法4.1所示，其处理流程图如图4.14所示。的时间间隔，样本容量n，置信算子k，检测算子Λa、ΛbΛc //获得训练数据的TCP数据观测值序列Otran和其它数据观测值序列 1Otran=SamplingTCP（DATAtrans，2 //计算Otran的EWMA统计值，得到统计值序列{xtran}，表示为[xtran [xtran]=EWMA（Otran4

σT=Calculateσ（OtranV1=Avg（Otran8U1=Avg（Otran //初始化时刻twhile（True）//检测永不停止9//Otest和其它数据观测值序列 OO

=SamplingTCP（DATAtest，华华V2=Avg（OtestU2=Avg（Otestif（V1V2>0andU2U1>c

e cif（JC1=TrueandJC2=True）then

endwhile检测算法复杂度分LDoS检测算法复杂度分析如下采样数据流量，对于给定的观测时间窗时长TS和等时间获取观测值的时间间隔4.18~4.21，假设获取的观测值数量为N，则最低空间和时间复杂度皆为O（N）。4.3的数据为计算样本观测值的EWMA统计值，且运算量大小和获得的统计值数量依赖于步骤Ⅰ的观测值数量N，因此最低空间和时间复杂度皆为O（N）。观测值的度量均是线性计算，需要的数据仅为计算获得的NP、LAP和效能等参数，因此最低空间为O（1），运算量大小与观测值数量N线性相关，因此时间复杂度为O（N）。根据给定的参数对步骤Ⅲ中获得的参数进行判断，仅做比较分析且仅需相关检测算子，则最低空间和时间复杂度皆为O（1）。根据以上分析，本文算法的空间复杂度和时间复杂度皆和观测值数量基于相同观测值数量N，表4.3中描述了其它几种LDoS检测方法的时间复表4.3多种LDoS检测算法复杂度比 O（N） O O O（N从表4.3中可以看到，本文检测方法在算法复杂度上具有一定的优势华华该LDoS检测方法，计算简单（算法复杂度低），所需资源少（仅需一个本章小LDoS发生时，TCP数据流量会出现“异常分布”和“大小异常变化”两种异常特征。本章基于第三章三种网络场景，首先通过移动平均算法对多种情况下TCP数据流量的分布进行度量，然后通过“熵差”对多种情况下合法TCP数据流量和数据流量大小的变化程度进行比较，接着提出了相关的检测准则并TCP数据流量异常分布和TCP数据流量大小异常变化的LDoS检测方法，并描述了检测方法的时实验及结果分NS2模拟平台构建模拟实验和Drapp99数据集进试，分别给出在网络无和发生其它时NS- 模拟仿真实验及结果分析实验基于NS-2模拟平台搭建实验体系，网络拓扑结构5.1所示5.15.1R1、R2R3R2为“关键路由器”，R2R3之间的TCPNewReno1s。路由器队列管模拟时间为160s~340s，作为背景流量的TCP连接时间为160s~340s。LDoS参数分别为：Tattack=1.0s，Lattack={150,200,250}ms和Rattack={30,40}Mbps。观测时间窗WS时长Ts=90s，数据包类型分别为UDP、ICMP和无效TCP实验序号Ⅰ号Ⅱ、FDoS（实验序号、LDoS（实验序号Ⅳ~Ⅸ。九组实验的具5.15.1 160~340s15TCP160~200s15TCPⅡ200~340s2条TCPⅢ160~340s15TCPⅣ160~340s15TCPⅤ160~340s15TCPⅥ160~340s15条TCPⅦ160~340s15条TCP无效Ⅷ160~340s15条TCPⅨ160~340s15条TCP分别以上九组实验中每组实验的TCP数据流量的EWMA统计点分布情况，如图5.2所示，其中考虑到检测的灵敏度以及均衡误判率和漏判率，设置权重算子λ=0.9，置信算子k=3。实验Ⅳ~Ⅸ的TCP数据流量EWMA统计点示意图5.2九组实验的TCPEWMA统计点示意图4.2Λa5.71%、Λb70%Λc00s,250s]WS2[250s,340s]，如图5.2中所示，则九组实验共获得Ⅰ-WS1、Ⅰ-2、Ⅱ-WS1、Ⅱ-WS216600个合TCP600EWMA统计点，各观测TCPEWMANPLAP5.2所示。5.2 PEWMA个 AP个 NP百分比 LAP百分比30000100063图5.3所示。5.3各观测时间窗内EWMALAP九组实验各观测时间窗内TCP数据流量EWMA统计点中NP比例分布情况如5.45.4各观测时间窗内EWMANP代价、效能统计情况如表5.3所示。0---0--0--0--9九组实验各观测时间窗内合法TCP数据流量和数据流量分布如图5.5所示实验各观测时间窗内效果和代价示意如图5.6图5.6各观测时间窗内效果和代九组实验各观测时间窗内效能分布情况如图5.7所示图5.7各观测时间窗内效生LDoS，T代表发生LDoSⅠⅡⅢⅣⅤFFFFFFTTTTNP例FFTFTFTTTTFFFFFFTTTTFFFFFFTTTTFFFFFFTTTTLDoS攻FFFFFFTTTTⅥⅦⅧⅨLAP的比例FTTTTTFTNP的比例TTTTTTTTTTTTTTFTFTTTTTFTTTTTTTTTFTTTTTFT从图5.3、图5.4和图5.7的实验检测结果分布图和表5.4的判断结果可以看出，网络中不存在时（观测窗Ⅰ-WS1、Ⅰ-WS2、Ⅱ-WS1和Ⅱ-WS2，判断结果WS2，没有发生误判。在发生LDoS的后六组实验中，前一个观测窗在[160s~200s）内不存在，在200s时刻开始发生LDoS，后一个观测窗内持续存在LDoS攻-WS1）可以检测出LDoS，但少数观测窗（本次实验为两个观测窗Ⅵ-WS1和Ⅶ-WS2、Ⅷ-WS2和Ⅸ-WS2判断结果显示该六个观测窗皆发生了LDoS，LDoS发生初期产生漏判的主要原因在于这两个观测时间窗中的LDoS处于起始阶段，且脉冲持续时间相对较长（Lattack=250ms，观测时间窗中前半部分[160s~200s）和后半部分[200s~250s]的合TCP数据流量均值差别很大，从而使得观测时间窗内每个AP链中的AP数量增多而AP链数量减少，这种特征类似于FDoS，导致无法检测出LDoS，从而产生漏判。 数据集测试实验及结果分析本次实验主要评测本文检测方法对除LDoS之外其它类型的误第三周的数据为训练数据集，第四周和第五周的数据为测试数据集。本次实验以DARPA99第一周周二inside数据集中的0s~7200s数据作一的inside数据为测试数据。第一周周二的inside数据集中不存在任何数据，第五周周一的inside数据集包含16种类型共84次。方法[41]5.5所示。检测参数数σT=5.32,Λa Thresholdofra,rd/aandδf 600,2.506and5.8WS11523了Ditionry。Ditionry（motetoolattack在rp99的tony，每隔时延4试0ny录（R2L，为于DoS，故而本文测方法将其断为DoS。本章小NS2Drapp99数据集进行了测试，分别计算了在网络中无、网络中存在其它和网络中发生LDoS时的误判率Vanguard总已完成工作LDoS是一种“基于协议”的DoS，与传统的DoS相比，危害性更大、隐蔽性更强。由于LDoS的数据流量特征和对TCP数据流量的影响与传统的DoS所呈现的相关特征有很大区别，使得传统的DoS检测方法对源消耗较高、实时性较弱以及对网络环境的适应度较问题。为探索出行之有效的LDoS检测方法，本文具体完成了以下几个方面的工作：TCP数据流量的分布形态，从而得出了在LDoS发生时TCP数据流量分布与其他情况下TCP数据流量分布得出了在LDoS发生时，合法TCP数据流量和数据流量的大小变化具有显实验结果表明，本文给出的LDoS检测方法误判率和漏判率较低且优Vanguard检测算法下一步工作LDoS导致网络流量的异常不仅仅表现于本文分布异常和流量大小异常这两个方面，因此需要通过的实验和观测，获得的LDoS导本文对LDoS导致的网络流量的两个异常特征的处理和度量的 ．服务原理解析．技术研究与应用 P.Ferguson,DSenie.NetworkIngressFiltering:DefeatingDenialofServiceAttacksWhichEmployIPSourceAddressSpoofing[R].RFC2827,2000 ， 斌．分布式服务研究新进展综述．电子学报（7：1562~1570KaiChen,LiuHuiYu,XiaoSuChen.DetectingLDoSAttacksbasedonAbnormalNetworkTraffic.KSIITransactionsonInternetandInformationSystems.2012,6(7):AleksandarKuzmanovic,EdwardW.Knightly.Low-rateTCP-targeteddenialofserviceattacks:theshrewvs.themiceandelephants.In: M'03Proceedingsofthe2003conferenceonApplications,technologies,architectures,andprotocolsforcomputercommunications.ACMNewYork,NY,USA:2003.GuirguisM，BestavrosA，MattaI．ExploitingthetransientsofadaptationforRoQattacksonInternetresources.In:Proceedingsofthe12thIEEEInternationalConferenceonNetworkProtocols.ICNP2004.Berlin，Germany:IEEE,2004.IReductionend-systems.In:Proceedingsof24thAnnualJointConferenceoftheIEEEComputerandCommunicationsSocieties. 2005.IEEE,2005.，等．低速率服务研究综述．计算机科学与探索02(01)：1673~GabrielMF.Evaluationofalow-rateDoSattackagainstiterativeComputerNetworks,2007,51（4）:．AdHoc网络拥塞检测与控制的研究:[博士]．哈尔滨工业大学A.ShevtekarandN.Ansari.ARouter-BasedTechniquetoMitigateReductionofQuality（RoQ）Attacks.ComputerNetworks,2008,52（5）:957~970GabrielMaciá-Fernández,JesúsDíaz-Verdejo,PedroGarcía-Tro.LoRDAS:ALow-RateDoSAttackagainstApplicationServers.CriticalInformationInfrastructuresSecurity,2008,5141:197~209G.Maciá-Fernández,J.E.Díaz-Verdejo,P.Garcia-Tro.Evaluationofalow-rateDoSattackagainstapplicationservers.Comput.Security,2008,27:A.Shevtekar,J.Stille,N.Ansari.OntheimpactsoflowrateDoSattacksonVoIPtraffic.SecurityandCommunicationNetworks,2008,1（1）45~56A.Shevtekar,N.Ansari.DoLowRateDoSAttacksAffectQoSSensitiveVoIPTraffic?In:ProceedingofIEEEInternationalConferenceonCommunications.ICC'06.Istanbul:IEEE,2006.2153~2158ChenY,HwangK.CollaborativedetectionandfilteringofshrewDDoSattacksComputing20066（9：YuChen,KaiHwang,Yu-KwongKwok.FilteringofshrewDDoSattacksinfrequency.In:ProceedingsoftheIEEEConferenceonLocalComputerNetworks30th（LCN'05）.IEEEComputerSociety,Washington,DC,USA:Yu-KwongKwok,RohitTripathi,YuChen,KaiHwang.HAWK:HaltingAnomalieswithWeightedChokingtoRescueWell-BehavedTCPSessionsfromShrewDDoSAttacks.ComputerScience,2005,3619:423~432SFloyd,VJacobson.RandomEarlyDetectionGatewaysforCongestionIEEE/ACMTransactionsonNetworking,1993,1（4）:SAthuraliya,VHLi,SHLow,QYin.REM:ActiveQueueManagement.IEEENetwork,2001,15（3）:48~53吴志军，