设计-基于cart树ldos检测方法

。（LDoS）服务一直是的主要之一而低速率服务比传统服务更难防御，因此，研究检测低速率服务的方法对。本文根据决策树算法中的分类与回归树算法对检测低速率服务方法进行研究。将TCP流量、ACK包、时间差、丢包数四个数据作为属性，建立最终决策树。通过在NS2树（CART。最后，根据建立的决策树判定是否存在低速率服务。通过在NS2模拟环境中，多次采用不同的训练数据对算法进行训练，并进行多次探LDoS算法具有较低的误报率和漏报率。实验表明，该算法可以有效检测LDoS。：低速率服务（LDoS；CART；训练数据；不等性度量LowRateDenialofServiceAttackDetectionMethodBasedonClassificationandRegressionTrees最近，2017年5月12日，”WannaCry”全球爆发，当天该对全球的系。服务是的主要之一服务简称DoS，它针对的。络安全的服务形势更加严峻。2016年8月至9月，Mirai通过互联网上的物联网设备（头等）发起，多个公司遭到，甚至安全研究机构KrebsonSecurity也该。2016年10月21日，提供动态DNS服务的DynDNS遭受了大规模的DDoS，导致了大半个互联网主机下线，简称Dyn事件。除此之外，多家游戏公司在2016年到DDoS，多个游戏服务器瘫痪宕机。服务从2013年的10GB90GB流量到2014年的300GB400GB，直到2016直是DDoS的重灾区2016年第三季度绿盟科技到全球了71,416次，其国占据了被国家的39%，属于最严重的的国家。这一季度，中国共发生了27,852次DDoS。现今的服务形势的提出了传统DoS和LDoS传统DoS传统的服务，也称洪水，目的在于事目标主机网络或者系统资源的电脑作为“僵尸”向被目标发起DoS，这种方式被称作分布式服务（DDS传统DoS，包括两种方式：带宽消耗性和资源消耗性。两种方式都是通过大量的合法或者的请求占用大量网络以及器材资源，达到使目标主机网络瘫痪和系统宕机的目的。目前，防御服务的方式通常为检测，流量过滤和多重仍然是重要研究方向之一。低速率服务。低速率服务，简称LDoS，在2003年，Kuzmanovic和Knightly首次提出，并描述了其基本原理和定义，当时称其为Shrew。2003年，在M会议上，Aleksandar首次提出针对TCP协议的LDoS这是LDoS名称首次被提出之后再这基础上衍生了RoQPDoS等这类LDoS大学的、、等人在文献阐释和总结了LDoS的基本原理和方法：无论LDoS的自适应机制的，与传统DoS需要维持长期持续的流量不同，它通过发送周期性的高速脉冲性流量，达到目标主机降低网络带宽和系统性能的目的。。低速率服务属于服务，但在传统服务上防御难度又上升了一层。传统的服务可以看出流量大于正常平均流量，而低速率服务LDoS主机受到长期而察觉不到。而由于是以周期性的流量，和真是数据流特征类似，所以该服务隐蔽性非常好。低速率服务拥有更高的隐蔽性，的多样性特点，这给检测低速率服务带来了更大的难度目前已经存在的检测LDoS方法有很多，频谱分析、统计分析和小波变换分析方法，限制性太强。由于LDoS成本低，防御和检测，所以LDoS将对造成重大关于LDoS的检测防御方法研究也是安全领域的重点问题本课题将从决策树算法出发，综合LDoS中的多个流量特征数据，采用决策树算法中的分类与回归树算法启发式的生成决策树模型，得到检测LDoS的决策树，LDoS的检测。然后，通过多次试验和取值，确定最有效的训练数据，验证该检测方法下的检测LDoS的作用。LDoS被提出已经有十几年的时间，但是防御和检测体系仍旧处于不成熟阶段。而在其原理上，已经出现的这一类型却层出不穷。检测LDoS方法难度给研究带来了和。目前，已经检测算法都有局限性，或者误报率高，或者漏报率高，或者不具有广泛性。因此，研究LDoS，并设计出一种检测LDoS方法体系，使之可以在成本低的情况下，实时的以低漏报率和低误报率检测出LDoS的存在，对来说，具有重要的意义和现实作用。设计一种可以避免特定协议通过启发式的机器学习算法以较低成本，完成检测出LDoS的方法。LDoS概LDoS原LDoS针对的是TCP/IP拥塞控制策略中自适应机制中的。TCP/IP拥塞控制略分为（1）TCP（2）IP拥塞控制。（slow-start、拥塞避免(congestionavoidance)、快重传(fastretransmit)和快恢复(fast一个拥塞窗口cwnd(congestionwindow)。cwnd设置为一个MSS2的幂次方依次增加cwnd拥塞避免中除了拥塞窗口cwndssthresh状态变量。Shi使拥塞避免算法。这样，每经过一个往返时间RTT，拥塞窗口cwnd就加1，而不ssthresh设置为当前门限值的一半，然后将拥塞窗口cwnd1个MSS，最后进入慢启动阶段。快速重传是在目标端收到三个相同确认ACK后，将门限ssthresh设置为当前拥塞窗口cwnd的一半，然后拥塞窗口设置为当前门限值ssthresh3，然后进快速恢复则是在遇到3个重复的ACKssthress设cwndcwndssthresh加3，然后重传ACK包对应的数据包。若再收到该ACK包，则将拥塞窗口cwnd1ACKcwndIP拥塞控制策略又称为链路拥塞控制，主要指的是路由器的缓存队列管理策略。目ManagementAQM存队列溢出之前作出响应，降系统发送数据包的速率，进入拥塞避免阶段，从而避（1）TCP