设计chapter本人郑重声明所呈交的是在导师指导下独立进行取得

当前，网络行为严重危害，服务（DoS）是典型的代表。慢速服务（LDoS）是一种新型DoS，其破坏性接近于服务，但其本文首先根据发生慢速服务的网络中的有效TCP数据流量频数特征存在后，根据建立的判断准则，判定是否发生慢速服务。在NS2的模拟实验中，利用检测方法对LDoS的测试数据进行了LDoS检测。实验结果表明，该检测方法检测准确率较高，平均误报率和平均漏报率较低，该检测方法能够有效检测LDoS。：慢速服务；检测方法；频数分布；直方图相交距ResearchandDesignofLowRateDenialofServiceAttackDetectionMethodBasedonTrafficRecently,networkattackshaveseverelyharmfuleffectonnetworksecurity,whichispresentedtypicalybyDenialofService(DoS)attack.LowRateDenialofService(LDoS)attackisanewtypeofDenailofServiceattack,whichcausesdamageasmuchasDenailofServiceattck,butismoreconcealed.GeneralDenialofServiceattackdetectionandpreventionmethodsareunabletodetectLowRateDenialofServiceattackeffectively.AndmostofexistingLowRateDenialofServiceacctackdetectionmethodshaveproblems,suchascomplexalgorithm,lowdetectionaccuracyrate,highresourceconsumption.Therefore,itisofgreatimportanceintheoryandpracticetoresearchLowRateDenialofServiceattack.Inthispaper,accordingtothefactthateffectiveTCPtrafficisabnormalwhileotherdatatrafficisnormalwhenLowRateDenialofServiceattackhappened,aLowRateDenialofServiceattackdetectionmethodwhichisbasedontrafficisproposed,meanwhile,ajudementcriteriaisestablished.Thisproposeddetectionmethodusehistograminctiondistancetomeasurehistogramdistance,soastoseeiffrequencydistributionisabnormal,thenaccordingtoestablishedjudementcriteria,determinewhetherLowRateDenialofServicehappenedornot.Usingproposeddetectionmethod,LDoSattackdetectiontotestdata,whichisfromnetworkattackedbyLDoSattack,isimplementedinNS2experiments.TheresultofexperimentsshowsthatproposeddetectionmethodcanmostlydetectLDoSattackcorrectlyandhaslowaveragefalsepositiverateandloweveragefalsenegativerate.Therefore,proposeddetectionmethodisabletodetectLDoSattackeffectively. Distribution;HistogramIn ctionDistance实 实验平 实验方 实验分 总结与展 参考文 致 错误！未定义书签绪术的快速发展同时也引起了众多问题。如信息——2014年支付宝前员工非法超过2G的个人信息，以及携程网的“安全门“，都引起广泛关注；安全威胁——木马僵尸网络、等非传统有增无减；网络——分布式服务（DDoS）[1,2]、高级持续（APT）等新型网络愈演愈烈。其中网络的危害尤为明显。而服务（DoS），是一种典型的网络行为，DoS[3]指的是者通过耗尽目标主机的网络带宽和资源，使其无法对正常的分布式服务（DDoS），因此这样做使得的隐蔽性更高，更容易达到预期的效果。2014年12月10日，爆发了运营商DNS网络DDoS。2014年2月，云安全服务公司Cloudflare400G的DDoS。时，包括4chan和在内的78.5万个安全服务受到了影响2016年以来，全球DDoS呈现出一些新的态势：方式以SYN-Flood以UDP-Flood为主；者越来越趋向于进行大流量；利用TFTP服务器反射，可将放大60倍。而中国一直是DDoS的重灾区。2015年下半年，阿里云安全团队到超过10万次DDoS，较之2015年上半年增长了32%，与此同时，流量达到300Gbps以上的达到创的66次。因此，在新的形势下研究DoS/DDoS与LDoSDoS与DDoSDoS一般通过耗尽目标的资源和带宽，使其无法响应正常的服务请求的手制它们同时对目标发送数据流，从而完成。DoS，DDoS原理并不复杂，发起难度较小，但是破坏力极强，且具有多种方式，由于这些特点，对DoS，DDoS的检测具有较度，同时要防御这些所需的代价较高。目前许多科研工作者们提出了多种DoS，DDoS的检测方法，但是这些方法都有其自身的局限性，无法做到对DoS，DDoS的完全检测。LDoS近年出现了一种新型的DoS，即慢速服务（LowRateDenialofService,LDoS）。此在2003年的M会议上首次由Kuzmanovic和对其模式进行了说明：只需周期性地发送短暂的脉冲数据流，就可以造成TCP数击定义为“LowRateDenialofServiceAttack”,也即慢速服务。周期性地发送强度较高的流，发送这些流的持续时间较短，这些流会造成正常TCP数据流严重丢包，这时LDoS则停止发送流。当TCP数据流即将恢复到接近正常位置时，LDoS进入下一个周期，马上发送高强度流，就是最后的结果就是TCP数据流的吞吐量大幅度减小[5]。之所以将这种LDoS称为“慢速”DoS，是因为其在一个周期内的时间远远小于静默时间，LDoS目前的DoS检测和防御方法很难对LDoS产生效果。本研究课题将从发生LDoS的网络中的数据流量形态特征入手，对这些形态特征进行分析，得到判断LDoS的准则，从而进行LDoS的检测。最后通过实验对LDoS作为一种新型，目前对其的研究仍然不够深入，同时由于其较低平均速率，LDoS拥有较好的隐蔽效果，使得传统的DoS检测方法很难对本研究课题期望达到的目标是设计一种基于数据流量特征的LDoS检测方法，LDoS概LDoS原理分2.1.1原定性，并且避免网络因拥塞而。采用TCP/IP拥塞控制机制可以保证众多网络服务控制策略，TCP拥塞控制策略。策略的实现由IP网络边缘的设备的TCP协议进行。其中包含的算法主要有：慢启动算以上两种拥塞控制策略构成了TCP/IP拥塞控制策略，而TCP/IP拥塞控制机制由TCP/IP拥塞控制策略来实现。TCP/IP拥塞控制机制使得网络稳定和健壮，但其自身存TCP/IPTCP/IP拥塞控制机制的“效TCP/IP拥塞控制机制被触发，相较于未发生拥塞骤降。LDoS者正是利用了TCP/IP拥塞控制机制的这个问题进行。2.1.2模TCP/IP拥塞控制机制，造成网络中的TCP流量处于骤降-缓慢恢复-骤降的循环，最终网咯吞吐量严重下降。别为：强度RAttack、周期TAttack、脉冲持续时间tAttack。LDoS在任意周期TAttack内都会发送时长为tAttack、强度为RAttack的数据流。网络的瓶颈带宽Cblink小于数据的强度RAttack，从而造成网络陷入拥塞。同时，在任意周期内，脉T时长 远远小 周期 ，则 的平 流量 tAttack满T

t

Cblink

图1.1典型LDoS模[14]、XiapuLuo博士[15]等。近年来，还有一些学者对LDoS进行了研究[16,17]，如坤[17]、Tang[18]、周路[19]、岳猛[13]、宾哲桂[20]、Jayanthi[21]、Wu[22]、BELSARE[23]等。可以将他们研究出的LDoS检测方法分为三类：基于频域特征的LDoS检测方法，基于时域特征的LDoS检测方法和基于形态特征的LDoS检测方法。基于频域特征的LDoS检测方法，从LDoS数据流的频域特征入手，进行LDoS的检测。该方法使用的技术为频域分析。基于频域特征的LDoS检CDF方法[9]STM检测方法[24]CDF方法[9]由ChenYu提出，该方法将待检测频域序列与已知的LDoS流的频谱特征进行比较，从而进行LDoS的检测。STM检测方法[24]由Hussain提出，该方法通过对数据流的报头进行分析，可以有效地检测出周期固定的LDoS。WCM检测方法[15]XiapuLuo提出，该方法使用累积和算法与离散小波变换分析ACK流量的时域和频域特征，从而进行LDoS的检测。基于时域特征的LDoS检测方基于时域特征的LDoS检测方法，从LDoS的流周期性特征入手，进行LDoS的检测。如HAWK检测方法[10]和DTW检测方法[25]等。自适应路由器队列管理方法HAWK[10]由Kwok提出该方法通过在路由器上构建数据流表，从而记录经过的数据流，然后把LDoS流的特征与数据流特征进行匹配，进行LDoS检测。动态时间环绕DTW检测方法[25]由HaibinSun提出，该方法使用动态时间环绕方法对流量样本数据进行特征匹配，从而进行LDoS检测。基于形态特征的LDoS检测方法首先需要在网络中进行流量采样，然后从效果入手，检测网络流量的形态特征是否由LDoS造成，从而进行LDoS的检测。如Kai检测方法[26]Vanguard检测方法[27]。Kai检测方法[26]由KaiChen提出，该方法将数据流的形态特征与LDoS导致的形态特征进行对比，进行LDoS的检测。Vanguard检测方法[27]由XiapuLuo提出，该方法从数据流量的分布形态的角度进行，根据其是否存在异常变化，进行LDoS局限性。基于频域特征的LDoS检测方法，此检测方法检测准确率较高，但是消全符合周期性特征的LDoS的检测效果较好，但对非周期性的LDoS则检测效果不佳。基于形态特征的LDoS检测方法检测效率较高，且消耗资源较少，是基于形态特征进行LDoS检测。检测算LDoS检价标为了使接下来的讨论更加方便，在这里引入“检测周期”的概念，检测周期（DetectionPeriod）由连续的多个流量样本组成，令取样时间为t，令检测周期时长为TimeDP，则一个检测周期内的样本数L（TimeDP/t）个。本文将DP作为检测单位，进行LDoS检测。在LDoS检测中，如果总检测周期数为All_DP_num，误报周期数FPRFP_DP_num100All_DP_ 漏报率（FNR，FalseNegativeRate）指的是在LDoS检测中，实际发生在LDoS检测中，如果总检测周期数为All_DP_num，误报周期数FN_DP_num，则LDoS检测的误报率由式（3.2）可得FNRFN_DP_num100FNRAll_DP_ LDoS的目标的流量将出现异常。而网络的瓶颈链路或关键路由器也受到LDoS的影响。因此，本文将通过在瓶颈链路或关键路由器中进行数据流量采样，对其进行统计和特征分析，进行检测。本文进行数据流量采样分析的对象为有效TCPTCP数据流量（TCP）。也即能够成功建立“三次握手”并有对应的应答数据的TCP数据的流量。网络中存在的大多数，若能产生显著的效果，一定会导致网络中的有效TCP数据流量发生明显变化。其他数据流量（OTH）。即网络流量中，除有效TCP数据流量之外，剩下所有达到效果；其二，使用其他数据类型，比如像ICMP数据、无效TCP数据等进行LDoS，可以发挥出LDoS的优势。故当网络中发生LDoS时，其他数据型的网络、发生LDoS的网络区分开来，在此构建三种网络状态如下：不包括LDoS。3.1所示，其中横坐标为组号，纵坐标图3.1（a）正态 图3.1（b）左偏图3.1（c）右偏 图3.1（e）反J型 图3.1样本频数分布的六种典型形态TCP数据流量的频数分布特征3.31TCP效TCP数据流量稳定且趋向正态分布。在实际的网络中，即网络状态1中的有效TCP数据流量与理想状态的有效TCP数据流量相似。然而TCP数据流量具有突发性和静默TCP数据流量的频数分布形成“偏态型直方图”，如图3.4所示。3.42TCP3.53TCP在网络状态2中，存在非LDoS，这些产生高强度的持续流，对有效TCP数据流量造成明显影响，因此目标后有效TCP数据流量骤降至最低点。故网络状态2的频数分布直方图形成“反J型直方图”，如图3.5所示。在网络状态3中，LDoS产生高强度非持续流，对有效TCP数据流量形成显著影响。此情况下有效TCP数据流量的频数分布形成“分散型直方图”，如图3.6所示。对比网络状态1~3中的有效TCP数据流量频数分布直方图，可知网络状态2和网络状31中的频数分布直方图不同。也即，与网络状123TCP数据流量频数分布都存在异常。相应的“直方图距离”越大。因此，可以将网络状态1中的有效TCP数据流量频数分布直方图作为基准直方图，与待检测网络中有效TCP数据流量频数分布直方图进行对1TCPTCP数据流量123TCP数据流量频数分布是无法区分网络状态2和网络状态3的。不过，非LDoS与LDoS，两者发起2和网络状态3。3.6网络状况1其他数据流量频数分布在网络状态1中，不存在任何，因此网络中的其他数据流量虽然具有突发性，如图3.7（a）所示。3.723.83示。其他数据流量频数分布形成“反J型直方图”，如图3.9（b）所示。发生LDoS时网络中的有效TCP数据流量频数分布存在异常而其他数据流量频数分由3.2节可知，发生LDoS时，网络中的有效TCP数据流量频数分布存在异常而异常，从而通过定量分析进行LDoS检测。3.1步 主要内 备 Sturges如式 统计各组绝对频数，计算各组相对频group_numlog2 整，记为log2L。groupi[minsample(i1)Lgroup,minsampleiLgroup其中maxsample和minsample分别为流量样本的最大值与最小值

maxsamplegroup_ 其中maxsample和minsample分别为流量样本的最大值与最小值，Lgroup为每个分组TCP数据流量定量比对。本文使用“直方图相交距离”（HistogramIntersectionDistance）来计算两个MHistogramNHistogram是两group_num个分组的直方图MHistogram称为基准直方图，NHistogram称为测试直方图，它们相交的距离可用式（3.4）计算得出。InterD

group_min(M(i),N(i))(1igroup_

其中M(i)(1igroup_num)N(i)(1igroup_num)分别为两个直方图分组i的相对频M(i)(1igroup_num)组成的长group_num的一维向量M称为TCP数据流量（TCP）形成的一维向量记为RFTCP,RFTCP,,RFTCPT，将其他数据流量（OTH） 形成的一维向量记为RFOTH,RFOTH,,RFOTHT。使用直方图相交距离 ，可以 有效TCP数据流量和其他数据流量频数分布异常的判定3.2步 主要内 备MTCP_TrainMOTH_

MTCP_TrainMOTH_Train的表达如量的测试向量NTCP_Test，NOTH_Test

NTCP_TestNOTH_Test（3.7）和式（3.8）所

直方图相交距离如式（3.4），InterDTCP，InterDOTH的表达如 ((RFTCP),(RFTCP),,(RFTCP TCP_ Train Train Traingroup_ ((RFOTH),(RFOTH),,(RFOTH OTH Train Train Traingroup_ ((RFTCP),(RFTCP),K,(RFTCP Test group_ ((RFOTH),(RFOTH),K,(RFOTH OTH_ group_InterDTCPInterD(MTCP_Train,NTCP_TestInterDOTHInterD(MOTH_Train,NOTH_Test

判定“异常”和“正常”，是定性的方法，下面给出判断频数分布是否异常的定量方法，判定TCP异常准则和判定OTH异常准则。TCP异常准则TCP数据流量的频数分布直方图InterDTCP满足条件：InterDTCPTCP_InterD，则认为该检测周期内有TCP其中TCP_InterD是从训练数据中计算所得的判断阈值，称为直方图相交距离的检值TCP_InterD，检测阈值TCP_InterD的计算和取值将在下文继续讨论图距InterDOTH满足条件：InterDOTHOTH_InterD，则认为该检测周期内其他数据流其中OTH_InterD是从训练数据中计算所得的判断阈称为直方图相交距离的检测阈值OTH_InterD，检测阈值OTH_InterD的计算和取值将在下文继续讨论。TCPOTH异常准则，以训练数据所有检测周期的有效练数据的有效TCP数据流量和其他数据流量的频数分布直方图距离，若满足条件 TCP_

条件InterDOTHOTH_InterD，则认为该检测周期内其他数据流量的频数分布异常LDoS判断准由3.2节对三种网络状态下有效TCP1TCP数据流量和其他数据流量的频数分布都正常；在网络状态2下，有效TCP数据流量和其他数据流量的频数分布都存在异常；在网络状态3TCP数据流量的频数分布存在异常，但其他数据流量的频数分布正常。也就检测周期满足条InterDTCPTCP_InterD，但是不满足条件：InterDOTHOTH_InterD TCP_

OTH_InterD，其中，检测阈值TCP_InterDOTH_InterD是由训练数据计算检测阈值TCP_InterDOTH_InterD的取值，直接影响到判断准则对是否发生LDoS的检测结论，因此检测阈值TCP_InterDOTH_InterD的取值十分关键直方图距离正常。若训练数据中共含Sample_NumTrain个检测周期，对于训练数据的第i个检测周期，将训练数据样本总体的频数分布直方图作为基准，其有效TCP数据流量的频数分布直方图距离InterDTCP_Train_i和其他数据流量的频数分布直方图距离InterDOTH_Train_i，可各自按照表（3.3）中步骤进行计算流量的频数分布直方图距离InterDTCP_Train_i，以及其他数据流量的频数分布直方图距离的频数分布直方图距离组成数列InterDTCP_Train，全Sample_NumTrain个检测周数据流量的频数分布直方图距离组成数列InterDOTH_Train3.3步 主要内 备从训练数据中获取基准向量MTCP_TrainMOTH_

获得训练数据第i个检测周期内两种数据流

NOTH_Train_计算第 个检测周期内两种数据流量的直 的表达如图距离InterDTCP_Train_i，InterDOTH_ 的表达如OTH_Train_（3.11）和式（3.12）所InterDTCP_Train_iInterD(MTCP_Train,NTCP_Test_iInterDOTH_Train_iInterD(MOTH_Train,NOTH_Test_i

InterDTCP_TrainInterDOTH_TrainInterDTCP_Train_iInterDOTH_Train_i都正常且相互独立，当训练数据中样本足够多时，数列InterDTCP_TrainInterDOTH_Train都符合正令mean(InterDTCP_Train)std(InterDTCP_Train)分别表示数列InterDTCP_Train的均值和标准差；令mean(InterDOTH_Train)std(InterDOTH_Train)分别表示数列InterDOTH_Train的均值和标准差。则检测阈值TCP_InterD和OTH_InterD，可根据式（3.13）和式（3.14）计算。OTH_InterDmean(InterDOTH_Train)zstd(InterDOTH_Train

其中，z数列InterDTCP_TrainInterDOTH_Train都符合正态分布。而对于均值和方差分别为2的正态分布X~N(,2，概率密度函数的曲线如图（3.10）(3.00,3.00)的概率为68.26%，95.46%，99%，99.73%，其对应的显著性水平0.01z2.58。此时的置信水平为0.99，双侧检验的显著性水平为0.01，单侧检验的显著性水平为0.005，本文3.10z值之后，根据式（3.14）和式（3.15）可以计算检测阈值TCP_InterD和OTH_InterD。从检测阈值TCP_InterD和OTH_InterD的计算步骤可LDoS检测方法，具有一定自适应性。算法实现及实根据检测周期时长TimeDW和取样时间t，得到每个检测周期内样本数（LTimeDPt），利用Sturges公式[28]确定分组数group_（group_numlog2L1）。将训练数据展示为分组group_num的频数分布直方图，得到基准向量YTCP_Train和YOTH_Train。根据检测周期时长TimeDW将训练数据分为若干个检测周期，得到训练数据每个检测周期两种数据流量各自的样本，组成样本序列STCPTrainSOTHTrain，与基准向量运算得到检测阈值TCPInterD和OTHInterD。根据检测周期时长TimDW，将测试数据分为若干个检测周期，对每个检测周期，将TP数据流量和其他数据流量分别画出频数分布直方图，得到两种数据流量的测量XPet和XOTHet。利用直方图相距离计每个检测期内的直图距离InterDTCP和InterDOTH根据LDoS判断准则判断该检测周期内是否发生LDoS攻LDoS攻4.44.5测试数据处理模L线性相关，也即时间复杂度为O(L本文的检测方法以一个检测周期时长TimeDP为检测单位，而每个检测周期内两种数据流量的样本序STCP_Test和SOTH_Test，序列长度均为L（LTimeDP/t），因此，在算法的检测过程中，由于取样时间t和检测周期时长TimeDP固定，因此每个检测周期内的两种数据流量的样本序列L（LTimeDPt）也固定。而基准向量MTCP_Train和MOTH_Train，检测STCP_TestSOTH_Test，以及检测周期内测试向量NTCPTestNOTHTest都只与L相关，因此，这三组对象所占用的内存空间为常量；检测阈值TCPInterD和OTHInterD，检测周期内两种数据流量的直方图相交距离InterDTCP和O(L为了验证基于频数分布异常的LDoS检测方法的可行性，在NS2网络模拟平台了网络技术的各个方面，因此，使用此平台可以很方便的开发网络技术。目前，NS已NS2是一种面向对象的网络仿真器。其自身包含一个虚拟时钟，由离散驱动仿真。NS2IPTCP、UDP等；等；路由算法，如Dijkstra等。NS2的开发语言为Otcl和C++。NS2可以被认为是Otcl的解释器，NS2中包仿真完成后，NS2将会产生一个或多个文件，这些文件都是基于文本的。只需们可以进行下一步的分析，当然，我们也可以使用NAM展示出整个仿真过程。本次实验中，取样时间t=0.05s，检测周期时长TimeDP=20s。通过该网络拓扑获取4.6实验拓扑实验实施表实验序强度周期脉冲持续时间1121324151627182320sTimeDP=20s，发生时间为110s~230s，其对应检测周期为DP6~DP12。其中，检测周期DP1、DP2、DP3、DP4、DP5、DP13、DP14、DP15、DP16均不包含，检测周期DP7、DP8、DP9、D（110s~120s包含。实验中，检测周期的具体设置及其对应网络中的有效TCP流量如图所示（1中数据为例）4.714.8在检测结果窗口中，会对此次LDoS检测结果进行报告，包括每个检测周期是TCP流量频数分布直方图距离InterDTCP和其他数据流量频数分布直方图距离InterDOTH，与检测阈值TCP_Train和OTH_Train的对比如图。检测结果如表（4.2）所示。174.127从实验结果可知，本文的检测方法在LDoS稳定的状况下，能够正确检测到LDoS，不存在漏报，但是在实验1~8中，检测周期6均发生误报，在检测周期6从而使得该检测周期内有效TCP频数分布异常，导致误报。根据实验1~8的结果，本文的检测方法基本上能够正确检测LDoS，仅仅少数FFFFFTTFFFFFTTFFFFFTTFFFFFTTFFFFFTTFFFFFTTFFFFFTTFFFFFTTTTTFFFFFTTTFFFFFTTTFFFFFTTTFFFFFTTTFFFFFTTTFFFFFTTTFFFFFTTTFFFFF总结与展本文基于流量特征对LDoS检测方法进行研究，根据在LDoS的网络中TCP数据流量的频数分布异常，而其他数据流量的频数分布正常这一事实，提出了一种基于直方图相交距离的LDoS检测方法。根据在网络模拟平台NS2上的实验，可知本文LDoS检测方法误报率和量数据进行LDoS检测。本文研究的LDoS检测算法检测效果较好，但是仍需继续对LDoS进行下一参考文Mirkovic,J.<AtaxonomyofDDoSattackandDDoSdefenseMComputerCommunicationReview,2005,35(4):241-252.Yang,X.,Wetherall,D.,Anderson,T.ADoS-limitingnetworkarchitecture. Comput.Commun.Rev.,2005,35(4):241-252.Kuzmanovic,A.,Knightly,E.W.Low-rateTCP-targeteddenialofserviceattacksandcounterstrategies.Ieee-AcmTransactionsonNetworking,Aug,2006,14(4):683-696.attackagainsti tiveservers.ComputerNetworks,2007,51(4):1013-1030.高能,冯登国,向继.一种基于数据挖掘的服务检测技术.计算机学报,2006,29(6):944-951.吴志军,裴宝崧.基于小信号检测模型的LDoS检测方法的研究.电子学报,39(6):1456-Chen,Y.,Hwang,K.CollaborativedetectionandfilteringofshrewDDoSattacksusingspectralysis☆.JournalofParallelandDistributedComputing,2006,66(9):1137-1151.[10]Kwok,Y.K.,Tripathi,R.,Chen,Y.,etal.HAWK:HaltingAnomalieswithWeightedChokingtoRescueWell-BehavedTCPSessionsfromShrewDDoSAttacks.InLu,X.,Zhao,W.,Eds.SpringerBerlin/Heidelberg:2005;Vol.3619,423-432.Yanxiang,H.,Yi,H.,Qiang,C.,etal.LDoSattackinad-hocnetwork.InProceedingsofthe6thInternationalConferenceonWirelessOn-DemandNetworkSystemsandServices(WONS'09),2009;251-257.吴志军,曾化龙,.基于时间窗统计的LDoS检测方法的研究.通信学报, (12):55-62.,张才峰,吴志军.隐马尔科夫模型检测LDoS方法的研究.信号处理,2015,31(11):1454-1460.Haibin,S.,Lui,J.C.S.,Yau,D.K.Y.Defendingagainstlow-rateTCPattacks:dynamicdetectionandprotection.InProceedingsofthe12thIEEEInternationalConferenceonNetworkProtocols(ICNP'04),2004;196-205.Xiapu,L.,Chang,R.K.C.Onanewclassofpulsingdenial-of-serviceattacksandthedefense.InProceedingsofthe12thAnnualNetworkandDistributedSystemSecuritySymposium(NDSS'05),2005;67-85.吴志军.基于信号互相关的LDoS检测方法.电子学报, 文坤,杨家海,张宾.低速率服务研究与进展综述.软件