基于卡方距離和AEWMA的LDoS攻擊檢測方法研究.pdf

1、LDoS（Low-rate Denial of Service）攻擊的攻擊數(shù)據(jù)往往混雜在有效數(shù)據(jù)中，具有較高的隱蔽性，難以被檢出。現(xiàn)階段針對LDoS攻擊檢測的研究工作尚處于初級階段，雖然已有的檢測方法能夠在某種程度上檢測出某些種類的LDoS攻擊，但還是存在諸多不足。因此，探索新的、有效的、能夠?qū)崟r檢測LDoS攻擊的方法對提升網(wǎng)絡(luò)系統(tǒng)的安全性具有重要的理論價值和積極的現(xiàn)實(shí)意義。
　　對LDoS攻擊的方式與種類進(jìn)行了歸納，指出了LDo

2、S攻擊的檢測難度，并對現(xiàn)有典型的LDoS攻擊檢測方法進(jìn)行了分析。
　　對網(wǎng)絡(luò)中有效TCP（Transmission Control Protocol）流量與其它流量在頻數(shù)分布上的特征進(jìn)行了分析，發(fā)現(xiàn)這兩類流量在無LDoS攻擊時和有LDoS攻擊時頻數(shù)分布上存在較大的差異，為此引入了“距離”的度量方法。以此為基礎(chǔ)提出了一種基于卡方距離的LDoS攻擊檢測方法，給出了相應(yīng)的檢測算法，同時對影響到檢測結(jié)果精度的參數(shù)進(jìn)行了細(xì)致的討論。最后通過

3、仿真實(shí)驗(yàn)證明了該方法的有效性。
　　對有效TCP流量在多種情形中分布形態(tài)的差異性進(jìn)行了分析，歸納出各種情形下有效TCP流量的分布特征，進(jìn)而提出了一種基于AEWMA（Adaptive Exponentially Weighted Moving Average）的LDoS攻擊檢測方法。同時就判別準(zhǔn)則所涉及到的相關(guān)參數(shù)進(jìn)行了深入的討論。最后通過仿真實(shí)驗(yàn)證明了該方法的有效性。
　　通過對上述兩種獨(dú)立的方法存在的不足進(jìn)行了分析，發(fā)現(xiàn)兩