基于時間窗統(tǒng)計的LDoS攻擊檢測方法的研究

吳志軍，曾化龍，岳猛

（中國民航大學 電子信息工程學院 智能信號與圖像處理天津市重點實驗室，天津 300300）

1 引言

傳輸控制協(xié)議TCP（transfer control protocol）提供了一種可靠的面向連接的字節(jié)流傳輸層服務[1,2]。當可信任的用戶遵守與合作的時候，TCP超時重傳RTO（retransmission time out）機制[3]可以使網(wǎng)絡的吞吐量（throughout）達到最大。然而，超時重傳機制也存在弱點，容易遭受來自惡意用戶實施的拒絕服務DoS（denial of service）攻擊，使受害端合法TCP流（flow）的帶寬吞吐量大幅度的降低。2001年在Internet2 Abilene骨干網(wǎng)絡檢測到一種新型的DoS攻擊方式[4]。它是一種周期性的脈沖（pulse）攻擊，由于該攻擊在時域（time domain）上平均速率很低，具有流量占用帶寬小的特點，被定義為低速率 DoS攻擊，記為 LDoS（low-rate denial of service）。Aleksandar Kuzmanovic和 Edward W.Knightly[5]形象地將其稱為“地鼠”分布式拒絕服務（shrew DDoS）攻擊；由于LDoS攻擊的信號形式為周期性的脈沖，LUO和CHANG[6]又將其稱為“脈沖調(diào)制”（pulsing）攻擊；因為LDoS攻擊的最終表現(xiàn)形式是降低被攻擊目標的服務質(zhì)量，所以UIRGUIS等[7]將其稱為“降質(zhì)”（RoQ, reduction of quality）攻擊。

單個LDoS攻擊的波形如圖1所示。它可以用一個三元參數(shù)組（T，L，R）來描述[5,8]。其中，T為攻擊周期，是2次連續(xù)的攻擊脈沖之間的時間間隔。它是通過來自可信賴源端估計的TCP RTO計時器執(zhí)行情況來計算的；L為脈沖寬度，它描述了攻擊者持續(xù)發(fā)包的時間段；R為脈沖幅度，它顯示了攻擊流的最高速率。

圖1 LDoS攻擊波形示意圖

為了獲得更高的吞吐量，TCP協(xié)議使用帶固定增量的預定義的RTO值。在單一的TCP流中，如果攻擊流量在往返時間RTT（round-trip time）內(nèi)足夠?qū)е聰?shù)據(jù)分組（packet）丟失時，這個TCP流將進入超時狀態(tài)，并且嘗試在 RTO時間后再發(fā)送一個新的數(shù)據(jù)分組。如果LDoS攻擊的周期大致等于這個TCP流的RTO時，這個TCP流將持續(xù)丟失數(shù)據(jù)分組而不能夠退出超時狀態(tài)，以至于其吞吐量大幅度下降。

一個成功的LDoS攻擊在保證不被檢測的情況下必須具有：1) 足夠大的R誘使合法的TCP流分組丟失；2) 足夠長的L引起重傳。如果R和L超過一定的值就存在被檢測機制發(fā)現(xiàn)的可能。LDoS攻擊可以估計RTO時間來調(diào)整其攻擊周期，周期性地發(fā)送攻擊脈沖。當脈沖達到最高速率R時，使得合法的TCP流試圖發(fā)送數(shù)據(jù)分組到目的主機的網(wǎng)絡鏈路被嚴重的阻塞，導致合法的TCP流量被迫啟動擁塞控制。極大地降低它們的分組發(fā)送速率，影響正常的服務請求的響應時間，從而達到 LDoS的攻擊的目的。

LDoS攻擊的特點使其具有很強的隱蔽性，可使受害端主機長時間的遭受攻擊而不被察覺。其表現(xiàn)出來的破壞性甚至比Flood DDoS攻擊更大。因此，針對LDoS攻擊檢測方法的研究具有一定的實際應用價值。

2 相關工作

自從 LDoS攻擊出現(xiàn)以來，受到了眾多研究者們的關注。其中，Aleksandar Kuzmanovic和Edward W. Knightly[5]對LDoS攻擊產(chǎn)生的機制進行了詳細的研究，并提出了幾種對付 LDoS攻擊的方法；何炎祥和劉陶[9]等對 LDoS攻擊方式進行了分類描述和建模，并對LDoS攻擊的檢測防范難點進行了討論。

由于LDoS攻擊具有極強的隱蔽性，其檢測方法一直是研究的熱點。傳統(tǒng)的基于網(wǎng)絡的入侵檢測系統(tǒng)NIDS (network intrusion detection system) 主要是通過單位時間內(nèi)的鏈路流量是否超過某一預先設定的閾值（threshold）來判斷網(wǎng)絡中是否發(fā)生DDoS攻擊?，F(xiàn)有的DDoS攻擊檢測方法大都是基于時間平均流量的。由于單個LDoS攻擊的流量很小，其脈沖的幅度遠小于NIDS中設定的閾值，所以LDoS可以逃避基于流量時間平均的檢測方法。因此，時域檢測幾乎對LDoS攻擊沒有效果。目前，LDoS攻擊的檢測方法基本都是在頻域（frequency domain）上采用信號處理技術實現(xiàn)的，主要方法有3種：1) 利用功率譜密度（PSD, power spectrum density）檢測法。CHENG[10]首先提出了在頻域利用功率譜密度PSD分析的方法檢測和防御LDoS攻擊的思想；YU CHEN和KAI HWANG等[11,12]采用歸一化累計功率譜密度 NCPSD（normalized cumulative PSD），利用正常流量和攻擊流量 NCPSD之間的最大距離位置作為檢測點，用于判斷 LDoS攻擊。2) 離散小波變換DWT分析法。BARFORD.P.和KLINE. J.[13]等首先提出了采用小波（wavelet）處理的思想，利用離散小波變換（DWT，discrete wavelet transform）技術將網(wǎng)絡流量（traffic）變換成高、中和低3個頻率分量，以便查找攻擊流量；Xiapu Luo和Rocky K. C. Chang等[6,14]對LDoS攻擊的性能方面進行了仿真和試驗，并采用小波技術在頻域中檢測LDoS攻擊的頻率分量；魏蔚和董亞波等[15]提出了以低頻功率和為指標的檢測方法，同時基于現(xiàn)有的漏桶限流和增加路由器接收緩存的響應方法，提出了結合包隊列和漏桶的響應方法。3)自相關（autocorrelation）分析法。Amey Shevtekar和Karunakar Anantharam[16]等提出了在單個邊界路由器（edge router）上實現(xiàn)的LDoS攻擊流量檢測方法。該方法通過對網(wǎng)絡流量進行分析，利用流量的自相關特性檢測周期性的攻擊流量。

頻域檢測LDoS攻擊的方法存在正確檢測概率（detection probability）不能達到最佳，以及虛警（false negative）和漏警（false positive）概率偏大等問題。本文在分析LDoS攻擊的原理和產(chǎn)生機制的基礎上，針對其攻擊的性能進行了研究；提出了一種在時域上利用時間窗（time window）采樣，并對攻擊流量的周期性進行統(tǒng)計分析的LDoS攻擊檢測方法。試驗結果表明該檢測方法具有較高的檢測概率以及較低的漏報和誤報概率。

3 時間窗統(tǒng)計檢測

時間窗統(tǒng)計檢測就是在一定的采樣時間內(nèi)，對到達的數(shù)據(jù)分組進行統(tǒng)計分析，準確判定LDoS攻擊脈沖的突變時刻，即判定某個時刻是否有流量突變出現(xiàn)。因此，嚴格意義上來說，時間窗統(tǒng)計檢測實際是一種脈沖峰值（peak）檢測。如果連續(xù)采樣的時間設置的足夠長，則在一定時間內(nèi)可以將不同特征參數(shù)T/L/R的多個攻擊脈沖檢測出來。

由于 LDoS攻擊的脈沖持續(xù)時間很短①如果LDoS攻擊的脈沖寬度較大，則它的平均速率就會很大，實際上就成為Flood DoS攻擊了。，一般在幾百毫秒時間內(nèi)。因此，對于一般的網(wǎng)絡流量采樣②一般網(wǎng)絡流量采樣分析的采樣間隔最小為0.5s，常用的為1s，3s，甚至 5s。分析幾乎很難捕捉到LDoS攻擊脈沖。并且，現(xiàn)有入侵檢測方法為了提高檢測的準確率，而采用較長時間的流量統(tǒng)計分析，導致其反應時間大于LDoS攻擊脈沖的持續(xù)時間。所以，當LDoS攻擊脈沖持續(xù)時間結束，入侵檢測系統(tǒng)尚未反應過來。

3.1 LDoS攻擊流量分析

為了研究LDoS攻擊的流量特征，本文建立了LDoS攻擊流量的模型，搭建了實驗網(wǎng)絡環(huán)境（如圖2所示），并產(chǎn)生了真實的LDoS攻擊流量。

圖2 實驗環(huán)境

圖 2中的路由器為 Cisco2621，路由器間的帶寬10Mbit/s，其他各設備配置如表1所示。

受害端服務器（Victim）提供FTP服務，正常用戶對FTP服務器進行上傳和下載操作。LDoS的攻擊參數(shù)為：T=1s，L=300ms，R=10Mbit/s。

表1 實驗設備配置

通過對到達目標網(wǎng)絡（受害者）的數(shù)據(jù)分組進行采樣和統(tǒng)計分析，觀測到LDoS攻擊的數(shù)據(jù)分組情況如圖3所示。

圖3 正常及攻擊流量分組個數(shù)統(tǒng)計

圖3 是實驗中對正常流量和攻擊流量，以及正常流量加攻擊流量進行6 000個分組到達個數(shù)的采集和統(tǒng)計后得出的結果。從圖3中可以看出LDoS攻擊脈沖與正常流量之間的區(qū)別：1) 正常流量在短時間內(nèi)的流量比較平穩(wěn)，而LDoS攻擊流則表現(xiàn)出明顯的周期性，以及脈沖特性；2) 在遭到LDoS攻擊后，正常流量明顯下降，但是在整個短期時間段內(nèi)卻留下幾個明顯的不規(guī)則高速脈沖特征。

通過測試和分析發(fā)現(xiàn)LDoS攻擊在它的每個攻擊周期內(nèi)均會產(chǎn)生一個較高的攻擊脈沖。

3.2 時間窗統(tǒng)計

為了準確判定LDoS攻擊脈沖的突變時刻（流量突變），統(tǒng)計的時間窗長度可以依據(jù)LDoS攻擊流形成周期性的異常脈沖作為特征來匹配，即針對LDoS的幾個特征參數(shù)T/L/R進行檢測。根據(jù)LDoS攻擊的脈沖持續(xù)時間很短的特點，在時間窗長度TWL（time window length）內(nèi)采樣的間隔（sample time）根據(jù)對網(wǎng)絡流量學習統(tǒng)計的結果可以設定為100ms、200ms和300ms。這是因為LDoS攻擊一個周期內(nèi)的持續(xù)時間L通常小于300ms。這里選取3個典型時間分析。正確選取采樣間隔可以完全記錄下攻擊發(fā)生時的峰值數(shù)據(jù)分組數(shù)。但采樣間隔不能過小，否則當攻擊發(fā)生時，可能導致與同周期其他采樣點的差異不明顯。

通過對LDoS攻擊流量的模擬和分析，根據(jù)學習的經(jīng)驗設定3個門限系數(shù)：前門限系數(shù)?、后門限系數(shù)β和中門限系數(shù)λ作為判定在某個時刻出現(xiàn)流量突變的依據(jù)。這里，門限系數(shù)?、β和λ均為大于1的數(shù)值，其具體的設定值是根據(jù)大量試驗得到的經(jīng)驗值。門限系數(shù)選取與采樣時間和當時的采樣值x(n)密切相關。當時間窗長度和采樣時間選定后，采樣值的均值乘以門限系數(shù)就可判定是否存在突變脈沖，從而可以判定是否存在LDoS攻擊。因此，選取不同的采樣時間，在不同的Iindex值下，選取不同的門限系數(shù)，可以得到不同的檢測率。當檢測率達到最高的情況下，此時選出的門限系數(shù)就是最佳的。

下面以時間窗TWL內(nèi)采樣長度為300ms為例說明時間窗統(tǒng)計檢測算法的過程。其核心是比較所有采樣點中最大值和其他值的平均最大值間的差異。若此差異明顯，則說明可能存在攻擊脈沖。其步驟如下。

1) 在設定的時間窗TWL內(nèi)按照300ms采樣間隔進行采樣，每300ms采樣得到的數(shù)據(jù)記為： x(n)(n=0,1,2,…,N-1，其中 N=(TWL)/300ms)，表示在一定長度的時間窗內(nèi)采樣得到的數(shù)據(jù)個數(shù)。

2) 從 x(n)中選擇最大值：

并記錄最大值的角標Iindex值；對全部300ms中采樣得到的數(shù)據(jù)進行逐一比較，查找其中最大數(shù)值的數(shù)據(jù)，作為比較判斷的起始值。

3) 如果Iindex=0，判斷是否成立。假如成立，則存在突變脈沖。

如果Iindex=0，說明在本次采樣中第一個采樣值就是最大的，即可能在一開始采樣的時刻就存在突變脈沖。為了進一步證明，將后面連續(xù)2個采樣值進行求和并平均，然后與前門限系數(shù)?相乘，得到一個平均數(shù)值A。將最大值max與平均值A進行比較，如果max＞A，則可以判定存在突變脈沖，即意味著存在LDoS攻擊。

由于前門限系數(shù)?是大于1的值，它與連續(xù)2個采樣值的求和平均值相乘，是為了防止在2個采樣值中間一個值很大（處于脈沖的邊緣），而另外一個值很?。ㄌ幱诿}沖結束期），導致不能夠正確檢測出突變脈沖的情況。而在判定Iindex=0為最大值后再判定后面連續(xù)的2個采樣值的求和平均，是為了防止在 Iindex=0時刻正好出現(xiàn)一個尖銳毛刺干擾的情況。上述2個措施均為保證檢測的可靠性和檢測率。

4) 如果Iindex=N-1，判斷是否成立。假如成立，則存在突變脈沖。

如果Iindex=N-1，說明在本次采樣中最后一個采樣值就是最大的，即可能在本次采樣結束前存在突變脈沖。為了進一步證明，將前面連續(xù)2個采樣值進行求和并平均，然后與后門限系數(shù)β相乘，得到一個平均數(shù)值B。將最大值max與平均值B進行比較，如果max＞B，則可以判定存在突變脈沖，即意味著存在LDoS攻擊。

5) 如果3)和4)情況不成立，判斷是否成立。假如成立，則存在突變脈沖，并輸出檢測信息。

如果最大值是出現(xiàn)在采樣的中間，則把最大值出現(xiàn)前的2個連續(xù)的采樣值求和并平均，然后再將最大值出現(xiàn)后的所有采樣值（包括最大值在內(nèi)）進行求和并平均，將這2個求和平均值相加并乘以中間門限系數(shù)λ得到值C。將最大值max與平均值C進行比較，如果max＞C，則可以判定存在突變脈沖，即意味著存在LDoS攻擊。

3.3 時間窗統(tǒng)計檢測算法實現(xiàn)流程

根據(jù)時間窗統(tǒng)計檢測的過程，本文設計實現(xiàn)了基于時間窗統(tǒng)計的檢測算法，其流程如圖4所示。

圖4 時間窗統(tǒng)計檢測流程

圖 4所示的時間窗統(tǒng)計檢測流程實現(xiàn)步驟如下。

1) 進行參數(shù)設置，例如：時間窗長度、采樣時間和最大突變次數(shù)值（閾值）。

2) 根據(jù)單位時間窗內(nèi)高速脈沖的個數(shù)是否超過設定的閾值，判定是否存在脈沖突變。如果沒有脈沖突變，則繼續(xù)開始在時間窗內(nèi)采樣數(shù)據(jù)；如果存在脈沖突變，則計數(shù)器 Kcount加 1。這里，Kcount表示在規(guī)定時間內(nèi)突變的次數(shù)。

3) 判定在規(guī)定時間內(nèi)，突變的脈沖次數(shù)是否大于預先設定的閾值。如果沒有超過閾值，則繼續(xù)采樣數(shù)據(jù)；如果大于閾值則給出攻擊告警，并提交檢測結果。

4 實驗及結果分析

為了測試時間窗統(tǒng)計檢測方法的性能，下面在實際的網(wǎng)絡平臺上搭建更為復雜的測試環(huán)境，針對不同長度的采樣時間情況進行了測試和統(tǒng)計分析。

4.1 測試環(huán)境

時間窗統(tǒng)計檢測的實驗環(huán)境由 6臺計算機、3臺服務器、2臺交換機、2臺路由器和1個防火墻組成，如圖5所示。

在圖5中，傀儡機1、2、3模擬LDoS攻擊，采用本文編制的LDoS攻擊流量（如圖3所示）。3臺傀儡機是在一臺控制臺計算機管理下發(fā)送攻擊流量的；正常用戶4和5用于模擬訪問服務器的正常訪問流量。防火墻設置在受害端的上一跳路由。

在操作系統(tǒng)配置方面，服務器1和2基于Linux系統(tǒng)，提供Web、FTP服務；服務器3基于Windows，同時提供Web及FTP服務。Web采用Apache，F(xiàn)TP采用Proftp。測試環(huán)境中其他設備的配置如表2所示。

表2 測試環(huán)境設備配置信息

圖5 時間窗統(tǒng)計檢測測試環(huán)境

測試環(huán)境中，正常用戶數(shù)據(jù)流的RTT按照通常的設置為100ms[1～3]；RTO按照RFC最小重傳時間推薦RTOmin為1s[1～3]。LDoS攻擊的R、T和L等參數(shù)的配置如表3所示。

表3 LDoS攻擊的R、T和L等參數(shù)的配置

測試環(huán)境檢測的有關參數(shù)設置如表4所示。

表4 測試環(huán)境中檢測的有關參數(shù)設置

對網(wǎng)絡中的流量按時間窗進行采樣，采樣間隔為 300ms，則檢測突變計數(shù)器 Kcount是在統(tǒng)計時間長度（比如：6s）內(nèi)統(tǒng)計超過設置的最大計數(shù)次數(shù)值（閾值）的次數(shù)。即如果時間窗長度為1.2s，則6s內(nèi)可以得到5次判斷數(shù)據(jù)，即6s內(nèi)可以得到5組Kcount數(shù)據(jù)。如果5組數(shù)據(jù)中有3組（含3組）以上超出閾值，則判定存在脈沖突變，就可發(fā)出攻擊的警報。因此，檢測突變計數(shù)器 Kcount的最大值（閾值）設置為3。

4.2 測試結果

基于時間窗檢測LDoS攻擊的測試包含3個內(nèi)容：1) 時域的時間窗統(tǒng)計檢測測試；2) 頻域的功率譜密度PSD檢測；3) 時頻域混合檢測。

測試的性能指標主要包括3個：1) 正確檢測概率（準確率）；2) 漏報（漏警）概率；3) 誤報（虛警）概率。

1) 時域的時間窗統(tǒng)計檢測性能。

在時域的時間窗統(tǒng)計檢測的參數(shù)設置如下：

① 采樣時間為300ms。

② 門限系數(shù)取攻擊發(fā)生時，1 000次試驗中不同Iindex情況下，檢測率達到最高時的值。

表5統(tǒng)計在不同角標和門限系數(shù)組合下，檢測率的大小。根據(jù)表5的統(tǒng)計結果可以得出：設置門限系數(shù)的值為1.6?=、1.6β=和1.8λ=時檢測性能最佳。

注：其他采樣時間（如200ms和250ms）下的最佳門限系數(shù)可以按照同樣的方法獲得。

③ 時間窗的取值設置為1.2s。

表5 不同角標和門限系數(shù)組合下檢測率統(tǒng)計

同樣地，本文在時域上針對采樣時間長度為200ms、250ms和300ms的3種情況進行了測試，得到的測試結果統(tǒng)計如表6所示。

表6 時域的時間窗統(tǒng)計檢測性能測試結果

從表6可以看出，時間窗統(tǒng)計檢測方法的整體性能指標比較滿意。準確率到達96.5%以上；而漏報率和誤報率則小于 2.8%以下；另外，采樣時間的長度與檢測結果關聯(lián)，采樣的時間長度越大，則性能越好。

2) 頻域的功率譜密度PSD檢測性能。

本文根據(jù)Chen和Kai Hwang等[10,11]提出的采用歸一化累計功率譜密度 NCPSD（normalized cumulative PSD），利用正常流量和攻擊流量NCPSD之間的最大距離作為檢測LDoS攻擊依據(jù)的思想，在本文搭建的試驗環(huán)境上進行了頻域的功率譜密度PSD檢測性能測試。其中，參數(shù)設置如下：

① NCPSD的門限的值設置在0.68～0.85之間;

② 判斷點設置在頻點10Hz。

在頻域采樣時間長度為3s、4s和6s的3種情況下得到的測試結果如表7所示。

表7 頻域的功率譜密度PSD檢測性能測試結果

從表7可以看出，準確率到達95.2%以上；而漏報率小于3.8%，誤報率則小于4.5%；另外，頻域采樣時間的長度與檢測結果關聯(lián)，采樣的時間長度越大，則性能越好。

3) 時頻域混合檢測性能。

在時域利用時間窗統(tǒng)計進行檢測LDoS攻擊的時候，由于網(wǎng)絡流量在某一特定的情況下具有一定的突發(fā)性，即在某一時刻出現(xiàn)較大的流量峰值，導致時域的檢測方法存在一定概率的誤判。而且，對于分布式的LDoS攻擊，由于每個攻擊點的平均發(fā)送速率進一步下降，從而使得時域檢測的準確率下降。因此，本文提出將時域的時間窗統(tǒng)計檢測方法與頻域的功率譜密度PSD檢測方法組合使用，即采用時頻域混合檢測（hybrid detection）的方法，所利用的LDoS攻擊特征更多，判斷依據(jù)增多，使得檢測準確率會進一步提高。

在時頻域混合的檢測方法中，可以根據(jù)具體情況選定其中的一種算法為主，而另一種算法為輔。檢測的流程如圖6所示。

圖6 時頻域混合檢測流程

圖6 中，Kcount為突變脈沖的統(tǒng)計次數(shù)；N為設置的突變脈沖次數(shù)的閾值；t為采樣統(tǒng)計時間；T為判定時間閾值（規(guī)定的判定時間長度）；E為NCPSD的閾值，即歸一化的功率譜密度。時頻域混合檢測的流程如下。

① 判定單位時間窗內(nèi)高速脈沖的個數(shù)是否超過設定的閾值，如果大于閾值并且還未到達最后的判決時間，則進行頻域算法的運行；

② 判斷 NCPSD是否大于門限，如果頻域NCPSD也判斷大于閾值，那么不必等待判決時間是否到達，直接認定是攻擊；

③ 如果時域和頻域檢測算法中的一個沒有檢測到LDoS攻擊，而另外一個檢測到LDoS攻擊，則按照判斷出有攻擊的那個算法進行跟蹤，另外一個的算法暫時休眠。

時頻域混合檢測的測試仍然采用正常用戶4或5進行大文件的下載，而傀儡機1、2和3實施攻擊，釋放LDoS攻擊流量。其測試分為2個步驟進行：

① 準確率和漏報率測試；

② 誤報率測試。

時域檢測部分設置采樣時間分別為 200ms，250ms和300ms；頻域檢測部分設置采樣時間長度分別為2s、4s和6s。

為了測試采樣時間長度對檢測性能的影響，本文測試針對時頻域的每個采樣時間進行分組測試，每組測試20次。測試結果如表8所示。

表8 時頻域混合檢測結果

從表8可以看出，當時域采樣時間為300ms，頻域采樣時間的長度選為6s時，檢測的準確率最高達到99.3%，漏報率和誤報率最低，分別為0.7%和0.8%。但是，當網(wǎng)絡環(huán)境和服務發(fā)生變化時要通過實驗來選擇最佳的采樣時間以達到最佳的檢測準確率，以及最優(yōu)的漏報率和誤報率。

綜合上述測試結果可以得出結論：時頻域混合檢測方法的檢測性能最佳，具有較高的準確率，以及較低的漏報率和誤報率。

5 結束語

本文針對低速率拒絕服務LDoS攻擊的檢測進行了研究，提出了在時域上基于時間窗統(tǒng)計的檢測方法。為了驗證檢測方法的性能，本文主要進行了3個內(nèi)容的試驗：1）在時域上基于時間窗統(tǒng)計檢測LDoS攻擊方法的測試；2）在頻域上的歸一化功率譜密度NCPSD檢測方法的測試；3）時頻域混合檢測方法的測試。針對每個內(nèi)容的測試均得到了比較滿意的測試結果。試驗結果表明： 1）基于時間窗統(tǒng)計的檢測方法準確率達到96.5%以上，而漏報率和誤報率則小于2.8%；歸一化功率譜密度NCPSD檢測方法的準確率達到95.2%以上；而漏報率小于3.8%，誤報率則小于4.5%；混合檢測方法當時域采樣時間為300ms，頻域采樣時間的長度選為6s時，檢測的準確率最高達到99.3%，漏報率和誤報率最低，分別為0.7%和0.8%。2）無論是時域或者是頻域，其采樣時間的長度與檢測結果關聯(lián)。采樣的時間長度越大，則性能越好。3）時頻域混合檢測方法的檢測性能最佳，具有較高的準確率，以及較低的漏報率和誤報率。

通過上述結果可以發(fā)現(xiàn)，在未來研究LDoS攻擊檢測方面，必須結合時域和頻域的特征進行分析，采用多種檢測手段進行混合檢測，才能得到比較滿意的結果。由于本文測試的網(wǎng)絡環(huán)境比較簡單，得到的試驗數(shù)據(jù)比較理想。因此，本文將來的工作重點就是把本文的方法移植到實際的大規(guī)模網(wǎng)絡環(huán)境中進行測試。

[1] STEVENS W R. TCP/IP Illustrated, Vol.1: The Protocols[M]. Addison-Wesley Professional Computing Series, 1994.

[2] STEVENS W R. TCP/IP Illustrated Volume 1: The Protocols[M].Addison-Wesley, Hardcover, Published, 1994.

[3] PAXSON V, ALLMAN M. Computing TCP’s Retransmission Timer,November 2000. Internet RFC 2988[S].2000.

[4] DELIO M. New breed of attack zombies lurk[EB/OL]. http://www.wired. com/ news/technology/0,1282,43697,00.html, 2010.

[5] KUZMANOVIC A, KNIGHTLY E W. Low-rate TCP-targeted denial of service attacks—the shrew vs. the mice and elephants[A]. Proceedings of ACM SIGCOMM 2003[C]. 2003.75-86.

[6] LUO X P, ROCKY K, CHANG C. On a new class of pulsing denial-of-service attacks and the defense[A]. Network and Distributed System Security Symposium (NDSS'05)[C]. San Diego, CA, USA,2005.

[7] GUIRGUIS M, BESTAVROS A, MATTA I. Bandwidth stealing via link targeted RoQ attacks[A]. Proc 2nd IASTED International Conference on Communication and Computer Networks[C]. Cambridge,MA, 2004.

[8] SUN H B, LUI J C S, YAU D K Y. Defending against low-rate TCP attacks: dynamic detection and protection[A]. Proc IEEE International Conference on Network Protocols (ICNP)[C]. Berlin, Germany, 2004.

[9] 何炎祥, 劉陶, 曹強等. 低速率拒絕服務攻擊研究綜述[J]. 計算機科學與探索, 2008, 2(1): 1-17.HE Y X, LIU T, CAO Q, et al. A survey of low-rate denial-of-service attacks[J]. Journal of Frontiers of Computer Science & Technology,2008, 2(1): 1-17.

[10] CHENG C M, KUNG H, TAN K S. Use of spectral analysis in defense against DoS attacks[A]. Proc IEEE GLOBECOM[C]. Taipei,China. 2002.

[11] CHEN Y, HWANG K, KWOK Y K. Collaborative defense against periodic shrew DDoS attacks in frequency domain[A]. ACM Transactions on Information and System Security (TISSEC)[C]. 2005.1-30.

[12] CHEN Y, HWANG K. Collaborative detection and filtering of shrew DDoS attacks using spectral analysis[J]. Journal of Parallel and Distributed Computing, 2006, 66(9): 1137-1151.

[13] BARFORD P, KLINE J, PLONKA D, et al. A signal analysis of network traffic anomalies[A]. ACM Proc Internet Measurement Workshop[C]. Marseille, France, 2002. 71-82.

[14] LUO X P, CHAN E W W, CHANG R K C. Vanguard: a new detection scheme for a class of TCP-targeted denial-of-service attacks[A].Network Operations and Management Symposium (NOMS06)[C].Vancouver, Canada, 2006.507-518.

[15] 魏蔚, 董亞波, 魯東明等. 低速率TCP拒絕服務攻擊的檢測響應機制[J]. 浙江大學學報（工業(yè)版）, 2008, 42(5): 757-762.WEI W, DONG Y B, LU D M, et al. Detection and response of low-rate TCP-targeted denial of service attacks[J]. Journal of Zhejiang University(Engineering Science), 2008, 42(5): 757-762.

[16] SHEVTEKAR A, ANANTHARAM K, ANSARI N. Low rate TCP denial-of-service attack detection at edge routers[J]. IEEE Communications Letters, 2005, 9(4): 363-365.