DDoS攻擊檢測(cè)模型的設(shè)計(jì)

胡中功，程思婷，沈斌，陳愛(ài)杰

武漢工程大學(xué)電氣信息學(xué)院，湖北武漢 430205

DDoS攻擊檢測(cè)模型的設(shè)計(jì)

胡中功，程思婷，沈斌，陳愛(ài)杰

武漢工程大學(xué)電氣信息學(xué)院，湖北武漢 430205

為了有效檢測(cè)服務(wù)器是否受到DDoS攻擊，設(shè)計(jì)了一種基于樸素貝葉斯分類(lèi)算法的DDoS攻擊檢測(cè)模型.首先大量抓取服務(wù)器數(shù)據(jù)包，選擇受到DDoS攻擊時(shí)產(chǎn)生較明顯變動(dòng)的5種特征數(shù)據(jù)作為基本參數(shù)，所有數(shù)據(jù)可分為受攻擊與未受攻擊兩類(lèi).然后利用正態(tài)分布函數(shù)擬各合特征量的分布情況，并計(jì)算出各個(gè)特征量的條件概率.最后，選取測(cè)試數(shù)據(jù)，得到測(cè)試數(shù)據(jù)在貝葉斯公式下被分為受攻擊與未受攻擊兩類(lèi)的后驗(yàn)概率，并通過(guò)比較此兩個(gè)后驗(yàn)概率值的大小，判斷出服務(wù)器是否受到DDoS攻擊.該模型經(jīng)MATLAB仿真實(shí)驗(yàn)的驗(yàn)證，獲得了較高的準(zhǔn)確率，保證了對(duì)DDoS攻擊的有效檢測(cè)，并由C＋＋代碼進(jìn)行實(shí)現(xiàn).

DDoS攻擊；樸素貝葉斯分類(lèi)算法；特征數(shù)據(jù)；正態(tài)分布函數(shù)；檢測(cè)模型

分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊，是通過(guò)大量合法的請(qǐng)求，占用大量的網(wǎng)絡(luò)資源，使受害主機(jī)或網(wǎng)絡(luò)不能及時(shí)接收并回應(yīng)外界請(qǐng)求，以達(dá)到使網(wǎng)絡(luò)癱瘓的目的. DDoS攻擊容易實(shí)現(xiàn)且難以防范，它是一種在所有針對(duì)Internet攻擊中，非常常見(jiàn)的攻擊方式.DDoS攻擊已經(jīng)是當(dāng)前網(wǎng)絡(luò)安全所面臨的最嚴(yán)峻的威脅之一［1-3］.

2013年3月，Spamhaus、CloudFlare遭到攻擊，攻擊流量峰值達(dá)到每秒300 Gbit，“差點(diǎn)癱瘓歐洲網(wǎng)絡(luò)”；2014年2月，受攻擊對(duì)象為CloudFlare客戶，據(jù)稱當(dāng)時(shí)包括維基解密在內(nèi)的78.5萬(wàn)個(gè)網(wǎng)站安全服務(wù)受到影響；2014年12月，阿里云在微博上發(fā)布一則聲明，稱部署在阿里云上的某知名游戲公司，遭遇了全球互聯(lián)網(wǎng)史上最大的一次DDoS攻擊，其攻擊流量峰值達(dá)到每秒453.8Gbit［4］.

就現(xiàn)今的網(wǎng)絡(luò)狀況而言，世界的每一個(gè)角落都有可能受到DDoS攻擊，但是只要盡可能進(jìn)行分析和研究［5］，檢測(cè)到這種攻擊并且作出反應(yīng)，損失就能夠減到最小程度.對(duì)于DDoS攻擊采取相應(yīng)的檢測(cè)和防范措施，也將有助于全球網(wǎng)絡(luò)安全體系的建立.

目前許多防火墻安全系統(tǒng)采用的DDoS攻擊檢測(cè)方式仍是傳統(tǒng)的選取經(jīng)驗(yàn)值的方法，由于直接取值而未對(duì)服務(wù)器實(shí)際承載量作出準(zhǔn)確判斷，經(jīng)常會(huì)出現(xiàn)判斷失誤的情況.為了使檢測(cè)更具有針對(duì)性，提高判斷的準(zhǔn)確率，提出一種智能化檢測(cè)模型的設(shè)計(jì).通過(guò)分析DDoS攻擊原理，結(jié)合服務(wù)器的特征數(shù)據(jù)，運(yùn)用樸素貝葉斯分類(lèi)算法，設(shè)計(jì)出DDoS攻擊檢測(cè)模型.經(jīng)MATLAB仿真測(cè)試成功后，利用C＋＋語(yǔ)言編寫(xiě)出模型實(shí)現(xiàn)代碼.

1 DDoS攻擊原理

DDoS攻擊網(wǎng)絡(luò)［6-8］主要分為4個(gè)部分，分別為攻擊者、攻擊主控機(jī)、攻擊執(zhí)行機(jī)及受害者，如圖1所示.

圖1 DDoS攻擊示意圖Fig.1 Schematic diagram of DDoSattacks

攻擊者首先入侵存在系統(tǒng)服務(wù)安全漏洞的服務(wù)器或計(jì)算機(jī)，并安裝相關(guān)攻擊軟件，將少量機(jī)器作為攻擊主控機(jī)，大量機(jī)器作為攻擊執(zhí)行機(jī).執(zhí)行攻擊任務(wù)時(shí)，攻擊者首先通過(guò)控制攻擊主控機(jī)，向其發(fā)布攻擊命令；攻擊主控機(jī)再控制攻擊執(zhí)行機(jī)，使其發(fā)出攻擊數(shù)據(jù)包.在攻擊者向攻擊主控機(jī)發(fā)布攻擊命令后，攻擊者可關(guān)閉或脫離網(wǎng)絡(luò)，以避免追蹤.

2 基于樸素貝葉斯算法的DDoS攻擊檢測(cè)模型設(shè)計(jì)

2.1 樸素貝葉斯分類(lèi)算法

樸素貝葉斯分類(lèi)算法［9-10］，其分類(lèi)原理是通過(guò)某對(duì)象的先驗(yàn)概率，利用貝葉斯公式計(jì)算出其后驗(yàn)概率，即該對(duì)象屬于某一類(lèi)的概率，然后選擇具有最大后驗(yàn)概率的類(lèi)作為該對(duì)象所屬的類(lèi).樸素貝葉斯分類(lèi)算法是最小錯(cuò)誤率意義上的優(yōu)化.

2.1.1 貝葉斯公式設(shè)A，B是兩個(gè)隨機(jī)事件且P（A）＞0，稱P（B|A）=P（AB）/P（A）為在條件A下，事件B發(fā)生的條件概率.同理，P（A|B）=P（AB）/P（B）為在條件B下，事件A發(fā)生的條件概率.則聯(lián)合概率［11］為

設(shè)S為某一實(shí)驗(yàn)E的樣本空間，B1，B2，…，Bn為E的一組事件，若BiBj=Ф（即Bi，Bj是相互獨(dú)立的），i=1，2，…，n，j=1，2，…，n；但i和j不同時(shí)取同一個(gè)值.B1∪B2∪…∪Bn則稱B1，B2，…Bn為樣本空間S的一個(gè)劃分.現(xiàn)存在A為E的事件，B1，B2，…Bn為E的樣本空間S的一個(gè)劃分，且P（Bi）＞0（i=1，2，…n），則有全概率公式：

根據(jù)聯(lián)合概率公式（1）及全概率公式（2）推導(dǎo)而知：

并且得到貝葉斯公式［12，13］：

P（Bi）表示事件Bi發(fā)生的概率；P（A）表示事件A發(fā)生的概率；P（A|Bi）表示在事件發(fā)生的情況下，事件A發(fā)生的概率.P（Bi）、P（A）為已知的先驗(yàn)概率，P（A|Bi）為條件概率.P（Bi|A）表示在事件A發(fā)生的情況下，事件Bi發(fā)生的概率，P（Bi|A）為需要求取的后驗(yàn)概率.

2.1.2 樸素貝葉斯分類(lèi)器設(shè)計(jì)運(yùn)用樸素貝葉斯分類(lèi)器［14］的一個(gè)前提條件是，假設(shè)事件分類(lèi)或條件之間的關(guān)系相互獨(dú)立.

在設(shè)計(jì)樸素貝葉斯分類(lèi)器時(shí)，考慮到事件A包含許多獨(dú)立性特征A1，A2，…，Am，由概率公式：

及貝葉斯公式（4）得：

利用此公式，可分別求得后驗(yàn)概率P（B1|A），P（B2|A），…，P（Bn|A）的值.選擇具有最高概率的值，判斷在事件A發(fā)生的情況下，哪一個(gè)事件Bi最可能發(fā)生，并作出相應(yīng)的歸類(lèi)決策.

在實(shí)際使用中，由于對(duì)比時(shí)，分母P（A）為相同值，則在計(jì)算中也可省略除法步驟，在不影響結(jié)果的前提下簡(jiǎn)化計(jì)算.后驗(yàn)概率公式可簡(jiǎn)化后運(yùn)用于計(jì)算中：

某個(gè)服務(wù)器某時(shí)刻的特征及參數(shù)如表1所示.

由于網(wǎng)絡(luò)占用率、TCP鏈接數(shù)、TCP鏈接數(shù)的增長(zhǎng)率等皆為連續(xù)變量.無(wú)法采用離散變量的方式來(lái)計(jì)算概率.可假設(shè)5種特征數(shù)據(jù)都為正態(tài)分布，利用樣本計(jì)算出均值及其方差，從而得到正態(tài)分布的密度函數(shù).根據(jù)密度函數(shù)，可算出某點(diǎn)的密度函數(shù)的值，即條件概率值.

表1 服務(wù)器參數(shù)Tab.1 Datasof Server

在服務(wù)器受到攻擊的情況下，其網(wǎng)絡(luò)占用率呈正態(tài)分布，期望值為μ=0.92，方差為σ2=0.8.當(dāng)網(wǎng)絡(luò)占用率為0.95時(shí)，其條件概率約為0.795 3.

如此，在服務(wù)器是否受攻擊情況下，通過(guò)事先計(jì)算出5種特征量的條件概率，結(jié)合是否受到攻擊的先驗(yàn)概率，再利用貝葉斯公式得出后驗(yàn)概率，對(duì)服務(wù)器是否受到攻擊作出判斷.

P（受到攻擊|網(wǎng)絡(luò)占用率，TCP鏈接數(shù)，…，內(nèi)存占用率）

=P（網(wǎng)絡(luò)占用率|受到攻擊）…P（內(nèi)存占用率|受到攻擊）P（受到攻擊）

P（未受攻擊|網(wǎng)絡(luò)占用率，TCP鏈接數(shù)，…，內(nèi)存占用率）

=P（網(wǎng)絡(luò)占用率|未受攻擊）…P（內(nèi)存占用率|未受攻擊）P（未受攻擊）

最后，比較P（受到攻擊|網(wǎng)絡(luò)占用率，TCP鏈接數(shù)，…，內(nèi)存占用率）與P（未受攻擊|網(wǎng)絡(luò)占用率，TCP鏈接數(shù)，…，內(nèi)存占用率）的大小，選擇概率較高的值作出分類(lèi)決策.

樸素貝葉斯分類(lèi)器的設(shè)計(jì)主要分為3個(gè)步驟：

1）收集并提取有效數(shù)據(jù)：有效數(shù)據(jù)的選取對(duì)于算法的訓(xùn)練非常重要.利用抓包工具及數(shù)據(jù)抓取程序獲取多組特征數(shù)據(jù)，選取的數(shù)據(jù)包含受攻擊狀態(tài)量和未受攻擊狀態(tài)量，并進(jìn)行屬性的分類(lèi)標(biāo)記.然后對(duì)數(shù)據(jù)進(jìn)行適當(dāng)選擇，選出5種有效的特征數(shù)據(jù).

2）訓(xùn)練數(shù)據(jù)：隨機(jī)提取部分所標(biāo)記的多組5種特征數(shù)據(jù)，分別計(jì)算出在受到攻擊與未受攻擊分類(lèi)下，此5種獨(dú)立特征參數(shù)的各條件概率.

3）分類(lèi)測(cè)試：選擇未參與訓(xùn)練的數(shù)據(jù)進(jìn)行測(cè)試，得出后驗(yàn)概率，以獲得這些數(shù)據(jù)的分類(lèi)結(jié)果.統(tǒng)計(jì)并計(jì)算出錯(cuò)誤率，驗(yàn)證算法的準(zhǔn)確性.

2.2 DDoS攻擊檢測(cè)模型設(shè)計(jì)

DDoS攻擊檢測(cè)模型的設(shè)計(jì)流程如圖2所示.

對(duì)不同情況下的數(shù)據(jù)包進(jìn)行分類(lèi)標(biāo)記后，提取有效數(shù)據(jù)并對(duì)數(shù)據(jù)進(jìn)行正態(tài)分布擬合［15-16］，得到各特征數(shù)據(jù)的條件概率.再結(jié)合得到的先驗(yàn)概率，利用樸素貝葉斯分類(lèi)算法進(jìn)行分類(lèi)測(cè)試.得到測(cè)試數(shù)據(jù)被分為受攻擊與未受攻擊的后驗(yàn)概率后，比較其大小并得出判斷結(jié)果，即服務(wù)器是否受到攻擊，再將分類(lèi)結(jié)果與實(shí)際值做比較.若測(cè)試結(jié)果未能達(dá)到要求，則重新提取并選擇數(shù)據(jù)，確保所選擇數(shù)據(jù)的有效性，再次進(jìn)行訓(xùn)練；若測(cè)試結(jié)果達(dá)到預(yù)期要求，則此DDoS攻擊檢測(cè)模型設(shè)計(jì)基本成功.基于目標(biāo)服務(wù)器在受到DDoS攻擊時(shí)的數(shù)據(jù)表現(xiàn)，選擇數(shù)據(jù)變化較為明顯的網(wǎng)絡(luò)占用率、TCP連接數(shù)、TCP鏈接數(shù)的增長(zhǎng)率、CPU占用率、內(nèi)存占用率等5種特征數(shù)據(jù)作為有效數(shù)據(jù).一共選取600組樣本數(shù)據(jù)包，其中既包含受攻擊狀態(tài)下的數(shù)據(jù)，也包括未受攻擊狀態(tài)下的數(shù)據(jù)；對(duì)應(yīng)于選取的5種特征數(shù)據(jù)，受攻擊情況下樣本分類(lèi)標(biāo)記為1，未受攻擊情況下樣本分類(lèi)標(biāo)記為2.若利用向量的形式表示出來(lái)，即形成一個(gè)600行（600組樣本數(shù)據(jù)），6列（前5列為數(shù)據(jù)特征值，第6列為樣本分類(lèi)）的二維向量.隨機(jī)選擇其中500組樣本數(shù)據(jù)作為訓(xùn)練量，剩余100組樣本數(shù)據(jù)為測(cè)試量，利用正態(tài)分布函數(shù)擬合樣本數(shù)據(jù)的分布情況.

由于樣本中5種特征數(shù)據(jù)的取值范圍分布不均，在計(jì)算中可能會(huì)出現(xiàn)偏差較大或數(shù)據(jù)溢出的情形，所以得到各特征量的條件概率后，進(jìn)行取對(duì)數(shù)值的平滑處理，以減小誤差、方便計(jì)算.

圖2 DDoS攻擊檢測(cè)模型設(shè)計(jì)流程圖Fig.2 Design flowchartof DDoSattacks detectionmodel

3 MATLAB仿真及C＋＋代碼測(cè)試

3.1 MATLAB仿真實(shí)驗(yàn)

在實(shí)際編寫(xiě)DDoS攻擊檢測(cè)模型的C＋＋代碼前，首先利用MATLAB仿真平臺(tái)進(jìn)行仿真實(shí)驗(yàn)的驗(yàn)證.經(jīng)過(guò)隨機(jī)取得數(shù)據(jù)的訓(xùn)練，得出條件概率后，利用余下數(shù)據(jù)進(jìn)行測(cè)試，求出所設(shè)計(jì)模型的準(zhǔn)確率.

采用MATLAB仿真得到DDoS攻擊檢測(cè)模型如圖3所示.

圖3中，橫坐標(biāo)表示受測(cè)試的數(shù)據(jù)有100組；縱坐標(biāo)表明樣本數(shù)據(jù)的分類(lèi)屬性，在縱坐標(biāo)1.0處表示受到DDOS攻擊，在縱坐標(biāo)2.0處表示未受DDOS攻擊.圖標(biāo)“○”代表的是測(cè)試樣本的真實(shí)分類(lèi)情況，圖標(biāo)“·”則代表經(jīng)樸素貝葉斯分類(lèi)后得出的樣本的預(yù)測(cè)分類(lèi)情況.若“○”與“·”重合，則表明此組樣本分類(lèi)是準(zhǔn)確的.經(jīng)多次仿真測(cè)試，對(duì)于是否受到攻擊，最終測(cè)得的準(zhǔn)確率都在90%以上，基本滿足設(shè)計(jì)要求。

圖3 DDoS攻擊檢測(cè)模型仿真圖Fig.3 Simulation diagram of DDoSattacks detectionmodel

3.2 C＋＋代碼及測(cè)試結(jié)果

DDoS攻擊檢測(cè)模型主要C＋＋函數(shù)代碼介紹：

GetData（）；//獲取樣本文件中的特征數(shù)據(jù)及分類(lèi)

TrainData（）；//對(duì)樣本中的數(shù)據(jù)利用正態(tài)分布函數(shù)進(jìn)行擬合，得到各個(gè)特征量的條件概率

Test（）；//通過(guò)取對(duì)數(shù)的方式使數(shù)據(jù)平滑后，利用樸素貝葉斯分類(lèi)方法對(duì)訓(xùn)練結(jié)果進(jìn)行分類(lèi)測(cè)試部分測(cè)試結(jié)果如示意圖4和圖5所示.

圖4 判斷受到攻擊Fig.4 Judgmentofbeing attacked

圖5 判斷未受攻擊Fig.5 Judgmentofnotbeingattacked

4 結(jié)語(yǔ)

筆者采用樸素貝葉斯算法設(shè)計(jì)了DDoS攻擊檢測(cè)模型，在設(shè)計(jì)過(guò)程中，省略了各個(gè)特征量之間相互獨(dú)立這一條件.經(jīng)過(guò)仿真測(cè)試，仍取得了較好的實(shí)驗(yàn)效果.此DDoS攻擊檢測(cè)模型可作為一個(gè)模塊，嵌入到防火墻系統(tǒng)中.根據(jù)服務(wù)器的實(shí)際承載情況，對(duì)其是否受DDoS攻擊進(jìn)行有針對(duì)性的分類(lèi).并配合其他安全防護(hù)模塊使用，以實(shí)現(xiàn)對(duì)服務(wù)器的有效保護(hù).

［1］張永錚，肖軍，云曉春，等.DDoS攻擊檢測(cè)和控制方法［J］.軟件學(xué)報(bào)，2012，23（8）：2058-2072.

ZHANG Y Z，XIAO J，YUN X C，et al.DDoS attacks detection and control mechanisms［J］.Journal of Software，2012，23（8）：2058-2072.

［2］劉敏霞，余杰，李強(qiáng)，等.基于P2P系統(tǒng)的DDoS攻擊及其防御技術(shù)研究綜述［J］.計(jì)算機(jī)應(yīng)用研究，2011，28（5）：1609-1613.

LIU M X，YU J，LI Q，et al.Research on P2P-based DDOS attacks and their defense mechanism［J］. Application Research of Computers，2011，28（5）：1609-1613.

［3］徐琳.應(yīng)用層DDoS攻擊防御與檢測(cè)方法［D］.上海：上海交通大學(xué)，2012.

［4］聚趣庫(kù).揭秘DDoS黑市：50塊錢(qián)就能擊癱一家網(wǎng)站［EB/OL］.（2014-12-29）［2016-06-20］.http：//www.vccoo. com/v/1ee99a.

［5］嚴(yán)芬，王佳佳，趙金鳳，等.DdoS攻擊檢測(cè)綜述［J］.計(jì)算機(jī)應(yīng)用研究，2008，25（4）：966-969.

YAN F，WANG JJ，ZHAO JF，etal.Survey of detection on DDoSattack［J］.Application Research ofComputers，2008，25（4）：966-969.

［6］張錦平.DDoS攻擊檢測(cè)及響應(yīng)技術(shù)的研究［D］.秦皇島：燕山大學(xué)，2012.

［7］池水明，周蘇杭.DDoS攻擊防御技術(shù)研究［J］.信息網(wǎng)絡(luò)安全，2012，27（5）：27-31.

CH I S M，ZHOU S H.Research on defend against DDoSattacks［J］.Netinfo Security，2012，27（5）：27-31.

［8］梁海軍.基于DDoS攻擊的服務(wù)器擁塞控制研究［J］.計(jì)算機(jī)與現(xiàn)代化，2009，25（3）：100-102.

LIANG H J.Research on jammed server control based on DDoS attacking［J］.Computer and Modernization，2009，25（3）：100-102.

［9］張亞萍，陳得寶，侯俊欽.基于EM的樸素貝葉斯分類(lèi)算法［J］.宿州學(xué)院學(xué)報(bào)，2010，25（11）：12-13.

ZHANG Y P，CHEN D B，HOU J Q.Naive bayesian classification based on EM algorithm［J］.Journal of Suzhou College，2010，25（11）：12-13.

［10］孫中華，蔣斌，賈克斌.基于樸素貝葉斯分類(lèi)的路面積雪狀態(tài)檢測(cè)［J］.吉林大學(xué)學(xué)報(bào)（工學(xué)版），2013，43（增刊1）：380-383.

SUN Z H，JIANG B，JIA K B.Detection of the road snow coverage status based on naive bayesian classifier［J］.Journal of Jilin University（Engineering and Technology Edition），2013，43（Suppl.1）：380-383.

［11］盛驟，謝式千，潘承毅.概率論與數(shù)理統(tǒng)計(jì)［M］.第4版.北京：高等教育出版社，2008：17-23.

［12］王陽(yáng)，李連發(fā).空間貝葉斯分類(lèi)器并行化［J］.地理與地理信息科學(xué)，2013，29（4）：47-51.

WANG Y，LIL F.A Parallel bayesian classifier［J］. Geography and Geo-information Science，2013，29（4）：47-51.

［13］王雙成，杜瑞杰，劉穎.連續(xù)屬性完全貝葉斯分類(lèi)器的學(xué)習(xí)與優(yōu)化［J］.計(jì)算機(jī)學(xué)報(bào)，2012，35（10）：2129-2138.

WANG S C，DU R J，LIU Y.The learning and optim ization of full bayes classifiers with continuous attributes［J］.Chinese Journal of Computers，2012，35（10）：2129-2138.

［14］王國(guó)才.樸素貝葉斯分類(lèi)器的研究與應(yīng)用［D］.重慶：重慶交通大學(xué)，2010.

［15］吳江霞.正態(tài)分布進(jìn)入統(tǒng)計(jì)學(xué)的歷史演化［D］.石家莊：河北師范大學(xué)，2008.

［16］汪新凡，肖滿生.基于正態(tài)分布區(qū)間數(shù)的信息不完全的群決策方法［J］.控制與決策，2010，25（10）：1494-1498.

WANG X F，XIAO M S.Approach of group decision making based on normal distribution interval number with incomp lete information［J］.Control and Decision，2010，25（10）：1494-1498.

本文編輯：陳小平

Design of A ttacks Detection M odelof Distributed Denialof Service

HU Zhonggong，CHENG Siting，SHEN Bin，CHEN Aijie
Schoolof Electricaland Information Engneering，Wuhan Institute of Technology，W uhan 430205，China

To effectively detectwhether the server was attacked by distributed denial of service（DDoS），we designed a DDoSattacks detection model based on the naive Bias classification algorithm.Firstly，five kinds of data with obviously changed characteristic in DDoS attacks，which were obtained from the large number of server data packets，were chosen as the basic parameters and divided into two categories of being attacked or not.Then，the conditional probability of each characteristic was calculated by using normal distribution function to fit the characteristic parameters.Finally，whether the server was attacked or not by DDoS was judged by comparing the two posterior probabilities of the selected test data based on the Bayesian formula.The model established by C＋＋code ensures the effective detection of DDoS attacks with higher accuracy via the MATLAB simulation experiments.

DDoS attacks；naive Bayes classification algorithm；feature data；normal distribution function；detectionmodel

TP309

：Adoi：10.3969/j.issn.1674?2869.2017.01.016

1674-2869（2017）01-0091-05

2016-06-27

胡中功，碩士，教授.E-mail：hhyjs2004@163.com

胡中功，程思婷，沈斌，等.DDoS攻擊檢測(cè)模型的設(shè)計(jì)［J］.武漢工程大學(xué)學(xué)報(bào)，2017，39（1）：91-95. HU ZG，CHENG ST，SHEN B，etal.Design ofattacks detectionmodelof distributed denialof service［J］.Journal ofWuhan Institute of Technology，2017，39（1）：91-95.