基于ANN與KPCA的LDoS攻擊檢測方法

吳志軍，劉亮，岳猛

（中國民航大學(xué)電子信息與自動化學(xué)院，天津 300300）

1 引言

低速率拒絕服務(wù)（LDoS, low-rate denial of service）攻擊是一種新型的DoS形式[1]。它利用網(wǎng)絡(luò)系統(tǒng)自適應(yīng)機(jī)制中存在的漏洞，產(chǎn)生較低速率的攻擊流量。在LDoS攻擊期間，具有固定周期高速率的短脈沖攻擊分組以很短的間隔被發(fā)送到受害端。這種攻擊方式雖然無法使網(wǎng)絡(luò)鏈路完全癱瘓，但是其低能耗會造成網(wǎng)絡(luò)的虛假擁塞，對客戶端及服務(wù)器的鏈接質(zhì)量造成嚴(yán)重破壞，使服務(wù)端無法正常為用戶提供服務(wù)，導(dǎo)致TCP連接質(zhì)量大幅度下降。據(jù)統(tǒng)計(jì)，網(wǎng)絡(luò)中 80%以上的流量是 TCP流量。因此，LDoS攻擊具有巨大的潛在威脅[1]。LDoS攻擊的平均速率低，并且完全混合在網(wǎng)絡(luò)數(shù)據(jù)流中，不易與正常數(shù)據(jù)流量區(qū)分[2]。因此，傳統(tǒng)的網(wǎng)絡(luò)惡意流量檢測方法難以見效。

在對LDoS攻擊的檢測處理上，目前，普遍采用信號處理與網(wǎng)絡(luò)流量數(shù)據(jù)處理相結(jié)合的方法[3]，即將信號處理算法用于提取出的網(wǎng)絡(luò)特征中，這種方法對提高檢測準(zhǔn)確度有很大幫助。然而，信號處理方法由于其自身處理數(shù)據(jù)量小的問題顯然無法應(yīng)對當(dāng)前網(wǎng)絡(luò)大數(shù)據(jù)的環(huán)境以及DDoS攻擊的廣泛性。因此，根據(jù)已有的特征與檢測算法相結(jié)合的經(jīng)驗(yàn)，提出一種應(yīng)用隊(duì)列特征的基于核的主成分分析與神經(jīng)網(wǎng)絡(luò)相結(jié)合的方法實(shí)現(xiàn)LDoS攻擊檢測。數(shù)據(jù)挖掘算法可以增大數(shù)據(jù)處理量，對加快運(yùn)算速度及實(shí)時(shí)處理數(shù)據(jù)也有很大幫助。

2 相關(guān)工作

由于LDoS攻擊能隱藏在正常網(wǎng)絡(luò)流量中，很難將遭受LDoS攻擊后的網(wǎng)絡(luò)流量劃分為攻擊與正常流量，因此，其檢測和防御一直是網(wǎng)絡(luò)安全領(lǐng)域中研究的熱點(diǎn)和難點(diǎn)。許多專家學(xué)者在攻擊流量、TCP特征等多個(gè)方面進(jìn)行了深入的研究，并根據(jù)不同的特征提出了多種檢測算法[1,3]。其中，最為普遍的是基于信號處理的LDoS攻擊檢測方法，這種方法是將LDoS攻擊流量進(jìn)行抽樣，在時(shí)/頻域?qū)Τ闃有蛄薪y(tǒng)計(jì)分析，進(jìn)而對得到異于正常流量的特征加以區(qū)分[4]。文獻(xiàn)[5]首先提出頻域檢測LDoS攻擊的方法，將采樣序列自相關(guān)后經(jīng)離散傅里葉變換后得到功率譜密度，再將歸一化功率譜密度作為檢測特征進(jìn)行檢測。文獻(xiàn)[6]依據(jù)LDoS攻擊周期性脈沖突發(fā)特點(diǎn)，設(shè)計(jì)實(shí)現(xiàn)了一種基于小波特征提取的LDoS攻擊檢測系統(tǒng)，將分組數(shù)目作為檢測對象，利用小波變換和神經(jīng)網(wǎng)絡(luò)的泛化能力提取多個(gè)特征并形成分類器，進(jìn)行綜合診斷。這類基于信號處理的方法檢測率高，但是有一些缺陷。首先，信號處理技術(shù)一般是粗粒度的檢測，只能在一段時(shí)間后抽樣檢測LDoS攻擊，不能區(qū)分每個(gè)脈沖；其次，這些方法只能分析未到的或發(fā)生過的流量，目前，已有學(xué)者研究出可以通過隱藏已知的流量特征來躲避已有的檢測方法的攻擊模型；第三，這類方法雖然根據(jù)流量進(jìn)行特征檢測，但仍然不能區(qū)分正常與攻擊流量，只能根據(jù)特征判斷異常與正常的狀態(tài)，并且信號處理的方法要求數(shù)據(jù)采樣速率與分組傳輸速率相匹配，才能得到良好的檢測效果，這使該技術(shù)在高速率低延時(shí)的網(wǎng)絡(luò)環(huán)境下難以保證實(shí)時(shí)性。信號處理技術(shù)并不能檢測所有的 LDoS攻擊模型，文獻(xiàn)[7]提出了一種基于隨機(jī)游走算法建模的 LDoS攻擊，該攻擊可以很好地繞過頻域檢測階段。因此基于信號處理技術(shù)的檢測算法對于真實(shí)環(huán)境下檢測及過濾LDoS攻擊不夠完善，要實(shí)現(xiàn)硬件檢測LDoS攻擊，需要在攻擊進(jìn)入路由器階段進(jìn)行檢測。文獻(xiàn)[8]研究了基于緩存區(qū)隊(duì)列平均長度（ASPQ, average size of packet queue）的LDoS攻擊檢測方法，利用平均隊(duì)列分組長度分析攻擊分組在隊(duì)列的占有比例和攻擊大小與攻擊效果的關(guān)系提出了ASPQ值，并以此為依據(jù)在路由器端檢測出LDoS攻擊。文獻(xiàn)[9～13]都提出了基于AQM機(jī)制的LDoS攻擊防御方法，其核心思想都是通過改進(jìn)AQM算法過濾LDoS攻擊分組或?qū)掃M(jìn)行重新分配來保護(hù) TCP資源?；诼酚善魈卣鞯臋z測和防御方法一般具有計(jì)算量小、實(shí)時(shí)性好、容易實(shí)現(xiàn)的優(yōu)點(diǎn)。

在路由器方面，使用最多的主動隊(duì)列管理（AQM, active queue management）算法有隨機(jī)早期檢測（RED, random early detection）、自適應(yīng)隨機(jī)早期檢測（ARED, adaptive random early detection）、平穩(wěn)隨機(jī)早期檢測（SRED, stabilized random early detection）和 BLUE算法[3]。雖然這些算法能有效控制路由器丟失分組，但是大多數(shù)沒有網(wǎng)絡(luò)攻擊的頑健性。文獻(xiàn)[14～16]指出，RED 算法將路由器平均隊(duì)列長度作為決定啟動擁塞控制機(jī)制的隨機(jī)函數(shù)的參數(shù)，增加了在隊(duì)列長度變得太大之前平滑瞬時(shí)擁塞的可能性，減少了多個(gè)流同時(shí)受分組丟棄影響的可能性，是目前最普遍的路由器主動隊(duì)列管理算法。同時(shí)，RED及其衍生算法對于LDoS攻擊非常脆弱[12]。本文基于 RED隊(duì)列算法提出了一種隊(duì)列特征，即利用平均隊(duì)列和瞬時(shí)隊(duì)列來表征 LDoS攻擊和正常狀態(tài)，并以此為依據(jù)檢測LDoS攻擊。研究發(fā)現(xiàn)，應(yīng)用于非線性的KPCA算法可較好地處理瞬時(shí)和平均隊(duì)列，并從中提取出特征向量，再利用神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)高性能的檢測（KPCA網(wǎng)絡(luò)）。文獻(xiàn)[17]運(yùn)用KPCA-SVM方法來檢測網(wǎng)絡(luò)攻擊，其中，檢測率達(dá)到97.2%，但是其無法檢測隱藏在流量中的低速率攻擊。文獻(xiàn)[18]提出使用自適應(yīng)的KPCA方法檢測LDoS攻擊的流量，檢測率達(dá)到99%[18]，說明 KPCA算法在檢測 LDoS攻擊時(shí)有很高的檢測率，但是其是針對流量特征的自適應(yīng)算法，不適用于隊(duì)列特征。文獻(xiàn)[19]提出基于擁塞參與度的LDDoS攻擊檢測及過濾方法，并通過數(shù)據(jù)證明在路由器方面計(jì)算擁塞參與度可以高效地檢測及過濾LDDoS攻擊。同理，利用路由器隊(duì)列檢測LDoS攻擊也應(yīng)該達(dá)到較好的效果。因此，本文利用KPCA算法提取隊(duì)列特征，采用人工神經(jīng)網(wǎng)絡(luò)進(jìn)行檢測，這種方法既利用了KPCA對復(fù)雜特征優(yōu)化處理的能力，又能結(jié)合ANN的準(zhǔn)確性與實(shí)時(shí)性對攻擊進(jìn)行檢測，提高了算法的處理能力與效率。

3 基于ANN與KPCA的攻擊檢測方法

在開展LDoS攻擊對RED隊(duì)列造成影響的研究中發(fā)現(xiàn)，瞬時(shí)隊(duì)列在LDoS攻擊期間波動很大，并且其平均隊(duì)列也會劇烈變化，特別是以瞬時(shí)隊(duì)列作為測量尺度表示平均隊(duì)列時(shí)，這種變化更為明顯。這種在LDoS攻擊期間RED隊(duì)列的變化是檢測LDoS攻擊的基礎(chǔ)。因此，通過抽樣提取隊(duì)列變化特征，利用KPCA算法對隊(duì)列特征降維，采用實(shí)時(shí)性較強(qiáng)的機(jī)器學(xué)習(xí)算法進(jìn)行檢測。檢測方法如圖1所示。

在圖1中，首先，對LDoS攻擊進(jìn)行建模，利用LDoS攻擊工具產(chǎn)生攻擊流量，攻擊正常網(wǎng)絡(luò)；然后，對瞬時(shí)隊(duì)列與平均隊(duì)列分別進(jìn)行采樣，將樣本作為KPCA的輸入數(shù)據(jù)進(jìn)行特征分析，輸出特征向量作為 BP神經(jīng)網(wǎng)絡(luò)的訓(xùn)練數(shù)據(jù)與測試數(shù)據(jù)，形成分類器；最后，實(shí)時(shí)檢測LDoS攻擊，并對檢測性能進(jìn)行評估。

3.1 LDoS攻擊下的路由器隊(duì)列特征

RED算法對LDoS攻擊的防范能力非常脆弱，在采用RED算法的路由器遭受LDoS攻擊時(shí)，其瞬時(shí)路由器隊(duì)列會在攻擊期間表現(xiàn)出巨大的波動，平均隊(duì)列隨著瞬時(shí)隊(duì)列的波動產(chǎn)生衍生變化[8]。因此，本文基于RED隊(duì)列進(jìn)行實(shí)驗(yàn)并采集所需特征。RED算法的思想是根據(jù)平均隊(duì)列長度來進(jìn)行擁塞控制避免擁塞，平均隊(duì)列的計(jì)算方法為指數(shù)加權(quán)（EWMA ,exponentially weighted moving average）[20]，即其中，Q(n)為平均隊(duì)列大?。籷為瞬時(shí)隊(duì)列大?。籛為權(quán)值。正常情況下，RED監(jiān)視平均隊(duì)列的長度，當(dāng)擁塞發(fā)生時(shí)隨機(jī)丟失分組。

在實(shí)際情況中，RED只有當(dāng)新的數(shù)據(jù)分組到達(dá)時(shí)才會重新計(jì)算平均隊(duì)列。當(dāng)擁塞發(fā)生時(shí)如果平均隊(duì)列長度很大，由于擁塞控制沒有新的數(shù)據(jù)分組到達(dá)，此時(shí)，瞬時(shí)隊(duì)列是空的[21]。擁塞發(fā)生后，當(dāng)新的數(shù)據(jù)分組到達(dá)時(shí)，如果仍然按照式(1)計(jì)算平均隊(duì)列大小，則平均隊(duì)列的下降率是緩慢的，將導(dǎo)致短期的分組高丟失率。因此，式(1)就不再適合這種情況。理想條件下，當(dāng)數(shù)據(jù)分組進(jìn)入隊(duì)列時(shí)，瞬時(shí)隊(duì)列是空的。當(dāng)數(shù)據(jù)分組已到達(dá)隊(duì)列大小為0的路由器時(shí)，RED通過式(2)計(jì)算平均隊(duì)列大小，即

其中，t為當(dāng)前統(tǒng)計(jì)時(shí)間；q_e為隊(duì)列空閑的開始時(shí)間；ta為小分組特定的傳輸時(shí)間。由于瞬時(shí)隊(duì)列是空的，式(2)使平均隊(duì)列劇烈下降。

LDoS攻擊的目的是使隊(duì)列擁塞，迫使 TCP 降低擁塞窗口，事實(shí)上，LDoS攻擊可以看作反饋控制的過程，如圖2所示。

圖2 反饋控制機(jī)制

在圖2中，高速率的LDoS脈沖流攻擊路由器，使其平均隊(duì)列長度迅速增加，造成大量合法TCP丟失分組。因此，RED算法通過反饋機(jī)制向合法的TCP發(fā)送者傳遞擁塞信號。TCP發(fā)送者隨即減小擁塞窗口（CWNDS, congestion windows）降低發(fā)送速率，甚至在2個(gè)攻擊脈沖之間的空閑時(shí)間進(jìn)入超時(shí)重傳狀態(tài)[16]。在這種情況下，路由器的瞬時(shí)隊(duì)列的大小迅速降低甚至變?yōu)榭?，?dǎo)致路由器的平均隊(duì)列減少[21]。因此，RED機(jī)制逐漸降低分組丟失率，同時(shí)，TCP端超時(shí)重發(fā)數(shù)據(jù)分組狀態(tài)逐漸恢復(fù)。TCP發(fā)送端的擁塞窗口會經(jīng)歷慢啟動和加性增加乘性減少（AIMD, additive increase multiplicative decrease）的過程導(dǎo)致路由器隊(duì)列的增加[20]。一旦路由器緩沖區(qū)被塞滿，下一個(gè)攻擊脈沖將會導(dǎo)致出現(xiàn)如上所述的擁塞過程。而網(wǎng)絡(luò)中隨機(jī)突發(fā)的流量變化由于其時(shí)間參數(shù)與LDoS攻擊參數(shù)不同，不會對隊(duì)列產(chǎn)生上述影響。

圖1 ANN與KPCA結(jié)合的LDoS攻擊檢測方法

在LDoS攻擊期間，平均和瞬時(shí)隊(duì)列長度表現(xiàn)出異常特征，瞬時(shí)隊(duì)列的波動導(dǎo)致平均隊(duì)列的劇烈波動。因此，提取平均隊(duì)列與瞬時(shí)隊(duì)列相結(jié)合的特征作為樣本進(jìn)行LDoS攻擊的檢測，同時(shí)提出了一種降維處理與神經(jīng)網(wǎng)絡(luò)相結(jié)合的方式，即KPCA聚類方法與神經(jīng)網(wǎng)絡(luò)相結(jié)合（KPCA網(wǎng)絡(luò)），可以更好地檢測非線性數(shù)據(jù)，對于隊(duì)列特征的檢測率較高。

3.2 基于隊(duì)列特征的KPCA分析

PCA主要是利用較少的綜合指標(biāo)代替原來較多的指標(biāo)，即將給定的數(shù)據(jù)矩陣xm×n由歸于中心的樣本{ei}構(gòu)成。其中，ei∈R，PCA通過式(3)將輸入數(shù)據(jù)矢量ei轉(zhuǎn)換為新的矢量，即

其中，U為正交陣，其第i列Ui是協(xié)方差矩陣C的第i個(gè)特征矢量，進(jìn)行如式(4)所示的變換。

其中，Li是C的一個(gè)特征值，ui是相應(yīng)的特征矢量。當(dāng)僅利用前面的p個(gè)特征矢量U，得到正交矩陣S=UTX。新的分量S稱為主分量。當(dāng)只使用前面的幾個(gè)特征矢量時(shí)，S中主分量的個(gè)數(shù)將減少，因此，PCA處理高階問題的效果不明顯。PCA為線性映射方法，該方法的局限性比較大，它忽視了數(shù)據(jù)之間高于2階的相互關(guān)系，對于非線性及多維的數(shù)據(jù)無法完成較優(yōu)的分類[22]。基于隊(duì)列特征的異常檢測本身表現(xiàn)出較強(qiáng)的非線性，線性特征提取方法得不到好的分類效果[17]，而且分析所用的數(shù)據(jù)由平均隊(duì)列與瞬時(shí)隊(duì)列聯(lián)合表示，屬于非線性的二維空間數(shù)據(jù)。因此，引入核主成分分析法，把輸入空間映射到高維空間進(jìn)行數(shù)據(jù)處理[22]，此方法能較好地提取非線性特征。設(shè)平均隊(duì)列為xi，瞬時(shí)隊(duì)列為yi，數(shù)據(jù)空間到特征空間的映射函數(shù)為?，則內(nèi)積變換為

式(5)中增加了非線性映射，因此強(qiáng)化了非線性處理能力，這是傳統(tǒng) PCA方法無法達(dá)到的，核方法完成了瞬時(shí)隊(duì)列與平均隊(duì)列多維度之間的非線性變換。

選用對非線性空間有較高處理效果的高斯徑向基函數(shù)作為核函數(shù)。KPCA提取特征的中心思想是利用核函數(shù)將輸入空間映射到特征空間，在特征空間完成PCA[17]。

基于以上分析，把平均隊(duì)列與瞬時(shí)隊(duì)列看成一個(gè)聯(lián)合樣本，并根據(jù)此樣本得到對應(yīng)的KPCA隊(duì)列特征，實(shí)現(xiàn)KPCA算法步驟如下。

1) 確定輸入數(shù)據(jù)。輸入數(shù)據(jù)由瞬時(shí)隊(duì)列yi和平均隊(duì)列xi組成，所以將輸入定義為n×2維矩陣，即

2) 生成核矩陣。通過高斯徑向函數(shù)計(jì)算核矩陣K。

3) 將瞬時(shí)隊(duì)列yi與平均隊(duì)列xi轉(zhuǎn)化為確定的特征向量得到 {v1,… ,vn} 。

4) 對得到的特征向量按特征值的降序排列得到 {v1′,… ,vn′}。

5) 得到正交向量。利用施密特正交化得到正交向量{a1,…,an}。

6) 提取主分量。如果累積貢獻(xiàn)率Bt≥提取效率p，則提取t個(gè)主分量a1,…,at。

7) 計(jì)算特征向量的投影。核矩陣K在提取出的特征向量上的投影為Y=Ka，其中，a={a1,…,at}。

投影矩陣Y即平均隊(duì)列與瞬時(shí)隊(duì)列經(jīng)過KPCA處理后得到的新特征序列。由于所得數(shù)據(jù)在各個(gè)類別有明顯特征，為了可以同時(shí)區(qū)分出多個(gè)特征，因此，選用有強(qiáng)分辨力的神經(jīng)網(wǎng)絡(luò)分類器來判別這一特征。

3.3 基于KPCA特征的BP神經(jīng)網(wǎng)絡(luò)檢測方法

BP神經(jīng)網(wǎng)絡(luò)是一種按誤差逆?zhèn)鞑サ亩鄬忧梆伾窠?jīng)網(wǎng)絡(luò)，它是一個(gè)非線性模型，由輸入層、隱含層和輸出層組成，其中隱含層可以有多層[23]。由于 BP神經(jīng)網(wǎng)絡(luò)的非線性映射特性及良好的自學(xué)習(xí)能力，其作為綜合分類器已在多個(gè)領(lǐng)域廣泛使用。KPCA特征根據(jù)網(wǎng)絡(luò)的狀態(tài)（正常、突發(fā)和遭受LDoS攻擊）分為3種：正常狀態(tài)即客戶端在無攻擊也無其他用戶干擾的情況下正常的下載狀態(tài)；突發(fā)狀態(tài)為客戶端在下載時(shí)隨機(jī)加入其他非攻擊參數(shù)配置的情況；遭受LDoS攻擊為在客戶端下載時(shí)由攻擊者發(fā)送LDoS攻擊數(shù)據(jù)分組進(jìn)行攻擊。

由3.1節(jié)分析可知，在正常的網(wǎng)絡(luò)狀態(tài)下，如果出現(xiàn)與LDoS攻擊參數(shù)不匹配的TCP突發(fā)，則不會對檢測結(jié)果造成影響。因此，將BP神經(jīng)網(wǎng)絡(luò)分為2種：未遭受LDoS攻擊和遭受到LDoS攻擊。分別采集正常網(wǎng)絡(luò)與遭受LDoS攻擊的隊(duì)列數(shù)據(jù)，再將經(jīng)KPCA分析后的特征作為訓(xùn)練集對分類器進(jìn)行訓(xùn)練，最后實(shí)時(shí)采集正常狀態(tài)、隨機(jī)突發(fā)狀態(tài)以及遭受LDoS攻擊狀態(tài)進(jìn)行檢測。以正常狀態(tài)為例，神經(jīng)網(wǎng)絡(luò)分類器結(jié)構(gòu)如圖3所示。

圖3 3層BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)

在圖3中，輸入層、隱含層和輸出層神經(jīng)元個(gè)數(shù)分別為n、p、q。由于所提KPCA特征為線性一維特征，因此，設(shè)此神經(jīng)網(wǎng)絡(luò)訓(xùn)練集的輸入向量bi=(b1,b2,…,bn)，即 KPCA 算法得出的特征，隱含層輸入變量hi=(hi1,hi2,…,hip)，隱含層輸出變量ho=(ho1,ho2,…,hop)，輸入層與隱含層的連接權(quán)值為wih，隱含層與輸出層的連接權(quán)值為vho，隱含層各神經(jīng)元閾值為rh，輸出層各神經(jīng)元閾值為so，使用logsig作為傳輸函數(shù)[23]。將n個(gè)訓(xùn)練樣本全部訓(xùn)練完畢后，計(jì)算全局誤差。當(dāng)全局誤差達(dá)到訓(xùn)練目標(biāo)或最大訓(xùn)練次數(shù)時(shí)，結(jié)束學(xué)習(xí)算法，BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練完畢。對于訓(xùn)練良好的BP神經(jīng)網(wǎng)絡(luò)，擁有較為優(yōu)秀的泛化能力，當(dāng)向網(wǎng)絡(luò)輸入的樣本數(shù)據(jù)為測試數(shù)據(jù)時(shí)，依然能給出合適的輸出[24]，這為使用BP神經(jīng)網(wǎng)絡(luò)作為判別 LDoS攻擊的分類器提供了可行性。根據(jù)文獻(xiàn)[6]中對神經(jīng)網(wǎng)絡(luò)決策指標(biāo)的定義，設(shè)置本系統(tǒng)的最終決策指標(biāo)為

其中，輸出層輸出變量為m0與m1，輸出節(jié)點(diǎn)趨近0、1時(shí)，表示正常；趨近 1、0時(shí)，表示有 LDoS攻擊發(fā)生。具體實(shí)驗(yàn)步驟如圖4所示。

圖4 ANN與KPCA結(jié)合的LDoS攻擊檢測總體流程

在圖 4中，首先采集到路由器之間的隊(duì)列信息，再將采集到的隊(duì)列利用KPCA算法進(jìn)行特征提取，特征向量作為神經(jīng)網(wǎng)絡(luò)的訓(xùn)練組，形成分類器。將需要檢測的數(shù)據(jù)作為輸入組，完成神經(jīng)網(wǎng)絡(luò)的訓(xùn)練后，由決策指標(biāo)m作為LDoS攻擊的判決依據(jù)。在未受LDoS攻擊的m和受LDoS攻擊的m之間選定閾值，如果m大于閾值就說明網(wǎng)絡(luò)環(huán)境遭受到LDoS攻擊。

4 實(shí)驗(yàn)結(jié)果及分析

為了驗(yàn)證本文方法對LDoS攻擊的檢測效果，在網(wǎng)絡(luò)平臺中采用真實(shí)的網(wǎng)絡(luò)設(shè)備搭建了測試平臺——test-bed實(shí)驗(yàn)平臺，其拓?fù)浣Y(jié)構(gòu)如圖5所示。

該 test-bed實(shí)驗(yàn)平臺是根據(jù)美國萊斯大學(xué)在Network Simulator version 2（NS-2）仿真平臺中搭建的實(shí)驗(yàn)環(huán)境[1]設(shè)計(jì)的。其中，包含交換機(jī)及路由器各一臺，客戶端（client）主機(jī)5臺，LDoS攻擊者（attacker）主機(jī)一臺以及FTP服務(wù)器（FTP server）一臺。

圖5 實(shí)驗(yàn)環(huán)境

client1～client5的 IP 地址分別為 10.1.20.1～10.1.20.5，攻擊者的IP地址為10.1.30.1，服務(wù)器的IP地址為10.1.10.1。RTO設(shè)置為1 s，連接的單向傳播時(shí)延在50～70 ms隨機(jī)生成，所以平均往返時(shí)間（RTT）設(shè)置為120 ms。數(shù)據(jù)分組的平均大小是1 000 B，瓶頸鏈路的緩沖區(qū)大小由確定，C為鏈路容量，為平均RTT。RED隊(duì)列的最大和最小閾值分別為50和150，權(quán)值為0.000 1。

實(shí)驗(yàn)中，主機(jī)均采用Redhat 9.0操作系統(tǒng)，利用ShrewAttack攻擊軟件發(fā)送LDoS攻擊分組，使用RED隊(duì)列管理機(jī)制，攻擊者（attacker）運(yùn)用CBR機(jī)制發(fā)送攻擊分組。受害端為FTP服務(wù)器，瓶頸鏈路為15 Mbit/s，其他鏈路為100 Mbit/s。

由于網(wǎng)絡(luò)應(yīng)用層協(xié)議是基于TCP/IP協(xié)議的，同時(shí)，普遍的TCP版本是基于RED隊(duì)列管理算法的，因此，不同的協(xié)議不會對實(shí)驗(yàn)產(chǎn)生影響，但為保證實(shí)驗(yàn)的普適性，加入了林肯實(shí)驗(yàn)室的DARPA數(shù)據(jù)集中2000年某一周美國政府網(wǎng)站的正常數(shù)據(jù)作為背景流量。

首先，利用iproute和tcpdump采集路由器信息，提取出平均與瞬時(shí)隊(duì)列信息。對平均隊(duì)列與瞬時(shí)隊(duì)列進(jìn)行KPCA算法的處理，將分析后的結(jié)果作為神經(jīng)網(wǎng)絡(luò)分類器的輸入進(jìn)行 LDoS攻擊的檢測，并對檢測性能進(jìn)行分析。本文實(shí)驗(yàn)的攻擊工具 ShrewAttack和真實(shí)網(wǎng)絡(luò)拓?fù)洵h(huán)境是研究LDoS公認(rèn)的實(shí)驗(yàn)平臺，因此，所采集到的隊(duì)列特征不會對訓(xùn)練數(shù)據(jù)造成較大影響，同時(shí)也不會影響分類器的泛化能力。

4.1 LDoS攻擊特征提取

在test-bed平臺中測試時(shí)，攻擊開始于第30 s，設(shè)置攻擊周期為4.5 s，脈沖長度為0.3 s。

對圖5中路由器的隊(duì)列進(jìn)行采樣，同時(shí)采集平均隊(duì)列與瞬時(shí)隊(duì)列的數(shù)據(jù)，采樣時(shí)間長度為60 s。實(shí)驗(yàn)證明，當(dāng)攻擊速率為瓶頸鏈路大小時(shí)攻擊效果最明顯[1,2]，因此攻擊速率為15 Mbit/s，并且隨機(jī)在20～30 s啟動突發(fā)（這種突發(fā)并沒有配置LDoS攻擊參數(shù)）。根據(jù)3.1節(jié)的分析可知，平均隊(duì)列需要上一個(gè)瞬時(shí)隊(duì)列與平均隊(duì)列的聯(lián)合計(jì)算生成，當(dāng)路由器隊(duì)列中無分組到達(dá)時(shí)，平均隊(duì)列不會更新，在采樣長度內(nèi)會出現(xiàn)平均隊(duì)列少于瞬時(shí)隊(duì)列的情況，為了使平均隊(duì)列和瞬時(shí)隊(duì)列在時(shí)間和狀態(tài)上相互對應(yīng)，設(shè)定平均隊(duì)列和瞬時(shí)隊(duì)列的采樣間隔均為10 ms。圖6為LDoS攻擊對RED隊(duì)列隨時(shí)間變化的影響，該隊(duì)列的基本特征如圖6(a)所示，圖6(b)是在LDoS起作用時(shí)進(jìn)行局部放大的效果。

圖6 LDoS攻擊對RED隊(duì)列的影響

在圖6(a)中，一段時(shí)間后隊(duì)列趨于平穩(wěn)，然而在t=30 s時(shí)，隊(duì)列波動劇烈。在圖6(b)中，放大來看，攻擊脈沖在t=52.5 s和t=57 s造成瞬時(shí)隊(duì)列劇烈波動，同時(shí)存在一段未記錄平均隊(duì)列的中斷時(shí)間（接近最小RTO），此時(shí)，平均隊(duì)列將保存最后一個(gè)值。在中斷時(shí)間后，平均隊(duì)列快速降到最小值之下。圖6(a)也顯示在正常流量的隨機(jī)突發(fā)不會呈現(xiàn)分布的特征，因?yàn)樗膶?shí)現(xiàn)沒有攻擊參數(shù)配置。因此，突發(fā)不影響檢測率，除非它恰巧與LDoS攻擊具有相同的參數(shù)配置。當(dāng)橫坐標(biāo)為平均隊(duì)列長度，縱坐標(biāo)為瞬時(shí)隊(duì)列長度時(shí)，攻擊狀態(tài)與正常狀態(tài)之間的關(guān)系顯示得比較明顯，其平均隊(duì)列隨瞬時(shí)隊(duì)列的變化如圖7所示。

圖7(a)中，橫坐標(biāo)為平均隊(duì)列，縱坐標(biāo)為瞬時(shí)隊(duì)列。將攻擊數(shù)據(jù)與正常數(shù)據(jù)進(jìn)行比較，橫坐標(biāo)為57～60，縱坐標(biāo)為20～100時(shí)的區(qū)域代表正常網(wǎng)絡(luò)區(qū)域分布，其他的點(diǎn)是存在攻擊時(shí)的特征。

圖7 平均隊(duì)列與瞬時(shí)隊(duì)列的聯(lián)合特征

圖7(a)中正常流量隊(duì)列存在于某一區(qū)域內(nèi)，平均隊(duì)列隨瞬時(shí)隊(duì)列的變化平穩(wěn)，而存在攻擊的隊(duì)列波動很大。圖7(b)包含正常突發(fā)，通過分析，平均隊(duì)列沒有很大的變化，其與圖7(a)正常隊(duì)列在同一區(qū)域內(nèi)，可以認(rèn)為突發(fā)不會被錯(cuò)認(rèn)為攻擊脈沖。而通過KPCA分析，可以將這種二維的特征轉(zhuǎn)換為抽樣點(diǎn)數(shù)與特征值表示的一維特征，從而直觀地表現(xiàn)出二者之間的關(guān)系。

4.2 KPCA特征分析

對LDoS攻擊的隊(duì)列、正常平穩(wěn)的隊(duì)列和正常的但是有突發(fā)的隊(duì)列進(jìn)行采集，分別提取出實(shí)驗(yàn)所需的數(shù)據(jù)特征，對于趨勢明顯的隊(duì)列特征，以3為周期進(jìn)行抽樣，再將特征向量利用KPCA算法選用高斯徑向函數(shù)對其降維和聚類，得出特征曲線，如圖8所示。其中，每一點(diǎn)是由瞬時(shí)隊(duì)列與平均隊(duì)列聯(lián)合分析出的特征向量。

圖8(a)與圖8(b)均為正常網(wǎng)絡(luò)狀態(tài)，它們之間的區(qū)別在于圖8(a)無突發(fā)，而圖8(b)存在突發(fā)。二者在開始處有些差異，但由于算法的自適應(yīng)性，在隨后的各點(diǎn)表現(xiàn)出相似的特征。

圖8(c)表示存在LDoS攻擊，與正常隊(duì)列趨勢差距很大。由圖8(d)可以看出，正常平穩(wěn)隊(duì)列與有突發(fā)隊(duì)列曲線趨勢基本一致，但是由于時(shí)延等原因，放在一起不能定量化分析。相同地，這2組曲線雖然與攻擊曲線趨勢有區(qū)別，但是也無法直接區(qū)分，因此，需要運(yùn)用更準(zhǔn)確的方法進(jìn)行分類。由于正常隊(duì)列與 LDoS攻擊隊(duì)列的特征曲線的不一致性，符合神經(jīng)網(wǎng)絡(luò)分類器的輸入特征，因此，運(yùn)用BP神經(jīng)網(wǎng)絡(luò)進(jìn)行分類處理，以完成更準(zhǔn)確的檢測。

4.3 檢測結(jié)果

在采用BP神經(jīng)網(wǎng)絡(luò)進(jìn)行分類檢測中，將KPCA特征曲線分別作為訓(xùn)練和檢測數(shù)據(jù)，對其進(jìn)行分類和檢測。將所得特征分為3組，分別為正常網(wǎng)絡(luò)、正常網(wǎng)絡(luò)加隨機(jī)突發(fā)與有LDoS攻擊網(wǎng)絡(luò)，測試集每組10個(gè)樣本集，訓(xùn)練集每組20個(gè)樣本集，每個(gè)樣本集中包含一個(gè)采樣周期內(nèi)所有樣本（即總的樣本數(shù)目為20×6 000 =120 000個(gè)），輸入數(shù)據(jù)中無訓(xùn)練數(shù)據(jù)中的樣本。隱藏層個(gè)數(shù)的確定通過隱含層個(gè)數(shù)與最小均方誤差的關(guān)系確定，如圖9所示。

考慮到BP神經(jīng)網(wǎng)絡(luò)的復(fù)雜度及其學(xué)習(xí)規(guī)則，并不是隱含層節(jié)點(diǎn)數(shù)越多，算法性能越好。圖9中，當(dāng)隱藏節(jié)點(diǎn)個(gè)數(shù)在 20時(shí)，均方誤差達(dá)到最低點(diǎn)即0.03左右，且處理當(dāng)前數(shù)據(jù)量的任務(wù)時(shí)算法時(shí)間在1 s左右，與路由器平均隊(duì)列的統(tǒng)計(jì)時(shí)間基本相同，因此，選用隱含層節(jié)點(diǎn)數(shù)為20。

迭代次數(shù)和決策指標(biāo)閾值η為影響神經(jīng)網(wǎng)絡(luò)性能的關(guān)鍵因素。在測試中，當(dāng)學(xué)習(xí)率為0.01，學(xué)習(xí)目標(biāo)取0.05時(shí)，考慮到分類器迭代時(shí)間過長及過擬合問題，設(shè)置迭代次數(shù)為500、1 000、1 500、2 000，分別運(yùn)行500次，得到反映分類器性能的ROC曲線，如圖10所示。

圖8 KPCA特征

圖9 神經(jīng)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)與最小均方誤差比較

在圖10中，除2 000次迭代外，其他迭代次數(shù)的分類器性能都不高。這是由于迭代次數(shù)少的分類器對于所選特征很難達(dá)到最終訓(xùn)練目標(biāo)，而迭代次數(shù)為2 000的曲線更靠近左上角點(diǎn)，同時(shí)包含面積最大，明顯好于其他迭代次數(shù)的分類器，測試結(jié)果的達(dá)成率達(dá)到95%以上，運(yùn)行時(shí)間與最短時(shí)間相差不超過2 s，雖然運(yùn)行時(shí)間略有延長，但是與其他迭代次數(shù)相比較是可以接受的，且對于采樣周期 60 s來說，是可以容忍的誤差。

圖10 不同迭代次數(shù)分類器性能對比

根據(jù)文獻(xiàn)[6]，一般神經(jīng)網(wǎng)絡(luò)決策指標(biāo)的閾值在0.5左右。從圖10的實(shí)驗(yàn)數(shù)據(jù)可以得出：神經(jīng)網(wǎng)絡(luò)決策指標(biāo)的閾值低于 0.45時(shí)，誤警率較高；高于0.65時(shí)，檢測率較低，都會在很大程度上影響檢測性能。因此，根據(jù)實(shí)驗(yàn)結(jié)果，當(dāng)閾值取η∈(0.45,0.65)時(shí)，可以獲得較好的檢測效果。提取2 000次迭代次數(shù)ROC曲線中閾值η∈ (0.45,0.65)內(nèi)的檢測率和虛警概率，結(jié)果如表1所示。

表1 不同決策指標(biāo)閾值η下工作性能

在表1中，不同η對應(yīng)的檢測性能差別較大，當(dāng)閾值η為0.53時(shí)，最靠近ROC曲線的左上角(0,1)點(diǎn)，且有最合適的檢測率和虛警概率，因此，選擇此點(diǎn)為最終的決策指標(biāo)閾值η，通過以上參數(shù)的設(shè)置，訓(xùn)練完成最終的LDoS攻擊分類器。

形成分類器后，在真實(shí)網(wǎng)絡(luò)下實(shí)時(shí)采集隊(duì)列信息，轉(zhuǎn)換為KPCA特征后作為輸入送入分類器中進(jìn)行檢測，各分類器輸入數(shù)據(jù)如下。

1) 無突發(fā)隊(duì)列數(shù)據(jù)和有LDoS攻擊數(shù)據(jù)。

2) 有突發(fā)隊(duì)列數(shù)據(jù)和有LDoS攻擊數(shù)據(jù)。

對于每一種方案，都存在正常與存在LDoS攻擊的數(shù)據(jù)，且根據(jù)理論分析，有突發(fā)的正常流不會對LDoS攻擊的檢測造成影響。

根據(jù)神經(jīng)網(wǎng)絡(luò)的原理，如果輸出接近于(1,0)則認(rèn)為是正常網(wǎng)絡(luò)，如果輸出接近于(0,1)則認(rèn)為是LDoS攻擊。本文實(shí)驗(yàn)結(jié)果如圖11所示，檢測窗口為1 s，圖11(a)中前5 s為正常網(wǎng)絡(luò)，從第5 s開始有LDoS攻擊，可見此時(shí)開始檢測到攻擊；圖11(b)與圖 11(a)相同，說明網(wǎng)絡(luò)正常突發(fā)不會影響LDoS攻擊的檢測，而且期望輸出可以達(dá)到較理想的分類檢測效果。由于2種情況都是當(dāng)LDoS攻擊出現(xiàn)在第一個(gè)檢測窗口（5～6 s）時(shí)就會立即被檢測，因此，也證明了所選神經(jīng)網(wǎng)絡(luò)的實(shí)時(shí)性。實(shí)驗(yàn)證明，ANN與KPCA結(jié)合的LDoS攻擊檢測的平均檢測率為94.7%，漏警概率為5.3%，虛警概率為1.7%。

圖11 神經(jīng)網(wǎng)絡(luò)輸出結(jié)果

4.4 比較分析

KPCA網(wǎng)絡(luò)算法屬于不同機(jī)器學(xué)習(xí)算法的結(jié)合，利于處理大規(guī)模復(fù)雜數(shù)據(jù)及挖掘潛在特征，在評價(jià)其算法性能時(shí)，需要考慮算法的復(fù)雜度與檢測性能。本文將實(shí)驗(yàn)數(shù)據(jù)分別用于歸一化互功率譜密度[5]（NCPSD, normalized cross-power spectral density）、隱馬爾可夫模型[4]（HMM, hidden Markov model）以及Adaptive-KPCA[18]檢測LDoS攻擊的方法中，從算法時(shí)間復(fù)雜度T(n)、空間復(fù)雜度S(n)以及檢測率等指標(biāo)定量分析，并根據(jù)結(jié)果做出綜合評價(jià)。通常，T(n)值越低，S(n)值越低，則檢測率越高，綜合評價(jià)就越高。

1) 時(shí)間復(fù)雜度評估

信號處理算法的時(shí)間復(fù)雜度一般為O(n2)，因此，NCPSD與 HMM 時(shí)間復(fù)雜度均為O(n2)[25]。KPCA算法是一種聚類算法，計(jì)算量較大，時(shí)間復(fù)雜度為O(n3)[26]，Adaptive-KPCA[18]同樣符合該規(guī)則。

KPCA網(wǎng)絡(luò)將數(shù)據(jù)降維，利用新的特征作為神經(jīng)網(wǎng)絡(luò)的輸出，所以應(yīng)考慮2個(gè)方面的時(shí)間復(fù)雜度問題。一般地，KPCA算法復(fù)雜度較高，但本文方案根據(jù)路由器隊(duì)列的連續(xù)性和平穩(wěn)性，在KPCA分析之前進(jìn)行預(yù)處理，按特征規(guī)律進(jìn)行抽樣，將其分解成一個(gè)的矩陣，大大降低了算法復(fù)雜度，其計(jì)算復(fù)雜度為。對于前饋神經(jīng)網(wǎng)絡(luò)，算法復(fù)雜度分為測試部分與訓(xùn)練部分，訓(xùn)練部分T2(n)=O(m×n2)；測試部分為T3(n)=O(n1+n2+n3)=O(n2)。其中，n1與n3為輸入與輸出節(jié)點(diǎn)數(shù)；n2為隱含層節(jié)點(diǎn)數(shù)；m為輸入數(shù)據(jù)量。一般n2遠(yuǎn)大于輸入與輸出節(jié)點(diǎn)數(shù)總和，而且經(jīng)測試，KPCA網(wǎng)絡(luò)的時(shí)延主要來自預(yù)處理及KPCA變化方面，神經(jīng)網(wǎng)絡(luò)的檢測時(shí)延很少，所以總時(shí)間復(fù)雜度為T0=T1+T2+T3。經(jīng)實(shí)驗(yàn)驗(yàn)證，當(dāng)輸入數(shù)據(jù)為n時(shí)，各個(gè)算法的平均時(shí)間頻度及時(shí)間復(fù)雜度如表2所示。

表2 算法時(shí)間復(fù)雜度

2) 空間復(fù)雜度評估

當(dāng)輸入數(shù)據(jù)量為n時(shí)，KPCA網(wǎng)絡(luò)經(jīng)抽樣與降維，可將總數(shù)據(jù)量降到。其他算法由于沒有預(yù)處理能力，輸入數(shù)據(jù)量仍為n。KPCA網(wǎng)絡(luò)較大幅度地降低了固定存儲空間開銷。

由于各算法循環(huán)次數(shù)和排序方式不同，執(zhí)行過程各變量所占輔助空間也不同，對于數(shù)字信號處理算法，如NCPSD與HMM算法的空間復(fù)雜度為O(n)[25]，KPCA算法在特征空間中是線性相關(guān)的，其空間復(fù)雜度也為O(n)[26]，各算法的空間復(fù)雜度如表3所示。

3) 檢測性能分析

從檢測率、漏警概率和虛警概率這3個(gè)方面分析4種算法的檢測性能。檢測LDoS攻擊時(shí)，各算法性能如表4所示。

表2表示各算法的時(shí)間復(fù)雜度，表3為空間復(fù)雜度，表4代表各算法對LDoS攻擊的檢測性能。從表2～表4可以看出，KPCA網(wǎng)絡(luò)由于其良好的預(yù)處理能力，在時(shí)間頻度上更有優(yōu)勢?？臻g上，基于流量特征的檢測算法的采樣率需要與分組速率保持一致，數(shù)據(jù)量遠(yuǎn)大于路由器隊(duì)列算法，所以本文算法處理數(shù)據(jù)能力高于其他算法。

在檢測性能和實(shí)時(shí)性方面，KPCA網(wǎng)絡(luò)所耗費(fèi)的時(shí)間都來自于KPCA處理，在神經(jīng)網(wǎng)絡(luò)檢測方面耗時(shí)很少；在檢測性能方面，KPCA網(wǎng)絡(luò)明顯好于NCPSD，虛警概率優(yōu)于Adaptive-KPCA，在實(shí)時(shí)性方面好于HMM，能滿足檢測LDoS攻擊的要求；且KPCA網(wǎng)絡(luò)檢測的特征為路由器隊(duì)列，隊(duì)列比網(wǎng)絡(luò)流量要復(fù)雜得多，更難提取，考慮到已經(jīng)存在的能躲避頻域檢測的LDoS攻擊模型，隊(duì)列特征在檢測LDoS攻擊方面更有意義。因此，KPCA網(wǎng)絡(luò)檢測LDoS攻擊的綜合性能更好，且為實(shí)時(shí)防御LDoS攻擊提供了一種新思路。

5 結(jié)束語

本文在對LDoS攻擊隊(duì)列分析的基礎(chǔ)上，提出了基于KPCA及神經(jīng)網(wǎng)絡(luò)的LDoS隊(duì)列特征的檢測方法，將平均及瞬時(shí)隊(duì)列遭受LDoS攻擊時(shí)的劇烈變化作為依據(jù)，經(jīng)KPCA提取特征后，利用BP神經(jīng)網(wǎng)絡(luò)進(jìn)行檢測。實(shí)驗(yàn)證明，該算法不僅可以分辨正常與LDoS攻擊狀態(tài)，還可以區(qū)分出正常網(wǎng)絡(luò)

中存在突發(fā)的情況與遭受LDoS的狀態(tài)，相比于其他方法有算法復(fù)雜度低、實(shí)時(shí)性強(qiáng)等優(yōu)點(diǎn)，能有效檢測LDoS攻擊。KPCA網(wǎng)絡(luò)基于隊(duì)列特征的檢測方法對實(shí)際的網(wǎng)絡(luò)管理、防御LDoS攻擊以及設(shè)計(jì)高性能路由器有一定的借鑒意義。本文算法也存在一些局限性，例如，需要訓(xùn)練數(shù)據(jù)進(jìn)行支撐，對大數(shù)據(jù)預(yù)處理時(shí)間過長等，因此，該算法還有待進(jìn)一步改進(jìn)。在混合流中細(xì)粒度篩選出攻擊流并進(jìn)行過濾是未來需要關(guān)注的問題，也是努力的方向。本文提出的隊(duì)列分布特征已經(jīng)考慮了攻擊脈沖的參數(shù)，提取了每一個(gè)攻擊周期的特征，而不是以一個(gè)較長的時(shí)間采樣提取特征。因此，已經(jīng)向細(xì)粒度檢測方向改進(jìn)，今后將結(jié)合網(wǎng)絡(luò)測量、IP地址統(tǒng)計(jì)等方法繼續(xù)提高檢測技術(shù)。

[1] KUZMANOVIC A, KNIGHTLY E W. Low-rate TCP-targeted denial of service attacks -the shrew vs. the mice and elephants[C]// ACM SIGCOMM. 2003∶ 25-29.

[2] KUZMANOVIC A, KNIGHTLY E W. Low-rate TCP-targeted denial of service attacks and counter strategies[J]. IEEE/ACM Transactions on Networking, 2006, 14(4)∶683-696.

[3] 何炎祥, 劉陶, 曹強(qiáng), 等.低速率拒絕服務(wù)攻擊研究綜述[J].計(jì)算機(jī)科學(xué)與探索, 2008, 2(1)∶ 1-19 HE Y X, LIU T, CAO Q, et al. A survey of low-rate denial-of-service attacks[J]. Journal of Frontiers of Computer Science and Technology,2008, 2(1)∶ 1-19

[4] 岳猛, 張才峰, 吳志軍. 隱馬爾科夫模型檢測 LDoS攻擊方法的研究[J]. 信號處理, 2015, 31(11)∶1454-1460.YUE M, ZHANG C F, WU Z J. The research of detecting LDoS attacks based on hidden Markov model[J]. Journal of Signal Processing,2015, 31(11)∶1454-1460.

[5] YU C, KAI H, KWOK Y K. Collaborative defense against periodic shrew DDoS attacks in frequency domain[J]. ACM Transactions on Information and System Security, 2005∶ 2-27.

[6] 何炎祥, 曹強(qiáng), 劉陶, 等. 一種基于小波特征提取的低速率DoS檢測方法[J]. 軟件學(xué)報(bào), 2009, 20(4)∶930-941.HE Y X, CAO Q, LIU T, et al. A low-rate DoS detection method based on feature extraction using wavelet transform[J]. Journal of Software,2009, 20(4)∶930-941.

[7] LIU X, ZHANG M, XU G. Construction of distributed LDoS attack based on one-dimensional random walk algorithm[C]//International Conference on Cloud Computing and Intelligence Systems.2012∶685-689.

[8] 張靜, 胡華平, 劉波, 等. 基于ASPQ的LDoS攻擊檢測方法[J]. 通信學(xué)報(bào), 2012, 33(5)∶79-84.ZHANG J, HU H P, LIU B, et al. Detecting LDoS attack based on ASPQ [J]. Journal on Communications, 2012, 33(5)∶79-84.

[9] SUN J, ZUKERMAN M. An adaptive neuron AQM for a stable internet[M]//Ad Hoc and Sensor Networks, Wireless Networks, Next Generation Internet. Springer Berlin Heidelberg, 2007∶844-854.

[10] KUZMANOVIC A. The power of explicit congestion notification[J]. ACM Sigcomm Computer Communication Review, 2005,35(4)∶61-72.

[11] SARAT S, TERZIS A. On the effect of router buffer sizes on low-rate denial of service attacks[C]//International Conference on Computer Communications and Networks. 2005∶281-286.

[12] MOHAN L, JOHN J K, BIJESH M G. Shrew attack prevention in RED queue with partial flow analysis[J]. International Journal of Computer Applications, 2013, 67(8)∶9-15.

[13] 張長旺, 殷建平, 蔡志平, 等. 抗 DDoS攻擊的主動隊(duì)列管理算法[J].軟件學(xué)報(bào), 2011, 22(9)∶2182-2192.ZHANG C W, YIN J P, CAI Z P, et al. Active queue management algorithm to counter DDoS attacks[J]. Journal of Software, 2011, 22(9)∶2182-2192.

[14] HAMLET M R, MICHEL K, BéATRICE P P. TCP and network coding∶ equilibrium and dynamic properties[J]. IEEE/ACM Transactions on Networking, 2016, 24(4)∶ 1935-1947.

[15] ZHAO Y, MA Z G, ZHENG X F, et al. An improved algorithm of nonlinear RED based on membership cloud theory[J]. Chinese Journal of Electronics, 2017, 26(3)∶ 537-543.

[16] GUIRGUIS M. BESTAVROS A, MATTA I. Exploiting the transients of adaptation for RoQ attacks on Internet re-sources[C]//IEEE ICNP.2004∶ 184-195.

[17] 高海華, 楊輝華, 王行愚, 等. 基于PCA和KPCA特征抽取的SVM網(wǎng)絡(luò)入侵檢測方法[J]. 華東理工大學(xué)學(xué)報(bào)（自然科學(xué)版）, 2006,32(3)∶ 321-326.GAO H H, YANG H H, WANG X Y, et al. PCA/KPCA feature extraction approach to SVM for anomaly detection[J]. Journal of East China University of Science and Technology, 2006, 32(3)∶321-326.

[18] ZHANG X Y, WU Z J, CHEN J S, et al. An adaptive KPCA approach for detecting LDoS attack[J]. International Journal of Communication Systems, 2017, 30(4)∶ 1-8.

[19] ZHANG C W, CAI Z, CHEN W, et al. Flow level detection and filtering of low-rate DDoS[J]. Computer Networks the International Journal of Computer & Telecommunications Networking,2012, 56(15)∶ 3417-3431.

[20] FENG W C, KANDLUR D D, SAHA D, et al. Stochastic fair blue∶ a queue management algorithm for enforcing fairness[C]//The 20th Joint Conference of the IEEE Computer & Communications Societies.2001∶1520-1529.

[21] MOHAN L, BIJESH M G, JOHN J K. Survey of low rate denial ofservice (LDoS) attack on RED and its counter strategies[C]//IEEE International Conference on Computational Intelligence & Computing Research. 2012∶1-7.

[22] 蘇治, 傅曉媛. 核主成分遺傳算法與 SVR選股模型改進(jìn)[J]. 統(tǒng)計(jì)研究, 2013, 30(5)∶54-62.SU Z, FU X Y. Kernel principal component genetic algorithm and improved SVR stock selection model[J]. Statistical Research, 2013,30(5)∶54-62.

[23] LI J, YU L. Using BP neural networks for the simulation of energy consumption[C]//IEEE International Conference on Systems, Man and Cybernetics. 2014∶3542-3547.

[24] 劉陶, 何炎祥, 熊琦. 一種基于Q學(xué)習(xí)的LDoS攻擊實(shí)時(shí)防御機(jī)制及其CPN實(shí)現(xiàn)[J].計(jì)算機(jī)研究與發(fā)展, 2011, 48(3)∶432-439.LIU T, HE Y X, XIONG Q. A Q-learning based real-time mitigating mechanism against LDoS attack and its modeling and simulation with CPN[J]. Journal of Computer Research and Development, 2011, 48(3)∶432-439.

[25] WU Z J, ZHANG L Y, YUE M. Low-rate DoS attacks detection based on network multifractal[J]. IEEE Transactions on Dependable & Secure Computing, 2016, 13(5)∶559-567.

[26] 趙峰, 張軍英. 一種 KPCA 的快速算法[J]. 控制與決策, 2007,22(9)∶1044-1048.ZHAO F, ZHANG J Y. Fast algorithm about KPCA[J]. Control and Decision, 2007, 22(9)∶1044-1048.