1、慢速拒絕服務（Low rate Denial of Service，LDoS）攻擊是一種新型拒絕服務（Denial of Service，DoS）攻擊，其產生的攻擊效果近似于DoS攻擊但攻擊隱蔽性更強。目前LDoS攻擊檢測存在兩方面的問題：其一是由于攻擊行為特征異于傳統(tǒng)DoS攻擊，傳統(tǒng)DoS攻擊檢測方法難以檢測LDoS攻擊；其二是已有的LDoS攻擊檢測方法普遍存在檢測準確性不高、檢測范圍有限、算法復雜、資源消耗大且實時性弱、自適應能力欠

2、缺等缺點。因此，深入開展LDoS攻擊檢測方法的研究對防范惡意網絡攻擊、保障網絡安全具有重要的理論價值和現實意義。
　　基于LDoS攻擊的基本原理，借助形式化描述方法構建了LDoS攻擊的攻擊模型和攻擊公式，提取了與攻擊效果緊密相關的若干攻擊參數，刻畫了攻擊參數與攻擊效果和攻擊效能之間的關系。為全面反映LDoS攻擊對數據流量的影響，在相關研究的基礎上建立了三個典型的網絡場景，以用于分析、歸納并提取LDoS攻擊發(fā)生時有效TCP（Tran

3、smission Control Protocol）流量和其它數據流量的頻數分布特征、有效TCP流量的分布形態(tài)特征和波動形態(tài)特征。此外，為恰當評測LDoS攻擊檢測方法的性能，建立了LDoS攻擊檢測方法的評價指標。
　　大量分析發(fā)現，LDoS攻擊發(fā)生時有效TCP流量的頻數分布、分布形態(tài)和波動形態(tài)均會發(fā)生異常。為檢測有效TCP流量的頻數分布異常，借助卡方距離在度量直方圖距離時區(qū)分能力強的優(yōu)勢，通過計算頻數分布的直方圖距離檢測頻數分布的

4、異常，提出了一種基于有效TCP流量頻數分布異常的LDoS攻擊檢測方法，并建立了相關判斷準則。在檢測有效TCP流量分布形態(tài)異常的過程中，為了消除樣本原始值偶然誤差的負面影響，采用了自適應指數加權移動平均AEWMA（Adaptive Exponentially Weighted MovingAverage）算法統(tǒng)計樣本原始值，同時通過從離散程度和振蕩頻率兩個方面來分別檢測分布形態(tài)的異常，提出了一種基于有效TCP流量分布形態(tài)異常的LDoS攻擊

5、檢測方法，并建立了相關判斷準則。在檢測有效TCP流量波動形態(tài)異常的過程中，為了從較小的時間尺度觀察波動形態(tài)，提出了數據片的概念，同時依據所檢測數據片內波動形態(tài)的異常，提出了一種基于有效TCP流量波動形態(tài)異常的LDoS攻擊檢測方法，并建立了相關判斷準則。
　　針對僅使用單一檢測方法檢測單一異常特征有可能導致檢測精度不夠的問題，通過分析所提出的三種檢測方法在不同檢測環(huán)境下的優(yōu)勢和不足，結合三種方法具有的互補特性，構建了一個融合多種檢測

6、方法的LDoS攻擊檢測系統(tǒng)原型，給出了該檢測系統(tǒng)的檢測規(guī)則、處理流程及相關算法。
　　模擬實驗表明，在一定的網絡環(huán)境下，所提出的三種LDoS檢測方法檢測準確度高，誤報率和漏報率低。此外，基于通用數據集LBNL（Lawrence Berkeley National Laboratory）數據集與MAWI（MeasurementandAnalysis on the WIDE Internet）數據集和DARPA99（DefenseAd