DDoS攻擊從檢測(cè)到流量識(shí)別總體防御方案研究

摘 要： 分布式拒絕服務(wù)（DDoS）攻擊是互聯(lián)網(wǎng)安全的嚴(yán)重威脅，攻擊發(fā)生時(shí)會(huì)有大規(guī)模流量淹沒(méi)目標(biāo)網(wǎng)絡(luò)和主機(jī)。能夠準(zhǔn)確快速地檢測(cè)到攻擊，區(qū)分合法擁塞流量和攻擊流量，對(duì)攻擊流量加以清洗，對(duì)于DDoS攻擊的防御來(lái)說(shuō)十分重要。采用信息熵對(duì)流量參數(shù)進(jìn)行實(shí)時(shí)統(tǒng)計(jì)來(lái)檢測(cè)攻擊，用累積和（CUSUM）算法控制熵值連續(xù)變化情況。檢測(cè)到攻擊后，依據(jù)目的IP數(shù)量前后增長(zhǎng)情況找出受害者，對(duì)流向受害者處的流量進(jìn)行重點(diǎn)觀察。由于大規(guī)模的攻擊流量與合法的擁塞流量非常相似，難以識(shí)別，在此對(duì)流本身的相似性進(jìn)行考察，使用流相關(guān)系數(shù)算法辨別攻擊流量和合法擁塞流量，為流量清洗工作提供依據(jù)。

關(guān)鍵詞： DDOS攻擊； 信息熵； CUSUM； 相關(guān)系數(shù)； 流量識(shí)別

中圖分類號(hào)： TN964?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2013）22?0062?05

0 引 言

目前分布式拒絕服務(wù)（DDoS）攻擊[1]是破壞互聯(lián)網(wǎng)安全的最常用手段之一。攻擊發(fā)生時(shí)，分布在各處的傀儡機(jī)發(fā)出大量數(shù)據(jù)包涌向受害目標(biāo)，不僅引起網(wǎng)絡(luò)鏈路堵塞，也會(huì)使目標(biāo)服務(wù)器資源耗盡而停止服務(wù)，從而使網(wǎng)絡(luò)和服務(wù)器陷入癱瘓，帶來(lái)嚴(yán)重后果和損失。防御DDoS攻擊近年來(lái)一直是網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。如何快速準(zhǔn)確地檢測(cè)出攻擊，對(duì)攻擊流量進(jìn)行識(shí)別并加以清洗，是DDoS攻擊防御中的重點(diǎn)內(nèi)容。由于攻擊流量與合法擁塞流量非常相似，對(duì)它們進(jìn)行區(qū)分比較困難。

本文提出一套防御DDoS攻擊的方案，該方案抵抗DDoS攻擊的流程如圖1所示。從骨干網(wǎng)上對(duì)流量進(jìn)行采集解析后，使用信息熵來(lái)跟蹤流量特征參數(shù)的變化，采用滑動(dòng)窗口對(duì)特征值序列進(jìn)行動(dòng)態(tài)存儲(chǔ)。考慮到準(zhǔn)確性，使用累積和（Cumulative SUM，CUSUM）控制流量特征的變化以減緩抖動(dòng)性，CUSUM通過(guò)特征值的連續(xù)變化情況判斷攻擊是否發(fā)生。DDoS攻擊發(fā)生后，使用保存快照方式將攻擊發(fā)生時(shí)的參數(shù)與快照中的參數(shù)進(jìn)行比較找出受害者。將通往受害者的網(wǎng)絡(luò)流量作為重點(diǎn)觀測(cè)對(duì)象，通過(guò)流自身相似度辨別是否攻擊流量，采用Pearson相關(guān)系數(shù)分析流量之間的相關(guān)性。

本文提出的方案面向DDoS攻擊本身，從DDoS攻擊的檢測(cè)，到受害者的確定，再到攻擊流量的識(shí)別清洗，形成一套比較完整的DDoS攻擊防御方案。與傳統(tǒng)的對(duì)抗DDoS攻擊研究相比，本方案不僅僅只停留在DDoS攻擊檢測(cè)方面，對(duì)檢測(cè)到的DDoS攻擊如何響應(yīng)，攻擊流量如何處理也進(jìn)行了表述。方法比較簡(jiǎn)單，計(jì)算量小，能夠?qū)崟r(shí)準(zhǔn)確地檢測(cè)到攻擊，并能較好地對(duì)攻擊流量進(jìn)行識(shí)別過(guò)濾，適合骨干網(wǎng)大規(guī)模流量下DDoS攻擊的防御。

1 相關(guān)工作

根據(jù)能否對(duì)攻擊數(shù)據(jù)包進(jìn)行檢測(cè)和過(guò)濾，DDoS攻擊根據(jù)可檢測(cè)程度分為3個(gè)等級(jí)[2]：可過(guò)濾、有特征但不易過(guò)濾和無(wú)法識(shí)別。可過(guò)濾的DDoS攻擊具有較為明顯的特征，直接過(guò)濾具有這些特征的包，就可有效對(duì)抗攻擊。對(duì)付這種攻擊可以使用特征匹配的方法進(jìn)行檢測(cè)，特征匹配方法比較有代表性的是專家系統(tǒng)[3]、模式匹配[4]、狀態(tài)轉(zhuǎn)移分析[5]。

有特征但不易過(guò)濾的DDoS攻擊，通常偽造數(shù)據(jù)包模仿合法用戶的請(qǐng)求，雖具有一些可識(shí)別特征，但是如果對(duì)有這些特征的數(shù)據(jù)包進(jìn)行過(guò)濾，同時(shí)也會(huì)影響到合法用戶的正常使用。對(duì)付這種類型的攻擊通常使用異常檢測(cè)方法，目前在異常檢測(cè)領(lǐng)域已有大量研究。Lakhina提出流特征分布熵，采用信息熵作為工具來(lái)量化流特征分布的離散程度，影響廣泛[6]。Chen、Shin等依據(jù)正常情況下TCP連接中SYN請(qǐng)求包數(shù)目與FIN 、RST等回應(yīng)包數(shù)目相對(duì)應(yīng)關(guān)系，提出針對(duì)SYN Flood攻擊的檢測(cè)方法[7?8]。Jin利用協(xié)方差分析檢測(cè)SYN Flood攻擊，通過(guò)網(wǎng)絡(luò)中各類型報(bào)文數(shù)量的變化情況感知異常[9]。

無(wú)法識(shí)別的DDoS攻擊，攻擊包與合法數(shù)據(jù)包沒(méi)有明顯特征可以區(qū)分。高速模擬擁塞攻擊利用傀儡網(wǎng)絡(luò)假裝正常主機(jī)發(fā)起攻擊，用高速合法數(shù)據(jù)包淹沒(méi)目標(biāo)使其拒絕服務(wù)。關(guān)于如何對(duì)付這種類型攻擊的研究還比較少。Shui，Theerasak提出使用流相關(guān)系數(shù)對(duì)流量進(jìn)行分析，區(qū)分模擬擁塞攻擊流量和正常擁塞流量，但其算法比較復(fù)雜，計(jì)算開(kāi)銷量大[10?11]。本文在其所提方法的基礎(chǔ)之上做了簡(jiǎn)化和改進(jìn)，應(yīng)用在攻擊流量識(shí)別階段。

在前人已做大量研究工作的前提下，本文所提方法立足于異常檢測(cè)技術(shù)，主要面向DDoS攻擊的后兩種情況。

2 DDoS攻擊檢測(cè)

對(duì)于DDoS攻擊的檢測(cè)，利用信息熵檢測(cè)流量異常，選取特定的流量特征參數(shù)作為檢測(cè)依據(jù)，采用滑動(dòng)窗口對(duì)這些基于時(shí)間的特征值序列進(jìn)行存儲(chǔ)，通過(guò)CUSUM算法來(lái)控制流量特征的連續(xù)增大或減小情況。

2.1 信息熵

熵的概念最初源于物理學(xué)，香農(nóng)提出信息熵[12]，用來(lái)表示信息量的多寡。熵值越高，表示所含的信息量越大，熵值越低，則意味所含信息量越小。設(shè)有屬性集合[X=ni，i=1，2，…，N]，表示第i種屬性在總的屬性集合中出現(xiàn)了[ni]次，則信息熵的定義[13]可表示為：

[H（x）=-i=1N（niS）log2（niS）] （1）

式中，[S=i=1Nni]代表所有屬性出現(xiàn)的總次數(shù)。熵的取值范圍在[0-log2 N]之間，當(dāng)所有屬性全部相同時(shí)，分布最大化集中，此時(shí)熵值為0。當(dāng)n1=n2=…=nN，即等概率分布的情況下，分布最大化分散，此時(shí)熵取最大值[log2 N]。信息熵能更有效地描述同一特征參數(shù)的集中和分散情況，適合在大規(guī)模流量下檢測(cè)異常。

由于大量傀儡機(jī)攻擊少數(shù)目標(biāo)機(jī)，加上當(dāng)前很多DDoS攻擊工具的源IP偽造特性，攻擊時(shí)會(huì)出現(xiàn)源IP多而分散，目的IP少且集中的現(xiàn)象。本文選取源IP和目的IP作為流量的特征參數(shù)，通過(guò)分析參數(shù)的分布變化來(lái)檢測(cè)流量異常[14]。將源IP和目的IP分別應(yīng)用（1）式得到源IP熵H（srcIP）和目的IP熵H（dstIP）。

為了使計(jì)算更具實(shí)時(shí)性，減少資源消耗，使用滑動(dòng)窗口對(duì)特征值序列進(jìn)行動(dòng)態(tài)存儲(chǔ)。采用文獻(xiàn)[15]中關(guān)于滑動(dòng)窗口的算法思想，按時(shí)間先后存儲(chǔ)流量的特征參數(shù)，窗口的總長(zhǎng)度保持不變。以滑動(dòng)窗口內(nèi)的信息作為屬性集合計(jì)算熵值，隨著滑動(dòng)窗口不斷更新，特征熵值不斷變化，形成基于時(shí)間的數(shù)據(jù)序列。

2.2 CUSUM算法

本文使用CUSUM算法[16]對(duì)熵值變化的控制來(lái)感知DDoS攻擊。CUSUM用于檢測(cè)偏移程度，通過(guò)累積誤差來(lái)檢測(cè)待檢對(duì)象與目標(biāo)之間的偏移。CUSUM算法表述如下：

設(shè)[xi]是過(guò)程的第i次觀測(cè)值。當(dāng)過(guò)程受控且穩(wěn)定時(shí)，[xi]的分布是平均值為μ、標(biāo)準(zhǔn)差為σ的正態(tài)分布。這里σ已知或可被估計(jì)，將μ視為目標(biāo)值，如果過(guò)程偏離這個(gè)值，CUSUM就能反映出來(lái)。CUSUM分別累積計(jì)算高于目標(biāo)值μ的偏移總和與低于目標(biāo)值μ的偏移總和，分別稱為單側(cè)上累積和[C+i]與單側(cè)下累積和[C-i] [17]。

對(duì)源IP和目的IP這兩個(gè)參數(shù)的信息熵應(yīng)用CUSUM算法，依據(jù)等式（2）和式（3），[xi]對(duì)應(yīng)著兩個(gè)參數(shù)源IP熵和目的IP熵，μ對(duì)應(yīng)定義的目標(biāo)值。這里目標(biāo)值定義為未發(fā)生攻擊情況下熵的平均值，它是檢測(cè)變化的標(biāo)準(zhǔn)。對(duì)于源IP的熵，主要監(jiān)控其增長(zhǎng)情況，計(jì)算其單側(cè)上累積和[C+i]。對(duì)于目的IP的熵，主要監(jiān)控其減小情況，計(jì)算其單側(cè)下累積和[C-i]。

增加新的變量[Si]和[Di]。源IP熵的[C+i]大于0時(shí)[Si]等于1，否則等于0； 同樣目的IP熵的[C-i]大于0時(shí)[Di]等于1，否則等于0。

如果[Si]和[Di]都持續(xù)大于0，則說(shuō)明源IP熵值持續(xù)增大同時(shí)目的IP熵值持續(xù)減小。在[Si]和[Di]的基礎(chǔ)上繼續(xù)增加變量[SNi]和[DNi]，分別表示[Si]和[Di]的持續(xù)累積和，判斷參數(shù)持續(xù)變化情況。

當(dāng)[Si]的值連續(xù)為1時(shí)，[SNi]的值就由[Si]值累積相加所得；當(dāng)[Si]的值出現(xiàn)0時(shí)，[SNi]又重新開(kāi)始從0算起。由[Di]值計(jì)算的[DNi]值同理。若[SNi]和[DNi]大于某一給定的閾值，就可認(rèn)為出現(xiàn)了DDoS攻擊。

2.3 探尋受害者

檢測(cè)到DDoS攻擊后，接下來(lái)確定攻擊的受害者。在此階段，通過(guò)統(tǒng)計(jì)數(shù)據(jù)包的方式對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行監(jiān)測(cè)。DDoS攻擊中，很多傀儡機(jī)向目標(biāo)機(jī)發(fā)送數(shù)據(jù)包，會(huì)在網(wǎng)絡(luò)上產(chǎn)生大量的數(shù)據(jù)流。這些流擁有眾多的源IP，而通常局限于少數(shù)的目的IP。因此可以用目的IP來(lái)劃分?jǐn)?shù)據(jù)流，依據(jù)目的IP的變化情況識(shí)別受害者。這里將具有相同目的IP的數(shù)據(jù)包視為一條網(wǎng)絡(luò)流。

DDoS攻擊開(kāi)始后，相比正常用戶來(lái)說(shuō)受害者往往會(huì)收到大幅增長(zhǎng)的數(shù)據(jù)包。

在檢測(cè)過(guò)程中，將滑動(dòng)窗口內(nèi)流量的特征參數(shù)定時(shí)保存為快照，如圖2所示。

在檢測(cè)到攻擊發(fā)生后，立即將窗口中的參數(shù)與之前攻擊未發(fā)生時(shí)保存的快照中的參數(shù)進(jìn)行比較，找出那些與其他網(wǎng)絡(luò)流相比具有更高目的IP增長(zhǎng)數(shù)目的流。根據(jù)目的IP增長(zhǎng)數(shù)目對(duì)這些流進(jìn)行排序，計(jì)算它們的比例。如果是受害者，會(huì)有更高的目的IP增長(zhǎng)數(shù)目。

3 識(shí)別攻擊流量

確定了攻擊受害者后，對(duì)流向受害者處的流量進(jìn)行重點(diǎn)觀察。本文對(duì)流自身的相似度進(jìn)行考察，使用相關(guān)系數(shù)模型分析流量之間的相關(guān)性，辨別攻擊流量和合法擁塞流量。

3.1 問(wèn)題描述

在DDoS攻擊中，傀儡機(jī)受攻擊者控制向受害者發(fā)送大量數(shù)據(jù)包。攻擊工具通常是預(yù)建好的程序，按照特定的攻擊程序和函數(shù)發(fā)送數(shù)據(jù)。從攻擊的行為方式入手對(duì)攻擊流量進(jìn)行研究，自動(dòng)執(zhí)行的程序與正常用戶的訪問(wèn)行為存在明顯不同。DDoS攻擊工具工作在自動(dòng)或半自動(dòng)的模式下，通常重復(fù)性地產(chǎn)生攻擊包，攻擊流量呈現(xiàn)模式化且有規(guī)律可循。而用戶訪問(wèn)行為一般是隨機(jī)性的，產(chǎn)生的數(shù)據(jù)流量無(wú)規(guī)律。與用戶合法訪問(wèn)流量相比，DDoS攻擊流量具有更高的自身相似度。

通過(guò)觀測(cè)數(shù)據(jù)包的傳輸速率來(lái)辨別用戶的合法流量與DDoS攻擊流量。攻擊機(jī)發(fā)出的攻擊流量速率一般極其富有規(guī)律，而用戶的合法流量受人為因素影響大，一般無(wú)規(guī)律可循。在此使用數(shù)學(xué)模型來(lái)對(duì)數(shù)據(jù)傳輸速率進(jìn)行統(tǒng)計(jì)分析。

3.2 Pearson相關(guān)系數(shù)

鑒于DDoS攻擊的數(shù)據(jù)傳輸速率有規(guī)律可循，使用Pearson相關(guān)系數(shù)（PMCC）[18]判斷流向受害者的流量是否為攻擊流量。

Pearson相關(guān)系數(shù)用來(lái)度量?jī)蓚€(gè)變量之間的相互關(guān)系，如圖3所示。設(shè)有兩個(gè)變量X和Y，其定義為：

3.3 檢測(cè)流自身相似度

通過(guò)對(duì)流自身相似度的檢測(cè)可以判斷到達(dá)受害者處的流量是否為攻擊流量。文獻(xiàn)[11]介紹了兩種方法，一種是對(duì)傳輸速率與時(shí)間之間相關(guān)性的測(cè)量，另一種是對(duì)流自身傳輸速率之間相關(guān)性的測(cè)量。本文借鑒后一種測(cè)量方式，將流量自身分成兩股流量，通過(guò)兩股流的數(shù)據(jù)傳輸速率測(cè)量流自身的相似度。在此將擁有相同目的IP地址的數(shù)據(jù)流量視為同一條網(wǎng)絡(luò)流。設(shè)X為一條流的數(shù)據(jù)傳輸速率的樣本序列，[X=λ2k，k=0，1，2，…，N]。其中[λi]表示第i單位數(shù)據(jù)包的數(shù)目。Y同樣為這條流的數(shù)據(jù)傳輸速率的樣本序列，與X錯(cuò)開(kāi)一單位，[Y=λ（2k+1），k=0，1，2，…，N]。例如有[X=λ0，λ2，λ4，…，λ2k]和[Y=λ1，λ3，λ5，…，λ（2k+1）]，計(jì)算這兩個(gè)變量X與Y的相關(guān)值[ρXY]，且[-1≤ρXY≤1]。然后設(shè)定一個(gè)置信值[α]，[0≤α≤1]，[α]是判斷流量是否攻擊流量的判定值。如前面所討論，如果相關(guān)值的絕對(duì)值接近1，就認(rèn)為流量的數(shù)據(jù)傳輸速率有規(guī)律。當(dāng)[α≤ρXY≤1]時(shí)，這些流量被判為攻擊流量。如果相關(guān)值的絕對(duì)值遠(yuǎn)離1，即[0≤ρXY≤α]時(shí)，就認(rèn)為這些流量合法。

僅一個(gè)相關(guān)值[ρXY]還無(wú)法做出判斷，需要一系列的相關(guān)值綜合判定才能得出結(jié)論。每個(gè)相關(guān)值都會(huì)與α進(jìn)行比較，得出整體中高于置信度的相關(guān)值數(shù)目的比率[P=num（ρ≥α）N]。最后P若高于α，就說(shuō)明這條流總體呈現(xiàn)規(guī)律性，可能是攻擊流量，將其進(jìn)行攔截丟棄，阻止其流向受害者。

4 評(píng)估分析

為評(píng)價(jià)該策略方案抵抗DDoS攻擊的效果，在實(shí)驗(yàn)室的局域網(wǎng)內(nèi)搭建環(huán)境進(jìn)行模擬實(shí)驗(yàn)，采用Linux操作系統(tǒng)和C語(yǔ)言對(duì)本文提出的方案實(shí)現(xiàn)并評(píng)估。使用TFN2K作為DDoS攻擊工具，對(duì)特定受害者進(jìn)行模擬攻擊，同時(shí)使用從Internet上捕獲的網(wǎng)絡(luò)流量作為背景流量。首先對(duì)流量進(jìn)行捕獲解析，在此基礎(chǔ)上對(duì)解析出的流量信息進(jìn)行相關(guān)處理。

圖4顯示了局域網(wǎng)內(nèi)以正常通信為背景的情況下，對(duì)某主機(jī)發(fā)動(dòng)DDoS攻擊前后所獲得的特征熵值變化，以及這些熵值經(jīng)過(guò)CUSUM算法進(jìn)一步處理的變換情況。閾值設(shè)定的過(guò)大，漏報(bào)率會(huì)高，閾值若太小，又會(huì)有較高的誤報(bào)率。本實(shí)驗(yàn)環(huán)境下經(jīng)過(guò)反復(fù)試驗(yàn)，取閾值為4時(shí)，可使檢測(cè)準(zhǔn)確率最高，當(dāng)[Si]或[Di]值連續(xù)4次為1時(shí)，就報(bào)告攻擊發(fā)生。

表1顯示了模擬DDoS攻擊實(shí)驗(yàn)中攻擊實(shí)際開(kāi)始與檢測(cè)到攻擊的時(shí)間之差，可以看出，本方案在很短的時(shí)間內(nèi)就可檢測(cè)到攻擊發(fā)生。

通過(guò)重復(fù)試驗(yàn)，所找出的受害者與真實(shí)受害者相比，準(zhǔn)確率高達(dá)90%以上。TFN2K發(fā)起的攻擊類型是恒定速率的攻擊，攻擊流量的速率在微小范圍內(nèi)變化，取k值為20時(shí)，計(jì)算得到的相關(guān)值為0.93。實(shí)驗(yàn)統(tǒng)計(jì)當(dāng)置信值[α]為0.8時(shí)本方案在流量識(shí)別階段過(guò)濾攻擊流量的假陽(yáng)率約為15%。

5 結(jié) 語(yǔ)

DDoS攻擊目前仍是網(wǎng)絡(luò)安全的重要威脅之一。本文將DDoS攻擊的檢測(cè)和流量清洗工作結(jié)合在一起，適用于骨干網(wǎng)上對(duì)DDoS攻擊的防御。提出的方案使用信息熵對(duì)流量進(jìn)行統(tǒng)計(jì)檢測(cè)，能夠?qū)崟r(shí)地檢測(cè)攻擊，使用CUSUM算法控制熵值增減變化，減小抖動(dòng)性和誤報(bào)率。在流量清洗階段使用Pearson相關(guān)系數(shù)計(jì)算流量的自相似度，以此識(shí)別攻擊流量。檢測(cè)方法沒(méi)有針對(duì)特定的攻擊種類，具有普適性。結(jié)果表明，本防御方案能夠迅速地檢測(cè)到攻擊，準(zhǔn)確率高，能夠正確識(shí)別受害者，對(duì)攻擊流量的區(qū)分度較好。

同時(shí)存在的問(wèn)題如下：如果攻擊流量沒(méi)有識(shí)別出來(lái)，仍需要使用其他手段輔助進(jìn)行流量過(guò)濾。其中一些閾值的設(shè)定如何取值才能更加合理需要進(jìn)一步探究驗(yàn)證。目前實(shí)驗(yàn)均是在局域網(wǎng)內(nèi)比較理想的環(huán)境下實(shí)施，拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單，有效性和準(zhǔn)確性的進(jìn)一步檢驗(yàn)還需放在真實(shí)的應(yīng)用和復(fù)雜的網(wǎng)絡(luò)環(huán)境下來(lái)進(jìn)行。

參考文獻(xiàn)

[1] LAU F， RUBIN S H， SMITH M H， et al. Distributed denial of service attacks [C]// 2000 IEEE International Conference on Systems， Man， and Cybernetics. Nashville， TN： IEEE， 2000，3： 2275?2280.

[2] 李德全.拒絕服務(wù)攻擊[M].北京：電子工業(yè)出版社，2007.

[3] TAMARU A， GILHAM F， JAGANNATHAN R， et al. A real?time intrusion detection expert system （IDES） [R]. CA： Computer Science Laboratory， 1992.

[4] KUMAR S， SPAFFORD E H. A software architecture to support misuse intrusion detection [C]// Proceedings of the 18th National Information Security Conference. [S.l.]： NISC， 1995： 194?204.

[5] CANNADY J. Artificial neural networks for misuse detection [C]// Proceedings of the 1998 National Information Systems Security Conference. [S.l.]： NISSC， 1998： 443?456.

[6] LAKHINA A， CROVELLA M， DIOT C. Mining anomalies using traffic feature distributions [C]// Proceedings of ACM SIGCOMM 2005. Philadelphia， Pennsylvania， USA： ACM， 2005： 111?121.

[7] CHEN W， YEUNG D Y. Defending against TCP SYN flooding attacks under different types of IP spoofing [C]// Proceedings of International Conference on Mobile Communications and Learning Technologies. [S.l.]： ICMCLT， 2006： 38?48.

[8] SHIN Seung?won， KIM Ki?young， JANG Jong?soo. D?SAT： detecting SYN flooding attack by two?stage statistical approach [C]// Proceedings of the 2005 Symposium on Applications and the Internet. [S.l.]： SAINT， 2005： 430?436.

[9] JIN S， YEUNG D. A covariance analysis model for DDoS attack detection[C]// Proceedings of the Int’l Conf. on Communications. [S.l.]： IEEE， 2004： 1882?1886.

[10] YU Shui， ZHOU Wan?lei， JIA Wei?jia， et al. Discriminating DDoS attacks from flash crowds using flow correlation coefficient [J]. IEEE Transactions on Parallel and Distributed Systems， 2012， 23（6）： 1073?1080.

[11] THAPNGAM Theerasak， YU Shui， ZHOU Wan?lei， et al. Discriminating DDoS attack traffic from flash crowd through packet arrival patterns[C]// The First International Workshop on Security in Computers， Networking and Communications. [S.l.]： IWSCNC， 2010： 969?974.

[12] FEINSTEIN Laura， SCHNACKENBERG Dan， BALUPARI Ravindra， et al. Statistical approach to DDoS attack detection and response [C]// Proceedings of the DARPA Information Survivability Conference and Exposition. [S.l.]： ISCE， 2003： 303?314.

[13] SHANNON C E， WEAVER W. The mathematical theory of communication [M]. USA： University of Illinois Press， 1963.

[14] 杜鑫，楊英杰，常德顯.基于特征分布分析的網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)[J].計(jì)算機(jī)工程，2009，35（6）：116?118.

[15] 王佳佳，嚴(yán)芬，殷新春.一種基于熵的DDoS攻擊實(shí)時(shí)檢測(cè)算法[J].揚(yáng)州大學(xué)學(xué)報(bào)：自然科學(xué)版，2009，12（1）：56?60.

[16] DRAIN David. Statistical methods for industrial process control [M]. [S.l.]： Chapman Hall， 1997.

[17] DOUGLAS C. Introduction to statistical quality control [R]. [S.l.]： Montgomery Wiley， 2001.

[18] KREYSZIG E. Advanced engineering mathematics [M]. 9th ed. Singapore： Wiley， 2006.