分布式拒絕服務攻擊與防御技術綜述

◆程杰仁 鄧奧藍 唐湘滟

（海南大學信息科學技術學院 海南 571101）

分布式拒絕服務攻擊與防御技術綜述

◆程杰仁 鄧奧藍 唐湘滟

（海南大學信息科學技術學院 海南 571101）

分布式拒絕服務（Distributed Denial of Service，DDoS）攻擊防御技術是網絡空間安全領域研究的難點和熱點。本文根據攻擊發生的網絡層次將DDoS攻擊技術分為網絡層/傳輸層的DDoS攻擊和應用層DDoS攻擊，從攻擊的自動化程度、漏洞利用情況、攻擊源網絡、攻擊速率以及受害者類型等六個方面分析了兩類攻擊的主要特點。為了便于應用部署各種防御技術，針對攻擊防御節點部署位置將現有的網絡層/傳輸層的DDoS攻擊的防御技術分成基于源的檢測技術、基于網絡的檢測技術、基于目標的防御技術和混合技術等四類；將應用層的DDoS攻擊的防御技術分成基于目標的技術和混合技術兩類，分析了現有的DDoS防御方法，并提出了DDoS 攻擊防御技術的未來發展趨勢和相關技術難點。

網絡安全；分布式拒絕服務；防御技術；僵尸網絡

0 引言

互聯網互聯著數十億臺電腦、平板電腦和智能手機，提供了一個全球性的通信、存儲和計算基礎設施[1]。人們對互聯網高度依賴，而攻擊者利用互聯網的弱點來破壞它[2，3]。DDoS攻擊是一種協同大量攻擊源向攻擊目標發送大量無用的攻擊報文以使攻擊目標產生拒絕服務的攻擊。攻擊者先識別網絡中的漏洞，用來在多臺機器上安裝惡意軟件程序實現控制。然后，攻擊者不需要了解攻擊目標，便可以使用這些被攻擊的主機向受害者發送攻擊數據包。DDoS攻擊者的目的就是破壞網絡，使得受害者不能為合法用戶提供任何服務。攻擊者通常需要遵循以下四個基本步驟：（1）掃描網絡進行信息收集，找到易受攻擊的主機，然后使用它們發動攻擊；（2）通過破壞主機，在被攻擊的主機上（稱為僵尸）安裝惡意軟件和惡意程序，使它們只能由攻擊者控制；（3）發動攻擊命令，向受害者發送指定強度的攻擊數據包；（4）進行清理，從內存中刪除所有的記錄或歷史文件。由于DDoS攻擊仍然是最常見且最具破壞性的攻擊之一，因此DDoS攻擊的防御引起了工業界和學術界的廣泛關注。

本文綜述了DDoS攻擊與防御技術的進展。本文第二節介紹了DDoS攻擊的分類；第三節闡述了DDoS攻擊的防御技術的分析；第四節對DDoS攻擊及其防御技術的未來研究方向進行了展望；第五節總結全文。

1 DDoS攻擊技術的分類

DDoS攻擊者為了發起攻擊通常會建立僵尸網絡，如GTbot[4]，Asprox[5]，RBot[6]，Spybot[7]，Waledac[8]，Torpig[9]，Festi[10]，TDL-4[11]等。本節根據攻擊發生的網絡層次將DDoS攻擊技術分為網絡層/傳輸層的DDoS攻擊和應用層DDoS攻擊[12]。

（1）網絡層/傳輸層的DDoS攻擊。這類攻擊大多使用了TCP、UDP、ICMP和DNS協議的數據包，通過耗盡受害人的網絡帶寬，集中破壞合法用戶的連接[12]。

（2）應用層DDoS攻擊。這類攻擊通過耗盡服務器資源（例如套接字、處理器、內存、磁盤/數據庫帶寬、輸入/輸出帶寬），專注于破壞合法用戶的服務[13]。

在過去的十年中，DDoS攻擊的規模和頻率都大幅上升，攻擊者利用僵尸網絡技術和其他的最新高速互聯網接入技術消耗其攻擊目標的資源。Igure等人[14]為計算機系統中的攻擊和漏洞做了分類。Arbor第八屆全球基礎設施安全報告報道了2005（10 Gbps）到2010（100 Gbps）期間，最大的DDoS攻擊的大小增長了10倍。由于DDoS攻擊急劇的增長，網絡安全防御者必須重點防御網絡層/傳輸層的DDoS攻擊和應用層DDoS攻擊。

1.1 網絡層/傳輸層的DDoS攻擊特點

這種類型的攻擊的主要目標是通過發送大量的攻擊流量淹沒由服務器、路由器和交換機網絡組成的基礎設施。這些攻擊可以利用協議的漏洞來產生。網絡層/傳輸層的攻擊可以根據自動化程度、漏洞利用、使用的網絡攻擊的類型、攻擊速率、受害者的類型和攻擊的影響等方面進一步分析各種網絡層/傳輸層攻擊類型。

（1）自動化程度。DDoS攻擊者可以嘗試手動，自動或半自動的執行網絡層，傳輸層和應用層DDoS攻擊。在手動攻擊中，攻擊者通過掃描網絡來安裝惡意程序，從而收集主機上的漏洞信息。這些被攻擊的主機隨后被用來響應手動指令以發送攻擊數據包到受害者機器。在自動網絡層/傳輸層攻擊的情況下，攻擊者和被入侵的機器之間不存在直接通信。根據預先指定的攻擊開始時間、攻擊的類型、持續時間和受損機器的源IP，這種攻擊會自動啟動。半自動攻擊介于上述兩類之間，攻擊目標的地址、攻擊類型和攻擊持續時間在攻擊發生時手動指定。

（2）漏洞利用。網絡中的各種類型的漏洞被攻擊者用來發起特定攻擊，包括利用所使用協議的漏洞，如TCP，UDP，ICMP，HTTP，FTP和TELNET等協議漏洞。這些漏洞可能會導致諸如泛洪、放大或畸形報文的攻擊，即使用大量的網絡流量淹沒受害者機器的服務。

（3）攻擊源網絡。在這個類型的攻擊中，攻擊者可以使用或租用被攻擊的機器組成的網絡來發動網絡層/傳輸層DDoS攻擊。攻擊網絡可以分為幾種類型，如代理處理器、IRC網絡及P2P網絡。在代理處理器的情況下，攻擊者控制了處理器之后，它使用代理向受害網絡發送攻擊流量。IRC網絡類型包含了大量被稱為“僵尸”的被攻擊的節點，這些節點連接起來形成被叫做僵尸網絡的網絡，由一個僵尸主控機控制。在P2P網絡中，每個節點都能夠直接與網絡中的其他節點進行通信。在這個網絡中，不存在集中控制技術。

（4）攻擊速率。網絡層或傳輸層的DDoS攻擊可以通過各種攻擊速率啟動。它可以是恒定的速率，增長的速率或可變的速率[15]。在一個恒定的速率攻擊中，攻擊者通常在有限的范圍內進行微小的變化，以一個穩定的速率發送攻擊流量到受害端。在增長的攻擊速率中，傳入受害者端的攻擊流量逐漸或急劇增加，并一直持續下去直到信道的帶寬被完全占用。這樣的攻擊類型可以很容易地檢測到。再者，在一個可變速率的攻擊中，如脈沖式攻擊的情況下，攻擊流量通常反復由幾個巨大的定期或不定期地短時間的突發數據組成。這種攻擊類型的一個重要特征是脈沖的振幅和高度可以是恒定的或隨機的。第四種類型，即一個分組的攻擊是可變速率網絡層/傳輸層的DDoS攻擊的一個變種，是脈沖和恒定速率攻擊類型的組合。

（5）受害者類型。根據受害者的類型，如主機、主機網絡、資源或應用程序，攻擊者可以采取各種行動，發動網絡層或傳輸層的DDoS攻擊。

（6）影響。在一個網絡層或傳輸層的DDoS攻擊中，根據攻擊流量的使用量，對受害者的機器或網絡的損傷程度可以有所不同。這是由于DDoS攻擊的破壞性或使性能下降所造成的影響。

1.2 應用層的DDoS攻擊特點

應用層DDoS攻擊通常是針對HTTP協議的，目標是耗盡Web服務器有限可用的資源。相比網絡層/傳輸層的攻擊，這些攻擊消耗較低的帶寬。攻擊者通常自定義的指定一個特定的web應用程序，通過發送請求來占用受影響的網絡的內部資源。這些攻擊者只需要有限的網絡連接就能完成它們的惡意設計。通常情況下，這種攻擊并不容易識別，因為它們看起來類似于合法流量，而且它的業務量也不是太大。檢測這種類型的DDoS攻擊很困難，背后有三個主要原因[16]，（1）攻擊中，合法的TCP和UDP連接的使用，使得很難區分出它是否為非法的流量。（2）效率，只需要較少的連接來成功地啟動一個攻擊，使它效率很高。（3）致命性，它可以迅速的淹沒服務器的資源，導致拒絕服務而不管主機的硬件的能力如何。如網絡層/傳輸層攻擊一樣，應用層攻擊也可以根據自動化程度、漏洞利用、網絡攻擊類型、攻擊速率、受害者的類型和攻擊的影響等方面進一步分析各種應用層攻擊類型。

（1）自動化程度。攻擊可以是手動的，也可以是半自動的，這取決于攻擊時所使用的自動化程度。當手動DDoS攻擊主要集中在應用層上時，確定易受攻擊的主機被攻擊后，攻擊者通過指揮控制并執行應用程序。另一方面，在半自動的DDoS攻擊中，識別受害機器后，攻擊者手動指定攻擊速度，攻擊類型和攻擊持續時間。攻擊的產生仍然是靠自動使用受到攻擊的主機。雖然自動的應用層DDoS攻擊是不常見的，但是在自動執行的惡意代碼的幫助下生成攻擊流量是可能的。

（2）利用漏洞。應用層DDoS攻擊是利用協議的弱點，比如針對服務器或主機的HTTP，FTP和TELNET協議。這類DDoS攻擊的一些常見的例子是會話泛洪和請求泛洪。在一個會話泛洪攻擊中，攻擊者的目的是以比正常用戶更高的速度發送會話，導致受害服務器發生故障。而在請求泛洪中，攻擊者以高于正常用戶的速度發送大量的請求數據包給受害機器，從而破壞機器。

（3）攻擊源網絡。在應用層DDoS攻擊中，攻擊者也可以通過創建或租用一個受害網絡來發動攻擊。這樣的網絡攻擊通常有三種類型，即代理處理器網絡、RC網絡和P2P網絡。不像代理處理器和IRC架構，在P2P網絡中每個節點都可以與網絡中的任何節點通信。攻擊者的目的是欺騙大量的客戶機運行P2P軟件來從DDoS攻擊的目標中請求一個文件，從而用流量淹沒目標地址。

（4）攻擊速率。像網絡層/傳輸層的DDoS攻擊，根據隨時間推移所產生的流量模式，HTTP GET泛洪攻擊流量也可以有幾種類型。一般來說有四種不同的類型：①增長率，隨著時間的推移，攻擊率逐漸增加；②偽隨機泛洪，攻擊者試圖通過隨機的改變流量強度來淹沒受害者；③狡猾的攻擊者通過周期性地發送HTTP GET脈沖請求，而不是通過流量的增加率或隨機變化的大量請求流量來發動攻擊；④爆炸泛洪，這是由持續很長時間的高容量流量發起的攻擊請求。

（5）受害者類型。在應用層攻擊過程中，攻擊者可以選擇任何服務器，例如Web服務器，組織的郵件服務器，網絡中的任何主機或者流行的網站都可以成為攻擊的受害者。使用HTTP GET或POST泛洪請求，攻擊者可能會破壞服務器或者使一個網站關閉。

（6）影響。應用級的泛洪攻擊可能會試圖耗盡服務器的資源，從而無法為合法客戶端提供服務。這樣的應用層DDoS攻擊在退化攻擊中產生破壞。攻擊者試圖讓服務器宕機，使其性能下降。

2 DDoS攻擊防御技術的分類

自從雅虎、亞馬遜等知名網站經歷了2000年的DDoS攻擊后，研究人員便提出了一些方法試圖削弱DDoS攻擊。文獻中已經提出了DDoS攻擊的防御技術的幾個分類[17-19]。本節依據DDoS攻擊發生網絡層次將目前DDoS攻擊防御技術分成網絡層/傳輸層DDoS攻擊防御技術和應用層DDoS攻擊防御技術兩類，并根據攻擊防御節點部署位置對兩種防御技術進一步細分，以便應用部署各種防御技術。

2.1 網絡層/傳輸層DDoS攻擊防御技術

網絡層/傳輸層的DDoS攻擊的防御技術根據部署位置可以分為下面四類[17]。

（1）基于源的檢測技術。基于源的檢測技術是被部署在攻擊源的附近，防止網絡客戶產生DDoS攻擊[17]。基于源技術的例子包括入口/出口過濾，它是在有效的IP地址范圍內的網絡[20]和源地址有效性強制執行（SAVE）協議的源邊緣路由器上的偽造IP地址過濾包[21]。

（2）基于網絡的檢測技術。這些技術被部署在網絡內，而且主要是在路由器的自治系統中（ASs）。一般有兩類的DDoS攻擊檢測技術。第一類被稱為DDoS攻擊特定檢測。在局域網路由器上采用流量熵來監測網絡流量來檢測局域網中獨立的DDoS攻擊，當流量熵在短時間內快速下降時，提高對潛在的DDoS攻擊的警報[31]。此外，信息距離用來區分突發訪問中的DDoS攻擊。一般來說，一個DDoS攻擊會話的攻擊流量是由一個僵尸網絡中的大量“僵尸”產生的，并且所有的“僵尸”都執行相同的攻擊程序。因此，攻擊流量之間的相似性比突發訪問的要高，這是由大量隨機的用戶產生的。第二類被稱為基于異常的檢測[22，36]。Yuan 等人提出了采用Cross-Correlation 和Weight Vector方法分析骨干網節點流量[27]，檢測DDoS 攻擊的方法。此方法能夠有效檢測多種攻擊，如恒速流量攻擊、增速流量攻擊、Pulsing 攻擊或TCP-Target 攻擊等。

（3）基于目標的防御技術。在目標為基礎的防御技術中，檢測和響應主要是在攻擊的目標處（即受害者）[17，34，35]完成。基于目標的防御技術的一些例子包括輸入調試[23]，概率包標記[24]，以及基于哈希的IP追蹤技術[25]。基于DDoS 攻擊會導致流量大幅度增加的特征[28]，Sekar 等人提出了一種兩級DDoS 檢測技術，能夠及時發現被攻擊地址。采用Snmp 測量路由器接口流量，并與歷史流量數據進行比對，能夠發現流量的異常變化，然后利用Netflow 信息，提取被攻擊地址。文獻[29]采用CUSUM方法來檢測攻擊，對TCP SYN Flood 攻擊的檢測仍然基于三次握手的完成情況。為了區分是偽造固定地址攻擊（或采用了真實地址）、偽造子網地址攻擊，還是隨機偽造地址攻擊，采用了Bloom Filter來統計源地址分布情況。DDoS 攻擊通常由僵尸網絡發動，而蜜罐是捕獲僵尸程序的重要手段。通過分析僵尸程序和僵尸網絡控制者發送的命令，能夠實現對DDoS 攻擊的提前檢測，并且能夠準確地獲取DDoS 攻擊類型等信息[30，33]。

（4）混合（分布式）技術。混合防御系統部署（或其組成部分分布在多個位置）在多個位置，例如來源，目的地或中間網絡，多個部署點之間通常會合作[17，32]。Chen 等人采用CAT（change-aggregation tree）方法[26]，對流經同一個ISP 網絡中的路由器流量進行協同分析，根據路由器每個接口的流量分布情況發現流量異常，流量異常報警信號發送給CAT 構建服務器，由CAT 構建服務器對報警信號進行協同分析融合處理，實現對攻擊的快速、準確識別。

2.2 應用層DDoS攻擊防御技術

應用層的DDOS攻擊的防御技術可以根據防御節點的部署位置被分為兩類[17]：

（1）基于目標（服務器端）的技術。例如，DDoS攻擊防護使用統計方法來檢測HTTP會話的特性，并采用限制速率為主要防御技術[17，21]。基于緩解網絡層DDoS攻擊的自適應選擇性驗證（ASV）防御的應用層DDoS攻擊（ADDoS）防御技術可以有效地防御DDoS攻擊，使用統計模型檢驗器PVeStA來進行了驗證來防止ADDoS。即使在大量攻擊者存在的情況下，運行該防御技術的應用程序仍具有很高的可用性[39]。

（2）混合（分布式）技術。例如，全自動區分計算機和人類的圖靈測試（CAPTCHA）[37，38]。分別從基于驗證的方法、基于成員管理的方法、基于信譽的方法和受害者端的方法四個方面得出基于P2P的DDoS攻擊的防御方法[40]。一個動態資源分配策略可以用來應對個人云客戶中的DDoS攻擊。當一個DDoS攻擊發生時，利用閑置的云資源為受害者克隆大量的入侵防御服務器，從而快速的過濾掉攻擊數據包，同時保證對合法用戶的服務質量[41-43]。

3 未來研究展望

雖然在過去的二十年中，大量的防御解決方案已被引入到抵御日益復雜的DDoS攻擊中，但是仍然有一些已經公開但尚未解決的重要問題和研究挑戰，未來可進一步研究的方向有如下幾點：

（1）現有的方法雖然已被設計為有效的檢測低速率和高速率的DDoS攻擊，但通常不能同時滿足兩者。所以，開發一個方法用來同時實時的檢測這兩種類型的攻擊，仍然是一個值得研究的問題。

（2）大多數方法的性能依賴于網絡條件，其性能也受到多個用戶參數的影響。因此，從這些限制中，盡可能的開發出一個防御解決方案是一個重要的研究方向。

（3）由于缺乏公正的評價框架，包括基準數據集，使得正在開發的方法的性能難以正確評估。因此，創建一個公正的框架來適當的評估一個防御解決方案，是需要研究的一個重要的問題。

（4）開發一個通用的解決方案來防御使用各種協議類型的DDoS攻擊應該是一個新的研究方向。

（5）大多數的防御方法只對已知的攻擊有效。雖然一些防御方法采用了動態技術，但它仍然難以找到一個從接近實時的、未知的攻擊中保護網絡資源的預防機制。

（6）如何開發一個追蹤機制以確保集成多個特定支持的追蹤機制，在檢測過程中，允許提取信息的重用。

4 總結

DDoS攻擊防御技術是網絡安全領域的難點問題，隨著DDoS攻擊技術和防御技術的不斷發展，該問題一直受到研究人員的廣泛關注，本文綜合學術界近年來的相關研究成果，主要分析了DDoS攻擊的及其防御機制的類型，提出了DDoS攻擊的防御機制仍存在一些尚未解決的問題，及其未來發展趨勢和相關技術難點。

[1]C．-H．Yu，K．Doppler，C．B．Ribeiro，and O．Tirkkonen，“Resource sharing optimization for device-to-device communicat ion underlaying cellular networks，” Wireless Communications，I EEE Transactions on，vol．10，no．8，pp．2752–2763，2011．

[2]N．Hoque，D．Bhattacharyya，and J．Kalita，“MIFS-ND：A mutual information-based feature selection method，” Expert Systems with Applications，vol．41，no．14，pp．6371–6385，2014．

[3]D．K．Bhattacharyya and J．K．Kalita，Network anomaly detection：A machine learning perspective．CRC Press，2013．

[4]G．Macesanu，T．Codas，C．Suliman，and B．Tarnauca，“Development of gtbot，a high performance and modular indoor robot，” in Automation Quality and Testing Robotics（AQTR），2010 IEEE International Conference on，vol．1．IEEE，2010．

[5]R．Borgaonkar，“An analysis of the asprox botnet，” in Emerging Security Information Systems and Technologies（SECURWARE），2010 Fourth International Conference on．IEEE，2010．

[6][Online]．Available：http：//ruby-rbot．org/．

[7]C．Li，W．Jiang，and X．Zou，“Botnet：Survey and case study，” in Innovative Computing，Information and Control（ICICIC），2009 Fourth International Conference on．IEEE，2009．

[8]L．Trolle Borup，“Peer-to-peer botnets：A case study on waledac，” Ph．D．dissertation，Technical University of Denmark，DTU，DK-2800 Kgs．Lyngby，Denmark，2009．

[9]B．Stone-Gross，M．Cova，B．Gilbert，R．Kemmerer，C．Kruegel，and G．Vigna，“Analysis of a botnet takeover，” Security & Privacy，IEEE，vol．9，no．1，pp．64–72，2011．

[10]M．Intelligence，“Annual security report，” Symantec Corp，2010．

[11]S．Greengard，“The war against botnets，”Communications of the ACM，vol．55，no．2，pp．16–18，2012．

[12]S．T．Zargar，J．Joshi，and D．Tipper，“A survey of defen se mechanismsagainst distributed denial of service（DDoS）floo ding attacks，”IEEE Commun．Surveys Tuts．，vol．15，no．4，pp．2046–2069，4th Quart．2013．

[13]S．Ranjan，R．Swaminathan，M．Uysal，and E．W．Knightl y，“DDoSresilientscheduling to counter application layer attacks under imperfectdetection，” in Prof．IEEE INFOCOM，Apr．2006．

[14]V．Igure and R．Williams，“Taxonomies of attacks and vulnerabilities in computer systems，” Communications Surveys & Tutorials，IEEE，vol．10，no．1，pp．6–19，2008．

[15]J．Yuan and K．Mills，“Monitoring the macroscopic effe ct of DDoS flooding attacks，” Dependable and Secure Comp uting，IEEE Transactions on，vol．2，no．4，pp．324–335，2005．

[16] M．Fakrul Alam，“Application layer ddos a practical a pproach &mitigation techniques，” bdHUB Limited，2014．

[17]S．T．Zargar，J．Joshi，and D．Tipper，“A survey of defen se mechanisms against distributed denial of service（DDoS）flo oding attacks，” IEEE Commun．Surveys Tuts．，vol．15，no．4，p p．2046–2069，4th Quart．2013．

[18]“Riorey taxonomy of DDoS attacks，” RioRey Inc．，Bethesda，MD，USA，Tech．Rep．Rioreytaxonomy rev 2．3 201 2，2012．[Online]．Available：http：//www．riorey．com/x-resourc es/2012/RioReyTaxonomyDDoSAttacks2012．eps

[19]S．Farahmandian et al．，“A survey on methods to defen d against DDoS attack in cloud computing，” in Proc．Recent Adv．Knowl．Eng．Syst．Sci．，Feb．2013，pp．185–190．

[20]P．Ferguson，“Network ingress filtering：Defeating denia l of service attacks which employ IP source address spoofin g，” Internet Eng．Task Force（IETF），Fremont，CA，USA，I nternet RFC 3704，2000．

[21]J．Li et al．，“SAVE：Source address validity enforcement protocol，” in Proc．IEEE INFOCOM，2002．

[22]T．Peng，C．Leckie，and K．Ramamohanarao，“Survey of network-based defense mechanisms countering the DoS and DDoS problems，” ACMComput．Surveys，vol．39，no．1，pp．1–42，Apr．2007．

[23]R．Stone et al．，“Centertrack：An IP overlay network f or tracking DoS floods，” in Proc．USENIX Security Symp．，2000．

[24]S．Savage，D．Wetherall，A．Karlin，and T．Anderson，“Pr actical network support for IP traceback，”SIGCOMM Compu t．Commun．Rev，vol．30，no．4，pp．295–306，Aug．2000．

[25]A．C．Snoeren et al．，“Hash-based IP traceback，” SIGC OMM Comput．Commun．Rev．，vol．31，no．4，pp．3–14，2001．

[26] Chen Y，Hwang K．Collaborative change det-ection of DDoS attacks on community and ISP net-works．In：Proc．of the IEEE Int’l Symp．on Collaborative T-echnologies and S ystems（Special Sessions on Col- lab-oration Grids and Commu nity Networks）．Las Veg-as，2006．401?410．[doi：10．1109/CTS．2006．27]

[27]Yuan J，Mills K．Monitoring the macroscopic effect o f DDoS flooding attacks．IEEE Trans．on Dependable and Secur e Computing，2005，2（4）：324?335．[doi：10．1109/TDSC．20 05．50]

[28]Sekar V，Duffield N，Merwe JVD，Zhang H．LADS：Large-scale automated DDoS detection system．In：Proc．of the USENIX Annual Technical Conf．Santa Clara，2006．

[29]Chen W，Yeung DY．Defending against TCP S-YN flooding attacks under different types of IP spo-ofing．In：Proc．of the Int’l Conf．on Networking，Syst- ems，Mobile Commu nications and Learning Technologies．Washington，2006．

[30]Weiler N．Honeypots for distributed denial of service attacks．In：Proc．of the 11th IEEE Int’l Work- shops on Enab ling Technologies：Infrastructure for C-ollaborative Enterprises．Pittsburgh，2002．

[31]Siegler S，，Moskowitz G D，Freedman W，． DDoS Attack Detection at Local Area Networks Using Information Th eoretical Metrics[C]// IEEE International Conference on Trust，Se curity and Privacy in Computing and Communications．2013．

[32]LI Qiao,HE Hui,FANG Bin-Xing．Awareness of the Network Group Anomalous Behaviors Based on Network Tr ust．Chinese Journal of Computers,2014．

[33]Sun Zhi-Xin，Jiang Ju-Liang，Jiao Lin．DDoS Attack Detecting and Defending Model．Nanjing Univ-ersity of Posts and Telecommunications,2007．

[34]H．C．J．Suh,T．Y．W．Yoon,T．Kwon，and Y．Choi，“Imple mentation of a content-oriented networking architecture（CO NA）：A focus on DDoS countermeasure，” in Prof．Eur．NetF PGA Develop．Workshop，2010．

[35]Yang Xiang，，Zhongwen Li，"An Analytical Model for DDoS Attacks and Defense，" Computing in the Global I nformation Technology，International Multi-Conference on，p．66，International Multi-Conf-erence on Computing in the Gl obal Information Te- chnology -（ICCGI'06），2006．

[36]YANG Xin-Yu YANG Shu-Sen LI Juan．A Floo-di ng-Based DDoS Detection Algorithm Based on N-on-Linear Preprocessing Network Traffic Predicted Method．Chinese Jo urnal of Computers，2011，34（02）：395-405（in Chinese）．

[37]A．Kolupaev and J．Ogijenko，“Captchas：Huma-ns vs．b ots，” IEEE Security Privacy，vol．6，no．1，pp．68–70，Jan．2008．

[38]R．Datta，J．Li，and J．Wang，“Exploiting the hu-manmachine gap in image recognition for designing c-aptchas，” IEE E Trans．Inf．ForensicsSecurity，vol．4，no．3，pp．504–518，Sep．2009．

[39]Dantas Y G，Nigam V，Fonseca I E．A Selecti-ve De fense for Application Layer DDoS Attacks[C]// IEEE Joint In telligence and Security Informatics Conf-erence，JISIC．2014．

[40]LIU Min-Xia，YU Jie，LI Qiang．Research on P2-Pas ed DDoS attacks and their defense mechanism．Ap-plication Res earch of Computers，2011．

[41]C．YuHunag，T．MinChi，C．YaoTing，C．YuChieh，an d C．YanRen，“A novel design for future on-demandservice an d security，” in Proc．12thIEEE Int．Conf．Commun．Technol，20 10．

[42]A．Lara,A．Kolasani．and B．Ramamurthy．Network innovat ion usingopenflow：A survey．IEEE Commun．S-urveys Tuts．．vo l．15,no．4,pp．2046–2069,4th Quart．2013．

[43]Yu S,Tian Y,Guo S,et al．Can We Beat DDoS Attac ks in Clouds[J]．IEEE Transactions on Parallel & Distributed Sy stems，2014．

國家自然科學基金（61363071，61379145，61471169）；海南省自然科學基金（614220）；湖南省教育科學十二五規劃課題資助項目（XJK011BXJ004）；海南大學博士啟動基金（kyqd1328）．海南大學青年基金（qnjj1444）。