徐 川，杜 成，唐 紅

（1重慶郵電大學(xué)通信學(xué)院 重慶 400065；2重慶郵電大學(xué)計(jì)算機(jī)學(xué)院 重慶 400065)

1 引言

拒絕服務(wù)（DoS）攻擊是指利用網(wǎng)絡(luò)協(xié)議的缺陷或通過(guò)各種手段耗盡被攻擊對(duì)象的資源，以使得被攻擊主機(jī)或網(wǎng)絡(luò)無(wú)法提供正常服務(wù)的攻擊方式。分布式拒絕服務(wù)(distributed denial of service，DDoS)攻擊則是在傳統(tǒng)的拒絕服務(wù)攻擊基礎(chǔ)上產(chǎn)生的分布式大規(guī)模攻擊方式。它由攻擊者控制傀儡機(jī)向受害者發(fā)送大量攻擊數(shù)據(jù)包，使得受害機(jī)無(wú)法正常通信。近年來(lái)，DDoS攻擊技術(shù)變得越來(lái)越復(fù)雜，DDoS攻擊發(fā)生的次數(shù)逐漸增多，僵尸網(wǎng)絡(luò)的不斷發(fā)展也給攻擊檢測(cè)帶來(lái)了一定的難度，對(duì)網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。因此，DDoS攻擊檢測(cè)對(duì)網(wǎng)絡(luò)安全具有很重要的意義和價(jià)值。

2 DDoS攻擊檢測(cè)的研究現(xiàn)狀

目前,關(guān)于DDoS攻擊的研究主要可以分為4方面：預(yù)防、檢測(cè)、攻擊源追蹤、響應(yīng)。其中,重點(diǎn)研究方向是攻擊期間的檢測(cè)技術(shù)，其目的是在攻擊發(fā)生時(shí)有效地檢測(cè)出攻擊的存在。當(dāng)前DDoS攻擊的檢測(cè)方法有很多種，主要分為3類(lèi)：基于誤用的DDoS檢測(cè)、基于異常的DDoS檢測(cè)以及混合式DDoS檢測(cè)?；谡`用的DDoS檢測(cè)主要是利用了特征匹配、模型推理、狀態(tài)轉(zhuǎn)換和專(zhuān)家系統(tǒng)的方法；基于異常的DDoS檢測(cè)主要包括統(tǒng)計(jì)檢測(cè)、模式預(yù)測(cè)、人工智能檢測(cè)、機(jī)器學(xué)習(xí)檢測(cè)4種方法。混合模式DDoS攻擊檢測(cè)則是將誤用DDoS攻擊檢測(cè)和異常DDoS攻擊檢測(cè)兩種方式混合使用。基于異常的DDoS檢測(cè)以及混合式DDoS檢測(cè)是現(xiàn)在應(yīng)用比較廣泛的兩類(lèi)方法，本文對(duì)這些檢測(cè)方法進(jìn)行進(jìn)一步的歸類(lèi)總結(jié)，明確各種檢測(cè)方法的特點(diǎn)和應(yīng)用范圍，以便更加有效地進(jìn)行DDoS攻擊檢測(cè)。

針對(duì)DDoS分層攻擊，DDoS攻擊檢測(cè)可以分為4類(lèi)：鏈路層檢測(cè)、網(wǎng)絡(luò)層檢測(cè)、傳輸層檢測(cè)及應(yīng)用層檢測(cè)。按照不同的檢測(cè)位置[1]，又可以將DDoS攻擊檢測(cè)分為源端檢測(cè)、中間網(wǎng)絡(luò)檢測(cè)、受害端檢測(cè)和混合式檢測(cè)。

3 攻擊檢測(cè)分層分類(lèi)

3.1 鏈路層檢測(cè)

鏈路層檢測(cè)主要指ARP攻擊檢測(cè)。實(shí)際中，DDoS攻擊中很少是基于ARP協(xié)議的，因此，基于ARP協(xié)議的DDoS攻擊檢測(cè)方法也比較少。

Farahmand M等人[2]提出了一種在廣播域中檢測(cè)ARP異常流量的新方法，結(jié)合流量速率、突發(fā)度、暗區(qū)（連接空置的內(nèi)部IP地址）、掃描順序4個(gè)參數(shù)確定網(wǎng)絡(luò)異常。參考文獻(xiàn)[3]設(shè)計(jì)并實(shí)現(xiàn)了一種基于交換機(jī)鏡像端口的ARP欺騙檢測(cè)方法，其基本原理為：將運(yùn)行ARP欺騙檢測(cè)功能進(jìn)程的主機(jī)連接到交換機(jī)的鏡像端口，該鏡像端口復(fù)制了其他被檢測(cè)端口的進(jìn)出口數(shù)據(jù)，檢測(cè)主機(jī)過(guò)濾并分析這些數(shù)據(jù)中的所有ARP報(bào)文的IP-MAC地址對(duì)應(yīng)關(guān)系，通過(guò)與標(biāo)準(zhǔn)關(guān)系庫(kù)進(jìn)行一致性對(duì)比，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的ARP欺騙報(bào)文。

3.2 網(wǎng)絡(luò)層檢測(cè)

網(wǎng)絡(luò)層DDoS攻擊檢測(cè)是利用IP層協(xié)議信息實(shí)現(xiàn)DDoS攻擊檢測(cè)。網(wǎng)絡(luò)層DDoS攻擊主要利用網(wǎng)絡(luò)層協(xié)議存在的漏洞進(jìn)行攻擊致使目標(biāo)主機(jī)系統(tǒng)崩潰，目前針對(duì)網(wǎng)絡(luò)層檢測(cè)研究較多、較為成熟，已有許多有效的檢測(cè)方案。

[4]提出在IP層采用基于聚集的擁塞控制算法，通過(guò)限制擁塞信號(hào)的寬度，使間接損害達(dá)到最小。Yann Labit等在參考文獻(xiàn)[5]中分別計(jì)算ICMP請(qǐng)求/響應(yīng)延遲時(shí)間序列的熵值和Hausdorff距離，以實(shí)現(xiàn)實(shí)時(shí)檢測(cè)攻擊；參考文獻(xiàn)[6]分析了IP數(shù)據(jù)包分片攻擊，提出了一種數(shù)據(jù)包分片攻擊的防御機(jī)制；參考文獻(xiàn) [7]提出了基于ICMP窗口限制的方法，提取數(shù)據(jù)包的ICMP標(biāo)志位，根據(jù)對(duì)應(yīng)的IP地址進(jìn)行分類(lèi)，估計(jì)每個(gè)IP地址的到達(dá)速率，將估計(jì)值與閥值比較，若大于閥值，則采用ICMP的窗口限制算法過(guò)濾相應(yīng)數(shù)據(jù)包，以防止ICMP洪流攻擊。

3.3 傳輸層檢測(cè)

傳輸層DDoS攻擊檢測(cè)是指基于傳輸層協(xié)議信息實(shí)現(xiàn)DDoS攻擊檢測(cè)。DDoS攻擊中TCP Flooding和UDP Flooding攻擊是比較普遍的兩種攻擊，與網(wǎng)絡(luò)層檢測(cè)相似，傳輸層檢測(cè)應(yīng)用較為廣泛，方法較多，且檢測(cè)方法比較有效。

參考文獻(xiàn) [8]從分析TCP緩存入手，提出一種基于TCP緩存的DDoS攻擊檢測(cè)算法，分析主機(jī)TCP緩存中與DDoS密切相關(guān)的數(shù)據(jù)，概括出這些數(shù)據(jù)的特征和狀態(tài)，當(dāng)發(fā)生DDoS攻擊時(shí)，它們和正常狀態(tài)就會(huì)產(chǎn)生偏差，出現(xiàn)異常，可以此來(lái)判斷是否發(fā)生DDoS攻擊。參考文獻(xiàn)[9]給出了一種基于相關(guān)系數(shù)矩陣的異常檢測(cè)及分析方法，由相關(guān)系數(shù)矩陣獲得每個(gè)單位時(shí)間內(nèi)不同類(lèi)型的TCP數(shù)據(jù)包之間的定量關(guān)系，并通過(guò)觀測(cè)數(shù)據(jù)包之間的相關(guān)系數(shù)來(lái)發(fā)現(xiàn)TCP流中的異常行為及其類(lèi)型，從而實(shí)現(xiàn)了網(wǎng)絡(luò)檢查和異常行為檢測(cè)及分析。參考文獻(xiàn)[10]提出了基于人工免疫系統(tǒng)的UDP洪流攻擊防御系統(tǒng)，利用基于特征值匹配的改進(jìn)型否定選擇算法，有效地檢測(cè)UDP洪流攻擊。

3.4 應(yīng)用層檢測(cè)

隨著低層防御措施的加強(qiáng)，DDoS攻擊者逐漸把攻擊方向向應(yīng)用層遷移?；趹?yīng)用層的DDoS攻擊利用了高層協(xié)議和服務(wù)的多樣性和復(fù)雜性，變得更復(fù)雜，也更加難以檢測(cè)。因此，針對(duì)應(yīng)用層DDoS攻擊，不少學(xué)者提出了新的有效檢測(cè)方法。

Walfish等提出了基于“進(jìn)攻”的防御方法[11]，認(rèn)為通過(guò)觸發(fā)所有客戶(hù)提高其請(qǐng)求速率可以有效排擠攻擊者，其依據(jù)是攻擊發(fā)生時(shí)，攻擊者通常已經(jīng)耗盡自身的鏈路帶寬，而正常用戶(hù)的帶寬有較大的冗余，因此提高正常用戶(hù)的請(qǐng)求速率可以有效降低攻擊者對(duì)服務(wù)器入口處的帶寬占有率。Ranjan[12]等利用統(tǒng)計(jì)方法檢測(cè)每個(gè)HTTP會(huì)話(huà)的異常度，然后通過(guò)控制HTTP速率來(lái)抵御DDoS攻擊，但這種基于速率的檢測(cè)方法在突發(fā)流量下，難以區(qū)分正常流量與攻擊流的區(qū)別。參考文獻(xiàn)[13]基于動(dòng)態(tài)請(qǐng)求、訪問(wèn)內(nèi)容的選擇和可視化3方面建模，計(jì)算某站點(diǎn)內(nèi)各頁(yè)面跳轉(zhuǎn)概率。參考文獻(xiàn)[14]采用了基于Web文檔流行度的檢測(cè)方法，該方法通過(guò)Web服務(wù)器端的用戶(hù)訪問(wèn)日志文件，提取出用戶(hù)對(duì)Web對(duì)象的重訪率，根據(jù)重訪率描述用戶(hù)Web流的行為特性，觀測(cè)數(shù)據(jù)經(jīng)過(guò)PAC和ICA預(yù)處理后得到實(shí)測(cè)熵，由隱半馬爾可夫模型 （HsMM）得到最終的異常判決指標(biāo)——熵，由實(shí)測(cè)熵與模型固有熵的偏離程度決定Web流的異常程度。

3.5 相關(guān)分析

網(wǎng)絡(luò)層和傳輸層的DDoS攻擊主要是利用網(wǎng)絡(luò)傳輸協(xié)議漏洞進(jìn)行洪泛攻擊，以消耗攻擊目標(biāo)帶寬為目的，由于相關(guān)研究開(kāi)展較早，目前其檢測(cè)方法也較多，較為完善。應(yīng)用層DDoS攻擊主要是在應(yīng)用層上進(jìn)行洪泛和資源占用攻擊，以消耗CPU、內(nèi)存、數(shù)據(jù)庫(kù)等資源為目的，與網(wǎng)絡(luò)層DDoS攻擊不同，應(yīng)用層DDoS攻擊向攻擊目標(biāo)所發(fā)送的服務(wù)請(qǐng)求都是合法的服務(wù)請(qǐng)求，這些服務(wù)請(qǐng)求無(wú)須利用網(wǎng)絡(luò)協(xié)議漏洞，因此，網(wǎng)絡(luò)層檢測(cè)很難對(duì)這類(lèi)攻擊做出響應(yīng)。目前，應(yīng)用層檢測(cè)方法較少，沒(méi)有低層檢測(cè)方法完善，有待進(jìn)一步提高。

表1從檢測(cè)難度、檢測(cè)率、誤報(bào)率、漏報(bào)率、時(shí)間特性及算法復(fù)雜度6個(gè)指標(biāo)分別對(duì)網(wǎng)絡(luò)層檢測(cè)、傳輸層檢測(cè)及應(yīng)用層檢測(cè)進(jìn)行了總結(jié)。

表1 DDoS攻擊分層檢測(cè)

4 攻擊檢測(cè)部署分類(lèi)

源端攻擊檢測(cè)是指將攻擊檢測(cè)算法部署在發(fā)出攻擊數(shù)據(jù)包的主機(jī)所在網(wǎng)絡(luò)的邊界路由器上，中間網(wǎng)絡(luò)檢測(cè)的檢測(cè)位置是整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)備，比如交換機(jī)、路由器等。受害者端DDoS攻擊檢測(cè)是指將攻擊檢測(cè)算法部署在被攻擊的主機(jī)及相關(guān)的網(wǎng)絡(luò)設(shè)備上。此外，還可以將攻擊檢測(cè)算法分散部署在源端、中間網(wǎng)絡(luò)和受害端中的至少兩個(gè)位置，稱(chēng)為混合式檢測(cè)。

4.1 源端檢測(cè)

檢測(cè)算法部署在攻擊源端能夠及時(shí)檢測(cè)到DDoS攻擊，最大程度上降低DDoS攻擊危害。但是由于攻擊數(shù)據(jù)在攻擊端的數(shù)量比較少，需要記錄更多的網(wǎng)絡(luò)數(shù)據(jù)信息并消耗較多的存儲(chǔ)資源和計(jì)算資源，才能保證檢測(cè)的準(zhǔn)確性。

參考文獻(xiàn)[15]抽取TCP/IP包頭中的標(biāo)志位和ID字段構(gòu)成多維觀測(cè)特征，采用Multi-stream Combined隱馬爾可夫模型在源端檢測(cè)DDoS攻擊。參考文獻(xiàn)[16]使用基于Bloom Filter的數(shù)據(jù)結(jié)構(gòu)從網(wǎng)絡(luò)數(shù)據(jù)中提取信息，在提取的信息中使用變化點(diǎn)檢測(cè)的方法統(tǒng)計(jì)攻擊規(guī)律的變化。參考文獻(xiàn)[17]通過(guò)比較源IP地址信息熵與門(mén)限值發(fā)現(xiàn)可疑流量，并檢查這些可疑流量對(duì)應(yīng)的主機(jī)是否對(duì)某一特定主機(jī)發(fā)出請(qǐng)求來(lái)檢測(cè)DDoS攻擊。參考文獻(xiàn)[18]提出了一種基于源端DDoS攻擊防御的D-WARD系統(tǒng)，在對(duì)DDoS攻擊流量進(jìn)行充分抑制的同時(shí)，最大程度地保護(hù)合法流量。

4.2 中間網(wǎng)絡(luò)檢測(cè)

中間網(wǎng)絡(luò)的檢測(cè)一般采用的是協(xié)同檢測(cè)方法，因此，中間網(wǎng)絡(luò)檢測(cè)的檢測(cè)率較高，一旦發(fā)現(xiàn)攻擊流量能夠及時(shí)防御。但是，路由器的負(fù)載增大，對(duì)網(wǎng)間合作的要求更高。

參考文獻(xiàn)[19]首先在邊界路由器上利用序列檢測(cè)法快速檢測(cè)DDoS攻擊，觀察隨著時(shí)間推移偏離正常行為的累積量；然后，結(jié)合各個(gè)檢測(cè)節(jié)點(diǎn)的序列檢測(cè)系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行DDoS攻擊的全面檢測(cè)。Kai Bu[20]等提出了通過(guò)地址匹配和哈希驗(yàn)證，對(duì)本地子網(wǎng)的可疑流量能夠有效地檢測(cè)和防御DDoS攻擊。

4.3 受害者端檢測(cè)

由于受害端的攻擊流量最大，特征最明顯，因此在受害端進(jìn)行檢測(cè)較為容易，而且準(zhǔn)確度最高。目前，大多數(shù)攻擊檢測(cè)算法都是部署在受害者端的。當(dāng)然在受害端檢測(cè)DDoS攻擊也存在著負(fù)載大、難以區(qū)分正常數(shù)據(jù)包和攻擊包等問(wèn)題。

參考文獻(xiàn)[21]基于TCP協(xié)議，從受害端進(jìn)行觀察，計(jì)算未確認(rèn)的報(bào)文段個(gè)數(shù)與總報(bào)文段個(gè)數(shù)的比值，形成基于時(shí)間的統(tǒng)計(jì)序列，再用經(jīng)過(guò)改進(jìn)的非參數(shù)遞歸CUSUM算法在線、快速檢測(cè)DDoS攻擊，并在檢測(cè)的同時(shí)記錄可疑的攻擊包。參考文獻(xiàn)[22]指出可以在受害者端利用主動(dòng)探測(cè)技術(shù)（DARB）和TTL字段防御方法分別確定可疑半開(kāi)放鏈接和過(guò)濾可疑流量。針對(duì)DDoS攻擊流的流量突發(fā)性、流非對(duì)稱(chēng)性、源IP地址分布性和目標(biāo)IP地址集中性等本質(zhì)特征，參考文獻(xiàn)[23]提出了一種新的IP地址交互特征（IAI）算法。參考文獻(xiàn)[24]建立一個(gè)準(zhǔn)確的IP地址和跳數(shù)映射表，通過(guò)查表能夠在正常流量中區(qū)分出偽造的IP數(shù)據(jù)包。

4.4 混合式檢測(cè)

由于需要在源端、中間網(wǎng)絡(luò)、受害者端中的至少兩個(gè)位置部署，因此混合式檢測(cè)方法可以提高檢測(cè)精度，但同時(shí)也增加了檢測(cè)算法的難度。

參考文獻(xiàn)[25]提出了一種基于帶權(quán)CAT的檢測(cè)方案，利用CUSUM算法對(duì)微小變化的敏感性，在源端主機(jī)和中間網(wǎng)絡(luò)的路由器處進(jìn)行基于到達(dá)目標(biāo)數(shù)據(jù)包數(shù)量的檢測(cè)以及基于超級(jí)流聚合變化的檢測(cè)，實(shí)現(xiàn)DDoS攻擊的早期檢測(cè)。參考文獻(xiàn)[26]提出了一種基于用戶(hù)信譽(yù)值防御DDoS攻擊協(xié)同模型來(lái)檢測(cè)和防御DDoS攻擊，該模型在邏輯上由兩個(gè)檢測(cè)代理構(gòu)成：路由器端的RDA和服務(wù)器端的SDA；RDA和SDA協(xié)同工作來(lái)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)狀況。

4.5 相關(guān)分析

從攻擊流的發(fā)送端(攻擊者)到接收端(受害者)，DDoS攻擊流呈漏斗狀：攻擊流產(chǎn)生于一個(gè)分布式的區(qū)域，類(lèi)似漏斗頂部；網(wǎng)絡(luò)區(qū)域類(lèi)似于漏斗的中間部分，攻擊流匯集于受害者端，類(lèi)似漏斗狹窄底部。因此，在攻擊源端，除非該網(wǎng)絡(luò)有大量攻擊源，否則很難檢測(cè)到DDoS攻擊，但是攻擊源端的攻擊流量還較少，一旦成功地檢測(cè)攻擊流量，就能較為容易地過(guò)濾掉DDoS攻擊數(shù)據(jù)包。與攻擊端檢測(cè)相反，受害者端的攻擊流量達(dá)到最大，能觀察到所有的攻擊報(bào)文，檢測(cè)到DDoS攻擊相對(duì)容易，檢測(cè)率也較高，檢測(cè)算法可以較容易地部署。但是越靠近受害者，越多的正常報(bào)文將被誤判丟棄，正常報(bào)文的存活率會(huì)越低，攻擊過(guò)濾的有效性也就越差。

表2從部署難度、檢測(cè)難度、檢測(cè)率、誤報(bào)率、漏報(bào)率、網(wǎng)絡(luò)負(fù)載、路由器負(fù)載及正常報(bào)文存活率8個(gè)方面分別比較了源端檢測(cè)、中間網(wǎng)絡(luò)及受害端檢測(cè)的差異。

表2 DDoS攻擊部署位置檢測(cè)比較

5 結(jié)束語(yǔ)

本文對(duì)現(xiàn)有的DDoS攻擊檢測(cè)方法按照攻擊層次和檢測(cè)位置進(jìn)行分類(lèi)，從不同方面對(duì)它們進(jìn)行分析，上述這些檢測(cè)及防范方法對(duì)防御DDoS攻擊都有一定作用，但也存在一些問(wèn)題：

·每一種DDoS攻擊檢測(cè)方法只有在一定的條件或范圍下才能有效地工作，缺乏通用高效的檢測(cè)方法；

· 應(yīng)用層檢測(cè)方法不完善，存在準(zhǔn)確率不高的問(wèn)題；

· 檢測(cè)方法較為復(fù)雜，其時(shí)空復(fù)雜度較大。

隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，DDoS攻擊表現(xiàn)出多樣性、復(fù)雜性、范圍廣、攻擊性強(qiáng)等特點(diǎn)，變得更加難以檢測(cè)，因此，必須加強(qiáng)對(duì)DDoS攻擊檢測(cè)的研究，才能有效遏制其快速發(fā)展的勢(shì)頭。下一步研究的重點(diǎn)方向包括：

· 如何提高檢測(cè)方法的準(zhǔn)確率和檢測(cè)效率，實(shí)現(xiàn)在網(wǎng)絡(luò)海量數(shù)據(jù)上進(jìn)行實(shí)時(shí)分析；

· 檢測(cè)到DDoS攻擊以后如何做到及時(shí)響應(yīng)，減輕攻擊對(duì)合法數(shù)據(jù)傳送效率的影響；

·加強(qiáng)檢測(cè)方法的可適應(yīng)性、自身的安全性和可靠性；

·目前DDoS攻擊逐漸轉(zhuǎn)向應(yīng)用層，而傳統(tǒng)的檢測(cè)方法不能有效檢測(cè)出這些攻擊，因此應(yīng)用層檢測(cè)研究顯得十分有必要；

·DDoS攻擊正呈現(xiàn)出多層結(jié)合的趨勢(shì)，因此對(duì)DDoS攻擊開(kāi)展多層聯(lián)合檢測(cè)也是今后研究的一個(gè)重要方向。

參考文獻(xiàn)

1 嚴(yán)芬，王佳佳，趙金鳳等.DDoS攻擊檢測(cè)綜述.計(jì)算機(jī)應(yīng)用研究，2008,25(4):966～969

2 Farahmand M,Azarfar A,Jafari A,et al.A multivariate adaptive method for detecting ARP anomaly in local area networks.In：Proc of ICSNC’06,Tahiti,Oct 2006

3 張潔，武裝，陸倜.一種改進(jìn)的ARP協(xié)議欺騙檢測(cè)方法.計(jì)算機(jī)科學(xué)，2008，35(3):52～54

4 孫知信，任志廣，楊熙等.基于多層檢測(cè)的網(wǎng)絡(luò)安全防范系統(tǒng).通信學(xué)報(bào)，2007,28(7):61～69

5 Yann Labit,Johan Mazel.HIDDEN:hausdorff distance based intrusion detection approach dedicated to networks.In：Proc of ICIMP’08,Bucharest,July 2008

6 HyunGon Kim.Protection against packet fragmentation attacks at 6LoWPAN adaptation layer.In：Proc of ICHIT’08,Daejeon,Aug 2008

7 Udhayan J,Anitha R.Demystifying and rate limiting ICMP hosted DoS/DDoS flooding attacks with attack productivity analysis.In：Proc of IACC 2009,Patiala,March 2009

8 胡鴻，袁津生，郭敏哲.基于TCP緩存的DDoS攻擊檢測(cè)算法.計(jì)算機(jī)工程，2009,35(16):112～114

9 Chen Ning,Chen Xiaosu,Xiong Bing,et al.An anomaly detection and analysis method for network traffic based on correlation coefficient matrix. In： Proc of SCALCOMEMBEDDEDCOM’09,Dalian,Sept 2009

10 Xu Rui,MaWenli,ZhengWenling.DefendingagainstUDP flooding by negative selection algorithm based on eigenvalue sets.In:Proc of IAS’09,Xi'an,Aug 2009

11 Michael Walfish,Mythili Vutuku,Hari BaIabshnan,et al.DDoS defense by offense.In:Proc of SIGCOMM'06,Pisa,Italy,Sept 2006

12 Supranamaya Ranjan,Ram Swaminathan,Mustafa Uysal,et al.DDoS-shield:DDOS-resilient scheduling to counter application laye attacks.IEEE/ACM Transactions on Networking,2009,17(1):26～39

13 Georgios Oikonomou,Jelena Mirkovic.Modeling human behavior for defense against flash-crowd attacks.In： Proc of ICC’09,Dresden,June 2009

14 Yi Xie,Shun Zhengyu.Monitoring the application-layer DDoS attacks for popular websites.IEEE/ACM transaction on networking,2009,17(1):15～25

15 康健，李強(qiáng)，張?jiān)?基于Multi-stream Combined隱馬爾柯夫模型源端檢測(cè)DDoS攻擊.計(jì)算機(jī)應(yīng)用,2007,27(8):1884～1887

16 陳 偉，何炎祥，彭文靈.一種輕量級(jí)的拒絕服務(wù)攻擊檢測(cè)方法.計(jì)算機(jī)學(xué)報(bào)，2006,29(8):1392～1400

17 Malliga S,Tamilarasi A,Janani M.Filtering spoofed traffic at source end for defending against DoS/DDoS attacks.In:Proc of ICCCn 2008,St Thomas,VI,Dec 2008

18 Jelena Mirkovic,PeterReiher. D-Ward:a source-end defense against flooding denial-of-service attacks.IEEE Transactions on Dependable and Secure Computing,2005,2(3):216～232

19 Meenakshi S,Srivatsa SK.A distributed framework with less false positive ratio against distributed denial of service attack.Information Technology Journal,2007,6(8):1139～1145

20 Bu Kai,Sun Zhixin.A method based on AMHI for DDoS attacks detection and defense.In:Proc of ICYCS 2008,Hunan,Nov 2008

21 嚴(yán)芬，陳軼群，黃皓，等.使用補(bǔ)償非參數(shù)CUSUM方法檢測(cè)DDoS 攻擊.通信學(xué)報(bào)，2008,29(6):126～132

22 Bin Xiaoa,Wei Chen,Yanxiang He.An autonomous defense against SYN flooding attacks:detect and throttle attacks at the victim side independently.Journal of Parallel and Distributed Computing,2008(68):456～470

23 Cheng Jieren,Yin Jianping,Liu Yun,et al.DDoS attack detection using IP address feature interaction.In:Proc of INCOS’09,Nov 2009

24 Wang Haining,Jin Cheng,Shin K G.Defense against spoofed IP traffic using hop-count filtering.IEEE/ACM Transactions on Networking,2007,15(1):40～53

25 周再紅，謝冬青，熊偉等.一種基于帶權(quán)CAT的DDOS分布式檢測(cè)方法.武漢大學(xué)學(xué)報(bào)（理學(xué)版）,2008,54(5):626～630

26 田俊峰，朱宏濤，孫冬冬等.基于用戶(hù)信譽(yù)值防御DDoS攻擊的協(xié)同模型.通信學(xué)報(bào)，2009,30(3):12～20