基于混沌DUFING振子的LDDOS攻击检测方法.pdf

摘要
申请专利号：	CN201310143577.3	申请日：	2013.04.24
公开号：	CN104125193A	公开日：	2014.10.29
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):H04L 29/06申请公布日:20141029\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20130424\|\|\|公开
IPC分类号：	H04L29/06; H04L9/00	主分类号：	H04L29/06
申请人：	中国民航大学
发明人：	岳猛; 吴志军; 马兰
地址：	300300 天津市东丽区津北公路2898号
优先权：
专利代理机构：		代理人：
PDF下载：	PDF下载

内容摘要

本发明通过对LDDoS(Low-rate Distributed Denial ofSevice)攻击所利用的TCP拥塞控制机制的漏洞以及网络流量的时频特性的研究，归纳得出LDDoS攻击检测的问题实质是在以RTT为周期的强TCP背景噪声下提取周期为RTOmin的“微弱”方波信号的问题。在利用Duffing系统对微弱周期信号检测的基础上，发明了利用Duffing方程构造混沌振子，来检测LDDoS攻击的基本思想和具体实现方法，实现了双Duffing振子差分混沌系统用以估计攻击参数的技术。通过进行一系列仿真试验，结合实验结果分析，验证了检测模型和估计方法的可行性，实现LDDoS攻击检测的目的。

权利要求书

1.  基于混沌Dufing振子的LDDoS(Low-rate Distributed Denial of Sevice)攻击检测方法，是一种利用混沌理论检测网络攻击的新方法。LDDoS攻击利用TCP拥塞控制机制的漏洞，以小流量形式发送周期性的脉冲式攻击。LDDoS攻击检测的问题实质是在以RTT为周期的强TCP背景噪声下提取周期为RTO_min的“微弱”方波信号的问题。利用这个模型，本发明提出并实现了基于Duffing振子的LDDoS攻击检测算法和基于双Duffing振子差分混沌系统的攻击参数估计方法。

2.  根据权利要求1所述的基于混沌Dufing振子的LDDoS攻击检测方法，其特征在于所述检测方法包括以下步骤：
(1)建立一个网络流量模型，将LDDoS攻击流看作隐藏在以RTT为周期的TCP背景噪声下周期的“微弱”方波信号；
(2)对到达路由器的数据包等间隔采样，构造出一个离散的信号序列；
(3)构造检测系统的数学模型，调整Duffing振子让系统处于混沌状态向周期状态转变的边沿；
(4)将预处理过后的待检测信号通过Duffing振子系统；
(5)比较系统的相图边缘，有攻击时相图边缘明显扩大，并且系统阵发混沌，具有强烈的进入大尺度周期状态的趋势，通过比较系统的时域波形也可以直观的发现系统输出幅度明显增大；
(6)利用双Duffing振子差分混沌系统，对攻击周期以及攻击参数做估计；
其中，步骤(1)是结合LDDoS攻击模型及原理，LDDoS在2*RTT～3*RTT时间内，以接近瓶颈链路带宽的速率，向目标主机发送UDP包，由于UDP包通常非常小，导致在攻击时刻链路流量峰值远高于正常情况，继而将LDDoS攻击流看作隐藏在以RTT为周期的TCP背景噪声下周期的“微弱”方波信号；
步骤(2)中抽样间隔为t，抽样周期T，这样采样数据就构成了一个离散的信号序列；
步骤(3)选用对Duffing系统非线性项的乘性扰动来做间歇混沌，对非线性恢复力进行改进，并将待测信号作为非线性项的系数，确定检测系统的数学模型为：

其中，S(t)为待测信号，是采样到达检测路由器包的离散信号序列，表示正常流量在t₀时刻取得的最大幅值，f·cos(ωt)为系统内置信号，同时S(t)＝L(t)+M(t)，t＝nΔ，n∈N，是由正常流量L(t)和恶意流量M(t)组成的一个宽平稳随机过程；
步骤(4)中通过预先设定合理门限值，消除TCP背景噪声(正常网络流量)对系统的影响，再将处理后的流量作为Duffing振子非线性项扰动，通过观测系统的相变，来达到LDDoS攻击检测的目的；
步骤(5)中由于LDDoS攻击的存在，系统的非线性受其影响，出现波动。具体表现在：相图边缘明显增大，当攻击出现时，系统输出明显增大；在攻击间隙期，由于扰动因子近似为零，系统时域输出大幅减小；
步骤(6)中LDDoS攻击参数包括攻击周期T，攻击脉宽L，双Duffing振子的差分混沌系统能够很好地抑制系统共模干扰，凸显系统时域状态的变化。

3.  根据2所述的基于混沌Dufing振子的LDDoS攻击检测方法，其特征在于：
(1)将Duffing系统相迹的转变作为攻击检测的依据，攻击是否被检测出来是基于系统是否脱离混沌状态；
(2)一旦有特定的微扰小信号，由于混沌系统对周期小信号的敏感性，即使幅值较小，也会使系统发生本质的相变；
(3)对LDDoS攻击周期的估计，是通过精确地计算Duffing系统阵发混沌的周期来实现的；
(4)对LDDoS攻击脉宽的估计，通过选取合法流量通过系统时引起的时域最大峰值为预设阀值，把受攻击后相邻峰值间隔内超过预设阀值的时间长度作为样本，取样本均值作为攻击脉宽的估计。

说明书

基于混沌Dufing振子的LDDoS攻击检测方法
技术领域
本发明涉及一种计算机网络安全技术，尤其是针对低速率分布式拒绝服务(Low-rate Distributed Denialof Service，LDDoS)攻击的检测，可以有效检测出隐藏在TCP背景噪声下的小LDDoS攻击流。
背景技术
LDDoS攻击，由于其巨大的危害和隐蔽性，已经为研究的热点问题。由于传统的检测防御DDoS攻击的手段不再适合LDDoS攻击，因此需要寻找新的途径。
经过深入探索，研究人员以攻击流的时频域特征提取作为突破点，利用数字信号处理的方法来解决LDDoS的检测问题，已经提出了一些检测防御方法。如Habin Sun提出通过对数据流进行取样和特征提取，使用在语音识别中常用的动态时间环绕方法(Dynamic Time Warping，DTW)将数据与样本进行匹配，当攻击流被识别出来以后，采用差额循环算法(Deficit Round Robin，DRR)，进行带宽分配和资源保护，从而消除LDDoS攻击流的影响。Cheng在文献中，介绍了其利用累计的归一化功率谱密度检测LDDoS方法。该方法利用正常流量和攻击流量在累计功率谱的固定频率点上的差异作为是否存在攻击的判据。中国民航大学吴志军教授在文献中，提出了漏值多点数字平均方法检测LDDoS攻击。该方法将一段时间的峰谷差值作为特征值与设定的判决特征值门限比较，进而进行攻击检测。Yu Chen提出了一种基于光谱分析的协同检测过滤(Collaborative Detectionand Filtering，CDF)算法，将路由器的包到达速率作为时域采样序列，对其进行预处理，尽量放大攻击流与正常流在频谱上的区别，然后进行傅立叶变换得到频域序列，对得到的频域序列进行频谱分析，将其与预先通过学习生成的攻击频谱特征模板库进行匹配，从而判定是否存在LDDoS攻击。Y.K.Kwok提出了一种路由器队列管理方法HAWK，其在传统AQM算法的基础上又加入了一种数据流检测算法，主要基于LDDoS脉冲速率强度、持续时间和发送周期等特征，对到来的数据流分别对其短时间间隔内峰值速率以及长时间间隔峰值速率超过所设门限值的次数进行检测，如果符合设定攻击特征，则丢弃此数据流的所有数据包。武汉大学的何炎祥教授提出了一种基于小波特征提取的LDDoS检测方法，该方法通过对数据流量的小波多尺度分析，得到5个特征值，再结合BP神经网络对数据流量进行综合判决。
目前，无论在国内还是国际，DDoS攻击工具及其性能，攻击检测，以及后期防御和追踪取证，都已成为研究热点。但由于LDDoS不同于传统Flooding-DDoS攻击，它具有流量小、出现时间晚等特点，因此对这种攻击方式的研究还相对较少。针对LDDoS攻击防范方法的研究工作尚处于起步阶段，资料非常有限。前面提出的检测方法，在检测率、误警率、算法复杂度和硬件实现等方面或多或少存在有不足。
发明内容
LDDoS攻击检测的实质是，在以RTT为周期的强TCP背景噪声下提取周期为RTO_min的“微弱”方波信号的问题。但是传统的混沌检测工作还仅限于检测频率已知的微弱信号，并且背景噪声一般是高斯白噪声。本发明给出了一种基于间歇混沌的复杂背景下的LDDoS检测方法，并通过系统输出的时域波形估计攻击参数。
间歇混沌(又称阵发混沌)是非线性系统在时间和空间上表现出的有序和无序交替出现的特殊动力学形态。在某些时空段，运动十分接近规则的周期运动；而在规则的运动段落之间，又夹杂着看起来很随机的跳跃。
间歇混沌现象的出现，是由于Duffing振子的周期策动力幅值在系统相图进入大尺度周期状态的阈值附近周期性消长而引起的。一般通过间歇混沌现象来检测周期信号的方式，基本上可以分为两类：一类是将待测信号作为系统阻尼比的乘性扰动因子；再一类是将待测信号以系统非线性项的乘性扰动因子加入系统。
针对LDDoS攻击检测的问题，通过对正常网络流量和异常流量分析得出LDDoS攻击实质上是，隐藏在以RTT为周期的TCP背景噪声下周期的“微弱”方波信号。结合LDDoS攻击模型及原理，LDDoS在2～3*RTT时间内，以接近瓶颈链路带宽的速率，向目标主机发送UDP包，由于UDP包通常非常小，因此导致在攻击时刻链路流量峰值远高于正常情况，通过比较峰值大小可以证实这种情况的存在。因此，通过预先设定合理门限值，来消除TCP背景噪声(正常网络流量)对系统的影响，再将处理后的流量作为Duffing振子非线性项扰动，通过观测系统的相变，来达到LDDoS攻击检测的目的。
检测思路就是：在实验初期，通过调整Duffing振子让系统处于混沌状态向周期状态转变的边沿。在实验中，将预处理过后的待检测信号通过Duffing振子系统，由于异常流量中的合法流(TCP流)虽然很强烈，但只是局部地改变系统的相轨迹，很难引起系统的非平衡相变。而待检测流量中隐藏有攻击流量，即使平均速率很低，也会导致振子向周期状态的迅速过渡。在攻击间歇期，系统因为没有激励而再度恢复到之前的混沌状态。LDDoS攻击一般是以RTO_min为周期的方波(异步LDDoS攻击)，所以系统反复跃迁于混沌状态和大尺度周期状态。
附图说明
图1为LDDoS攻击模型；
图2为基于混沌Dufing振子的LDDoS攻击检测系统框图；
图3为双Duffing振子的差分混沌系统，用于估计LDDoS攻击参数；
图4为本发明所应用的NS2仿真拓扑图；
具体实施方式
1.采用的仿真场景如附图4所示，使用哑铃形状的网络拓扑。在仿真环境中设置了5个正常发送节点(2～6)，黑色节点9、10代表两个攻击源，节点7、8分别为TCP以及UDP服务器，两个路由器分别用节点0和1表示。正常节点与节点7(TCP服务器)之间传输开启FTP传输，攻击源节点与节点8(UDP服务器)之间传输UDP攻击流量，包括瓶颈链路在内的所有链路单向延时为10毫秒。TCP正常节点所使用的拥塞控制协议为TCP Reno。检测节点位于路由器1的前端，采样间隔为10毫秒。
系统开始于0秒，在121秒时结束。正常TCP流量在1秒后的某个随机时间开始生成，结束于121秒；攻击流(UDP)稍晚，在20秒的时候产生，结束于120秒。同时设置检测系统策动力频率ω＝100rad/s，仿真表明系统阈值为0.73123时，系统处于临界混沌状态。
2.通过综合权衡检测系统的稳定性、复杂程度以及检测率等性能方面要求，选用对Duffing系统非线性项的乘性扰动来做间歇混沌，进而检测LDDoS攻击的方案。对Holmes型简化的Duffing方程进行改进，并将待测信号作为非线性项的系数，确定检测系统的数学模型为：

式中，S(t)为待测信号，是采样到达检测路由器包的离散信号序列，表示正常流量在t₀时刻取得的最大幅值，f·cos(ωt)为系统内置信号。同时S(t)＝L(t)+M(t)，t＝nΔ，n∈N，是由正常流量L(t)和恶意流量M(t)组成的一个宽平稳随机过程，Δ采样时间间隔，这里是10ms，N是正整数。检测系统框图见附图2
3.结合LDDoS攻击模型及原理，以及网络流量的时域分析，可以发现对LDDoS攻击周期的估计，实质上是精确地计算Duffing系统阵发混沌的周期。能够对阵发混沌系统特性变化进行准确地判别是计算阵发混沌的周期前提。本发明给出了基于双Duffing振子的差分混沌系统，来计算阵发混沌的周期。该系统能够很好地抑制系统共模干扰，凸显系统时域状态的变化，从而更加精确估计LDDoS攻击周期。在实际的估算过程中，选择系统时域波形中相邻峰值的平均间隔作为攻击周期的估计值。LDDoS攻击周期估计框图见附图3。
4.攻击脉宽是指在一个攻击周期内攻击者发包的持续时间，一般大小为2*RTT～3*RTT。从系统时域波形的分析发现，当存在有攻击的时候，系统峰值明显增大。选取合法流量通过系统时引起的时域最大峰值为预设阀值，把受攻击后相邻峰值间隔内超过预设阀值的时间长度作为样本，取样本均值作为攻击脉宽的估计。LDDoS攻击脉宽估计框图见附图3。

资源描述

《基于混沌DUFING振子的LDDOS攻击检测方法.pdf》由会员分享，可在线阅读，更多相关《基于混沌DUFING振子的LDDOS攻击检测方法.pdf（8页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104125193A43申请公布日20141029CN104125193A21申请号201310143577322申请日20130424H04L29/06200601H04L9/0020060171申请人中国民航大学地址300300天津市东丽区津北公路2898号72发明人岳猛吴志军马兰54发明名称基于混沌DUNG振子的LDDOS攻击检测方法57摘要本发明通过对LDDOSLOWRATEDISTRIBUTEDDENIALOFSEVICE攻击所利用的TCP拥塞控制机制的漏洞以及网络流量的时频特性的研究，归纳得出LDDOS攻击检测的问题实质是在以RTT为周期的强TCP背景噪声下提取周。

2、期为RTOMIN的“微弱”方波信号的问题。在利用DUFNG系统对微弱周期信号检测的基础上，发明了利用DUFNG方程构造混沌振子，来检测LDDOS攻击的基本思想和具体实现方法，实现了双DUFNG振子差分混沌系统用以估计攻击参数的技术。通过进行一系列仿真试验，结合实验结果分析，验证了检测模型和估计方法的可行性，实现LDDOS攻击检测的目的。51INTCL权利要求书2页说明书3页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书3页附图2页10申请公布号CN104125193ACN104125193A1/2页21基于混沌DUFING振子的LDDOSLOWRATEDISTRI。

3、BUTEDDENIALOFSEVICE攻击检测方法，是一种利用混沌理论检测网络攻击的新方法。LDDOS攻击利用TCP拥塞控制机制的漏洞，以小流量形式发送周期性的脉冲式攻击。LDDOS攻击检测的问题实质是在以RTT为周期的强TCP背景噪声下提取周期为RTOMIN的“微弱”方波信号的问题。利用这个模型，本发明提出并实现了基于DUFFING振子的LDDOS攻击检测算法和基于双DUFFING振子差分混沌系统的攻击参数估计方法。2根据权利要求1所述的基于混沌DUFING振子的LDDOS攻击检测方法，其特征在于所述检测方法包括以下步骤1建立一个网络流量模型，将LDDOS攻击流看作隐藏在以RTT为周期的TC。

4、P背景噪声下周期的“微弱”方波信号；2对到达路由器的数据包等间隔采样，构造出一个离散的信号序列；3构造检测系统的数学模型，调整DUFFING振子让系统处于混沌状态向周期状态转变的边沿；4将预处理过后的待检测信号通过DUFFING振子系统；5比较系统的相图边缘，有攻击时相图边缘明显扩大，并且系统阵发混沌，具有强烈的进入大尺度周期状态的趋势，通过比较系统的时域波形也可以直观的发现系统输出幅度明显增大；6利用双DUFFING振子差分混沌系统，对攻击周期以及攻击参数做估计；其中，步骤1是结合LDDOS攻击模型及原理，LDDOS在2RTT3RTT时间内，以接近瓶颈链路带宽的速率，向目标主机发送UDP包，。

5、由于UDP包通常非常小，导致在攻击时刻链路流量峰值远高于正常情况，继而将LDDOS攻击流看作隐藏在以RTT为周期的TCP背景噪声下周期的“微弱”方波信号；步骤2中抽样间隔为T，抽样周期T，这样采样数据就构成了一个离散的信号序列；步骤3选用对DUFFING系统非线性项的乘性扰动来做间歇混沌，对非线性恢复力进行改进，并将待测信号作为非线性项的系数，确定检测系统的数学模型为其中，ST为待测信号，是采样到达检测路由器包的离散信号序列，表示正常流量在T0时刻取得的最大幅值，FCOST为系统内置信号，同时STLTMT，TN，NN，是由正常流量LT和恶意流量MT组成的一个宽平稳随机过程；步骤4中通过预先设定。

6、合理门限值，消除TCP背景噪声正常网络流量对系统的影响，再将处理后的流量作为DUFFING振子非线性项扰动，通过观测系统的相变，来达到LDDOS攻击检测的目的；步骤5中由于LDDOS攻击的存在，系统的非线性受其影响，出现波动。具体表现在相图边缘明显增大，当攻击出现时，系统输出明显增大；在攻击间隙期，由于扰动因子近似为零，系统时域输出大幅减小；步骤6中LDDOS攻击参数包括攻击周期T，攻击脉宽L，双DUFFING振子的差分混沌系统能够很好地抑制系统共模干扰，凸显系统时域状态的变化。3根据2所述的基于混沌DUFING振子的LDDOS攻击检测方法，其特征在于1将DUFFING系统相迹的转变作为攻击检。

7、测的依据，攻击是否被检测出来是基于系权利要求书CN104125193A2/2页3统是否脱离混沌状态；2一旦有特定的微扰小信号，由于混沌系统对周期小信号的敏感性，即使幅值较小，也会使系统发生本质的相变；3对LDDOS攻击周期的估计，是通过精确地计算DUFFING系统阵发混沌的周期来实现的；4对LDDOS攻击脉宽的估计，通过选取合法流量通过系统时引起的时域最大峰值为预设阀值，把受攻击后相邻峰值间隔内超过预设阀值的时间长度作为样本，取样本均值作为攻击脉宽的估计。权利要求书CN104125193A1/3页4基于混沌DUFING振子的LDDOS攻击检测方法技术领域0001本发明涉及一种计算机网络安全技术。

8、，尤其是针对低速率分布式拒绝服务LOWRATEDISTRIBUTEDDENIALOFSERVICE，LDDOS攻击的检测，可以有效检测出隐藏在TCP背景噪声下的小LDDOS攻击流。背景技术0002LDDOS攻击，由于其巨大的危害和隐蔽性，已经为研究的热点问题。由于传统的检测防御DDOS攻击的手段不再适合LDDOS攻击，因此需要寻找新的途径。0003经过深入探索，研究人员以攻击流的时频域特征提取作为突破点，利用数字信号处理的方法来解决LDDOS的检测问题，已经提出了一些检测防御方法。如HABINSUN提出通过对数据流进行取样和特征提取，使用在语音识别中常用的动态时间环绕方法DYNAMICTIME。

9、WARPING，DTW将数据与样本进行匹配，当攻击流被识别出来以后，采用差额循环算法DEFICITROUNDROBIN，DRR，进行带宽分配和资源保护，从而消除LDDOS攻击流的影响。CHENG在文献中，介绍了其利用累计的归一化功率谱密度检测LDDOS方法。该方法利用正常流量和攻击流量在累计功率谱的固定频率点上的差异作为是否存在攻击的判据。中国民航大学吴志军教授在文献中，提出了漏值多点数字平均方法检测LDDOS攻击。该方法将一段时间的峰谷差值作为特征值与设定的判决特征值门限比较，进而进行攻击检测。YUCHEN提出了一种基于光谱分析的协同检测过滤COLLABORATIVEDETECTIONAND。

10、FILTERING，CDF算法，将路由器的包到达速率作为时域采样序列，对其进行预处理，尽量放大攻击流与正常流在频谱上的区别，然后进行傅立叶变换得到频域序列，对得到的频域序列进行频谱分析，将其与预先通过学习生成的攻击频谱特征模板库进行匹配，从而判定是否存在LDDOS攻击。YKKWOK提出了一种路由器队列管理方法HAWK，其在传统AQM算法的基础上又加入了一种数据流检测算法，主要基于LDDOS脉冲速率强度、持续时间和发送周期等特征，对到来的数据流分别对其短时间间隔内峰值速率以及长时间间隔峰值速率超过所设门限值的次数进行检测，如果符合设定攻击特征，则丢弃此数据流的所有数据包。武汉大学的何炎祥教授提出。

11、了一种基于小波特征提取的LDDOS检测方法，该方法通过对数据流量的小波多尺度分析，得到5个特征值，再结合BP神经网络对数据流量进行综合判决。0004目前，无论在国内还是国际，DDOS攻击工具及其性能，攻击检测，以及后期防御和追踪取证，都已成为研究热点。但由于LDDOS不同于传统FLOODINGDDOS攻击，它具有流量小、出现时间晚等特点，因此对这种攻击方式的研究还相对较少。针对LDDOS攻击防范方法的研究工作尚处于起步阶段，资料非常有限。前面提出的检测方法，在检测率、误警率、算法复杂度和硬件实现等方面或多或少存在有不足。发明内容0005LDDOS攻击检测的实质是，在以RTT为周期的强TCP背景。

12、噪声下提取周期为RTOMIN的“微弱”方波信号的问题。但是传统的混沌检测工作还仅限于检测频率已知的微弱信号，说明书CN104125193A2/3页5并且背景噪声一般是高斯白噪声。本发明给出了一种基于间歇混沌的复杂背景下的LDDOS检测方法，并通过系统输出的时域波形估计攻击参数。0006间歇混沌又称阵发混沌是非线性系统在时间和空间上表现出的有序和无序交替出现的特殊动力学形态。在某些时空段，运动十分接近规则的周期运动；而在规则的运动段落之间，又夹杂着看起来很随机的跳跃。0007间歇混沌现象的出现，是由于DUFFING振子的周期策动力幅值在系统相图进入大尺度周期状态的阈值附近周期性消长而引起的。一般。

13、通过间歇混沌现象来检测周期信号的方式，基本上可以分为两类一类是将待测信号作为系统阻尼比的乘性扰动因子；再一类是将待测信号以系统非线性项的乘性扰动因子加入系统。0008针对LDDOS攻击检测的问题，通过对正常网络流量和异常流量分析得出LDDOS攻击实质上是，隐藏在以RTT为周期的TCP背景噪声下周期的“微弱”方波信号。结合LDDOS攻击模型及原理，LDDOS在23RTT时间内，以接近瓶颈链路带宽的速率，向目标主机发送UDP包，由于UDP包通常非常小，因此导致在攻击时刻链路流量峰值远高于正常情况，通过比较峰值大小可以证实这种情况的存在。因此，通过预先设定合理门限值，来消除TCP背景噪声正常网络流量。

14、对系统的影响，再将处理后的流量作为DUFFING振子非线性项扰动，通过观测系统的相变，来达到LDDOS攻击检测的目的。0009检测思路就是在实验初期，通过调整DUFFING振子让系统处于混沌状态向周期状态转变的边沿。在实验中，将预处理过后的待检测信号通过DUFFING振子系统，由于异常流量中的合法流TCP流虽然很强烈，但只是局部地改变系统的相轨迹，很难引起系统的非平衡相变。而待检测流量中隐藏有攻击流量，即使平均速率很低，也会导致振子向周期状态的迅速过渡。在攻击间歇期，系统因为没有激励而再度恢复到之前的混沌状态。LDDOS攻击一般是以RTOMIN为周期的方波异步LDDOS攻击，所以系统反复跃迁于。

15、混沌状态和大尺度周期状态。附图说明0010图1为LDDOS攻击模型；0011图2为基于混沌DUFING振子的LDDOS攻击检测系统框图；0012图3为双DUFFING振子的差分混沌系统，用于估计LDDOS攻击参数；0013图4为本发明所应用的NS2仿真拓扑图；具体实施方式00141采用的仿真场景如附图4所示，使用哑铃形状的网络拓扑。在仿真环境中设置了5个正常发送节点26，黑色节点9、10代表两个攻击源，节点7、8分别为TCP以及UDP服务器，两个路由器分别用节点0和1表示。正常节点与节点7TCP服务器之间传输开启FTP传输，攻击源节点与节点8UDP服务器之间传输UDP攻击流量，包括瓶颈链路在内。

16、的所有链路单向延时为10毫秒。TCP正常节点所使用的拥塞控制协议为TCPRENO。检测节点位于路由器1的前端，采样间隔为10毫秒。0015系统开始于0秒，在121秒时结束。正常TCP流量在1秒后的某个随机时间开始生成，结束于121秒；攻击流UDP稍晚，在20秒的时候产生，结束于120秒。同时设置检说明书CN104125193A3/3页6测系统策动力频率100RAD/S，仿真表明系统阈值为073123时，系统处于临界混沌状态。00162通过综合权衡检测系统的稳定性、复杂程度以及检测率等性能方面要求，选用对DUFFING系统非线性项的乘性扰动来做间歇混沌，进而检测LDDOS攻击的方案。对HOLME。

17、S型简化的DUFFING方程进行改进，并将待测信号作为非线性项的系数，确定检测系统的数学模型为00170018式中，ST为待测信号，是采样到达检测路由器包的离散信号序列，表示正常流量在T0时刻取得的最大幅值，FCOST为系统内置信号。同时STLTMT，TN，NN，是由正常流量LT和恶意流量MT组成的一个宽平稳随机过程，采样时间间隔，这里是10MS，N是正整数。检测系统框图见附图200193结合LDDOS攻击模型及原理，以及网络流量的时域分析，可以发现对LDDOS攻击周期的估计，实质上是精确地计算DUFFING系统阵发混沌的周期。能够对阵发混沌系统特性变化进行准确地判别是计算阵发混沌的周期前提。。

18、本发明给出了基于双DUFFING振子的差分混沌系统，来计算阵发混沌的周期。该系统能够很好地抑制系统共模干扰，凸显系统时域状态的变化，从而更加精确估计LDDOS攻击周期。在实际的估算过程中，选择系统时域波形中相邻峰值的平均间隔作为攻击周期的估计值。LDDOS攻击周期估计框图见附图3。00204攻击脉宽是指在一个攻击周期内攻击者发包的持续时间，一般大小为2RTT3RTT。从系统时域波形的分析发现，当存在有攻击的时候，系统峰值明显增大。选取合法流量通过系统时引起的时域最大峰值为预设阀值，把受攻击后相邻峰值间隔内超过预设阀值的时间长度作为样本，取样本均值作为攻击脉宽的估计。LDDOS攻击脉宽估计框图见附图3。说明书CN104125193A1/2页7图1图2说明书附图CN104125193A2/2页8图3图4说明书附图CN104125193A。

展开阅读全文