本發(fā)明涉及Web應用層DDoS攻擊檢測問題，將杰卡德相似系數(shù)應用到Web應用層DDoS攻擊檢測中。
背景技術：
：分布式拒絕服務(DistributedDenialofService，DDoS)攻擊，一直是影響互聯(lián)網(wǎng)安全的一個重大威脅。而近些年，應用層DDoS逐漸顯示出其攻擊威力來。應用層DDoS攻擊與傳統(tǒng)的DDoS攻擊最大的不同就是前者是在與服務器建立連接完全正確的情況下，以消耗系統(tǒng)資源為目的從而達到拒絕服務。隨著網(wǎng)絡技術發(fā)迅速發(fā)展和Internet的廣泛普及，Web服務已成為人們生活中的重要組成部分，針對Web應用層的DDoS攻擊也日益增多，主要分為兩類：一類是HTTP-Flood攻擊，另一類是HTTP-Post攻擊。目前，對于檢測Web應用層DDoS攻擊方法主要有：Kandula等人提出的基于“PUZZLE”的檢測和防御方法，當服務器的資源超過預先設定的閾值時，可以懷疑是否受到攻擊。由于攻擊由程序生成的，不具有智能性，這時就會要求用戶回答一些簡單的問題判斷用戶的合法性，回答錯誤，則可確定為攻擊源。但是這種方法不僅會影響合法用戶的體驗，且不能有效的區(qū)分突發(fā)流。Mahajan等人提出利用源地址IP熵值來判斷是否發(fā)生DDoS攻擊，該方法能夠有效的區(qū)分突發(fā)流和HTTP-Flood洪泛攻擊，但并未考慮HTTP-Post慢速連接攻擊，謝逸等人提出了一種基于用戶訪問行為的異常方法，采用隱馬爾科夫模型描述用戶的正常訪問行為，通過判斷用戶訪問行為的正常程度來判斷是惡意攻擊程序還是合法用戶的正常訪問，該方法訓練過程繁瑣，計算復雜度很高且在線實時性較差。技術實現(xiàn)要素：根據(jù)上文中本文提出的現(xiàn)有技術對DDoS攻擊檢測的不足，提出一種基于杰卡德相似系數(shù)的Web應用層DDoS攻擊檢測方法，分析發(fā)生HTTP-Flood洪泛攻擊和HTTP-Post慢速攻擊流量特征選取合理的多種特征建立相似性模型，以單位時間內(nèi)的數(shù)據(jù)量作為計算項，通過比較與正常流量情況下的相似性閾值來判斷是否發(fā)生攻擊，通過實驗表明該方法不僅能夠有效的檢測HTTP-Flood攻擊和HTTP-Post慢速連接攻擊，還能較好的區(qū)分出突發(fā)流，且在線實時檢測性強。本發(fā)明為解決上述技術問題采用以下技術方案：杰卡德相似系數(shù)由jaccard提出用來度量兩個集合之間的相似性，狹義的杰卡德相似系數(shù)集合元素的取值只能是0或者1，而廣義的杰卡德相似系數(shù)的元素取值可以是實數(shù)，能夠表達豐富的信息。而在DDoS攻擊檢測中我們需要用到多種屬性，并且各個屬性的特征值都不同，所以狹義的杰卡德相似系數(shù)并不適合用于本文中。本文使用廣義杰卡德相似系數(shù)計算當前單位時間屬性集合和歷史正常屬性集合的相似性。計算公式如下：Sim(x,xi)=(x*xi)(||x||2+||xi||2-x*xi)(0<Sim(x,xi)≤1)]]>其中:x表示多次取不同歷史正常數(shù)據(jù)計算各個屬性特征取平均值組成的屬性向量；xi表示當前t時間內(nèi)計算出的各個屬性特征組成的屬性向量；當Sim(x,xi)的值越接近于1時，代表x與xi越相似，即越接近于正常流量；當且僅當x＝xi時等號成立，代表x與xi完全相似即相似值為1。為了更好的反應正常流、攻擊流的相似性和識別不同攻擊，在屬性特征的選取上不僅需要選取攻擊流與正常流有差異性，還要考慮到在發(fā)生不同攻擊時，不同攻擊在各個屬性上的取值也要有所差異性，根據(jù)上文的分析，我們選取以下三種屬性特征組成屬性向量：a、源ip地址熵值1)當發(fā)生針對Web服務器的HTTP-Flood洪泛攻擊時，會出現(xiàn)大量新IP地址，因而新IP地址的增長率會急劇增加，造成源IP地址熵值低于正常流IP熵值；而發(fā)生突發(fā)流時，大量IP地址會重復的出現(xiàn)，源IP熵值會高于正常流。2)發(fā)生HTTP-Post慢速連接攻擊時，由于持續(xù)的保持多個連接，則源IP地址在單位時間內(nèi)會重復出現(xiàn)，源地址IP熵值會高于正常流。計算源ip地址熵值得步驟如下：步驟a1，定義IP_all＝{IP1,IP2,...IPi,...IPn}，IP_all代表t時間間隔內(nèi)源IP地址集合；步驟a2，定義P＝{p1,p2,...,pi,...,pn}，pi表示IPi的概率分布；步驟a3，由步驟a1，a2得出t時間間隔內(nèi)源IP地址的熵值為：b、數(shù)據(jù)包大小的熵值1)攻擊者為了盡最大能力消耗目標主機的資源，減少攻擊數(shù)據(jù)包的復雜程度，由僵尸機發(fā)出的攻擊數(shù)據(jù)包大小相似程度大，數(shù)據(jù)包大小分布集中，而正常情況下數(shù)據(jù)包的大小是比較隨機的，因此發(fā)生攻擊時數(shù)據(jù)包大小的熵值小于正常流；2)而突發(fā)流往往是由正爆炸性新聞或者流行產(chǎn)品的發(fā)布所引發(fā)大量用戶同時訪問的結果，因此在該段時間內(nèi)，正常用戶發(fā)出的數(shù)據(jù)包在大小上基本相似，所以數(shù)據(jù)包的熵值也會低于正常流。計算數(shù)據(jù)包大小的熵值步驟如下：步驟b1，將流向目標主機的第i個數(shù)據(jù)流定義為flowi，則t時間間隔內(nèi)采集到的流向目標主機的數(shù)據(jù)流flow_all就可以表示為：flow_all＝{flow1,flow2,...flowi,...flown}；步驟b2，設P(flowi)為第i個流上數(shù)據(jù)包的數(shù)量，用pi表示其概率分布為：其中P(flow_all)=Σi=1nP(flowi);]]>步驟b3，由步驟b1，b2得出數(shù)據(jù)包大小的熵值為：c、TCP連接數(shù)與HTTP請求數(shù)比值1)發(fā)生HTTP-Flood洪泛攻擊時，攻擊者為了盡快的消耗主機資源，建立連接后單位時間內(nèi)會發(fā)送大量的HTTP請求；2)發(fā)生HTTP-Post慢速連接攻擊時，建立連接后，以較長的時間才發(fā)送一個HTTP請求；3)而發(fā)生突發(fā)流時，開始階段會使用戶的請求數(shù)會增大，但由于網(wǎng)絡性能下降，每個用戶對資源的請求數(shù)會減小。4)因此，統(tǒng)計周期內(nèi)一個TCP連接，HTTP的請求數(shù)的比值，如果一個周期內(nèi)比值過大有可能是HTTP-Post慢速連接攻擊，過小有可能是HTTP-Flood洪泛攻擊，而由于突發(fā)流有個逐漸減小的過程，比值會大于洪泛攻擊而小于正常流。計算TCP連接數(shù)與HTTP請求數(shù)比的步驟如下：步驟c1，定義tcpnum為t時間間隔內(nèi)總的TCP連接數(shù)；步驟c2，定義http_reqnum為t時間間隔內(nèi)總的HTTP請求數(shù)；步驟c3，由步驟c1，c2得到連接請求比為：理論上：rateHDDoS＜rateFC＜rateNorm＜rateLDDoS在此，rateLDDoS表示發(fā)生HTTP-Post慢速連接攻擊時TCP連接數(shù)與HTTP請求數(shù)比值；rateHDDoS表示發(fā)生HTTP-Flood洪泛攻擊時TCP連接數(shù)與HTTP請求數(shù)比值；rateFC發(fā)生突發(fā)流時TCP連接數(shù)與HTTP請求數(shù)比值；rateNorm表示正常情況下TCP連接數(shù)與HTTP請求數(shù)比值；rateLDDoS遠大于正常值。所以，綜上所述，在發(fā)生突發(fā)流時只會在數(shù)據(jù)包熵值與正常流有明顯的差別，而在其他兩種屬性上相比于發(fā)生攻擊時要小，因此相似度的值會比較大。發(fā)生洪泛攻擊與慢速連接攻擊時，在三種屬性的值上與正常情況下相比都有差距，相似性值會比較小。因此理論上可以很好的從異常流中區(qū)分出突發(fā)流且能很好的對洪泛攻擊和慢速連接攻擊作出檢測。具體技術方案如下：本發(fā)明涉及一種基于廣義杰卡德相似系數(shù)Web應用層DDoS攻擊檢測方法，包括如下步驟：步驟一：設置時間間隔t；步驟二：以t時間間隔內(nèi)的數(shù)據(jù)量作為計算項，通過使用廣義杰卡德相似系數(shù)計算公式計算當前t時間間隔內(nèi)屬性集合和歷史正常屬性集合的相似性；步驟三：將步驟二中計算出的杰卡德相似系數(shù)與預先設定的相似閾值γ比較，以此為依據(jù)判斷是否發(fā)生DDoS攻擊。本發(fā)明還涉及一種基于廣義杰卡德相似系數(shù)Web應用層DDoS攻擊檢測裝置，包括：時間間隔設置模塊：用于設置時間間隔t；相似性比較模塊：用于以t時間間隔內(nèi)的數(shù)據(jù)量作為計算項，通過使用廣義杰卡德相似系數(shù)計算公式計算當前t時間間隔內(nèi)屬性集合和歷史正常屬性集合的相似性；攻擊識別模塊：將步驟二中計算出的杰卡德相似系數(shù)與預先設定的相似閾值γ比較，以此為依據(jù)判斷是否發(fā)生DDoS攻擊。本發(fā)明采用以上技術方案與現(xiàn)有技術相比，具有以下技術效果：該方法可以一次使用多種屬性特征進行相似性比較，它不僅能夠有效檢測出HTTP-Flood洪泛攻擊和HTTP-Post慢速連接攻擊，還能準確的區(qū)分出突發(fā)流量，具有在線檢測實時性強和準確率高等特點。附圖說明圖1是本發(fā)明中基于廣義杰卡德相似系數(shù)的應用層DDoS攻擊檢測算法示意圖；圖2是本發(fā)明實施例中捕獲的正常流量列表。圖3是本發(fā)明實施例中正常連接下使用libpcap捕獲的流量特征向量(或稱屬性向量)列表；圖4是本發(fā)明實施例中HTTP-Post攻擊時使用libpcap捕獲的流量特征向量(或稱屬性向量)列表；圖5是本發(fā)明實施例中HTTP-Flood攻擊時使用libpcap捕獲的流量特征向量(或稱屬性向量)列表；圖6是本發(fā)明實施例中捕獲的突發(fā)流量列表；圖7是本發(fā)明實施例中相似性比較結果圖；具體實施方式下面結合附圖和實例對本發(fā)明進一步描述。實施例一本發(fā)明涉及一種基于廣義杰卡德相似系數(shù)Web應用層DDoS攻擊檢測方法，包括如下步驟：步驟一：設置時間間隔t。步驟二：以t時間間隔內(nèi)的數(shù)據(jù)量作為計算項，通過使用廣義杰卡德相似系數(shù)計算公式計算當前t時間間隔內(nèi)屬性集合和歷史正常屬性集合的相似性。所述的屬性集合為若干屬性特征組成的屬性向量，所述的廣義杰卡德相似系數(shù)計算公式如下：Sim(x,xi)=(x*xi)(||x||2+||xi||2-x*xi)(0<Sim(x,xi)≤1)---(4)]]>其中:x表示若干次取t時間間隔內(nèi)不同歷史正常數(shù)據(jù)計算各個屬性特征取平均值組成的屬性向量；xi表示當前t時間間隔內(nèi)計算出的各個屬性特征組成的屬性向量；具體包括如下步驟：步驟2.1：將若干次t時間間隔內(nèi)不同歷史正常數(shù)據(jù)取平均值計算x；步驟2.2：計算當前t時間間隔內(nèi)的xi值；步驟2.3：計算杰卡德相似系數(shù)Sim(x,xi)。所述的屬性特征包括源IP地址熵值、數(shù)據(jù)包大小的熵值以及TCP連接數(shù)與HTTP請求數(shù)比值。所述源IP地址熵值的計算步驟如下：步驟a1：定義IP_all＝{IP1,IP2,...IPi,...IPn}，IP_all代表t時間間隔內(nèi)源IP地址集合；步驟a2：定義P＝{p1,p2,...,pi,...,pn}，pi表示IPi的概率分布；步驟a3：由步驟a1，a2得出t時間間隔內(nèi)源IP地址的熵值為：E(IPsrc)=-1lnnΣi=1npilogpi---(1).]]>所述數(shù)據(jù)包大小的熵值的計算步驟如下：步驟b1：將流向目標主機的第i個數(shù)據(jù)流定義為flowi，則t時間間隔內(nèi)采集到的流向目標主機的數(shù)據(jù)流flow_all表示為：flow_all＝{flow1,flow2,...flowi,...flown}；步驟b2：設P(flowi)為第i個流上數(shù)據(jù)包的數(shù)量，用pi表示其概率分布為：其中P(flow_all)=Σi=1nP(flowi);]]>步驟b3：由步驟b1，b2得出數(shù)據(jù)包大小的熵值為：E(P)=-1lnnΣi=1npilogpi---(2).]]>所述TCP連接數(shù)與HTTP請求數(shù)比值的計算步驟如下：步驟c1：定義tcpnum為t時間間隔內(nèi)總的TCP連接數(shù)；步驟c2：定義http_reqnum為t時間間隔內(nèi)總的HTTP請求數(shù)；步驟c3：由步驟c1，c2得到連接請求比為：rate=tcpnumhttp_reqnum,0<rate≤1---(3).]]>步驟三：將步驟二中計算出的杰卡德相似系數(shù)與預先設定的相似閾值γ比較，以此為依據(jù)判斷是否發(fā)生DDoS攻擊。具體包括如下步驟：步驟3.1：將步驟二中計算出的杰卡德相似系數(shù)Sim(x,xi)與預先設定的相似閾值γ比較，若Sim(x,xi)＞γ則進行步驟3.2后進入步驟3.4，否則則進行步驟3.3后進入步驟3.4；步驟3.2：將xi加入歷史正常數(shù)據(jù)；步驟3.3：報警，作出攻擊響應；步驟3.4：回到步驟二。所述的相似閾值γ通過如下步驟設置：步驟1：采集目標Web服務器正常情況下若干小時以來每個時間間隔t內(nèi)HTTP請求作為歷史正常數(shù)據(jù)，取不同歷史正常數(shù)據(jù)各個屬性特征平均值組成屬性向量，此屬性向量作為杰卡德相似系數(shù)計算公式中的x；步驟2：模擬DDoS攻擊，捕獲若干個時間間隔t內(nèi)流量數(shù)據(jù)作為樣本，計算各個時間間隔t內(nèi)流量數(shù)據(jù)的屬性向量作為杰卡德相似系數(shù)計算公式中的xi，計算其杰卡德相似系數(shù)Sim(x,xi)；可用DDOSIM和SlowHTTPTest分別模擬HTTP-Flood和HTTP-Post攻擊后，分別捕獲若干個時間間隔t內(nèi)流量數(shù)據(jù)作為樣本，計算各個時間間隔t內(nèi)流量數(shù)據(jù)的屬性向量作為杰卡德相似系數(shù)計算公式中的xi，計算其杰卡德相似系數(shù)Sim(x,xi)；步驟3：取一個大于所有作為樣本的DDoS攻擊流量數(shù)據(jù)的杰卡德相似系數(shù)Sim(x,xi)的值作為相似閾值γ。該相似閾值γ最好盡可能接近所有作為樣本的DDoS攻擊流量數(shù)據(jù)的杰卡德相似系數(shù)Sim(x,xi)的最大值。本發(fā)明還涉及一種基于廣義杰卡德相似系數(shù)Web應用層DDoS攻擊檢測裝置，其特征在于，包括：時間間隔設置模塊：用于設置時間間隔t；相似性比較模塊：用于以t時間間隔內(nèi)的數(shù)據(jù)量作為計算項，通過使用廣義杰卡德相似系數(shù)計算公式計算當前t時間間隔內(nèi)屬性集合和歷史正常屬性集合的相似性；攻擊識別模塊：將相似性比較模塊中計算出的杰卡德相似系數(shù)與預先設定的相似閾值γ比較，以此為依據(jù)判斷是否發(fā)生DDoS攻擊。所述的屬性集合為若干屬性特征組成的屬性向量，相似性比較模塊中所述的廣義杰卡德相似系數(shù)計算公式如下：Sim(x,xi)=(x*xi)(||x||2+||xi||2-x*xi)(0<Sim(x,xi)≤1)---(4)]]>其中:x表示若干次取t時間間隔內(nèi)不同歷史正常數(shù)據(jù)計算各個屬性特征取平均值組成的屬性向量；xi表示當前t時間間隔內(nèi)計算出的各個屬性特征組成的屬性向量；所述相似性比較模塊具體包括：x屬性向量計算模塊：將若干次t時間間隔內(nèi)不同歷史正常數(shù)據(jù)取平均值計算x；xi屬性向量計算模塊：計算當前t時間間隔內(nèi)的xi值；相似系數(shù)計算模塊：計算杰卡德相似系數(shù)Sim(x,xi)。所述的屬性特征包括源IP地址熵值、數(shù)據(jù)包大小的熵值以及TCP連接數(shù)與HTTP請求數(shù)比值。所述源IP地址熵值的計算步驟如下：步驟a1：定義IP_all＝{IP1,IP2,...IPi,...IPn}，IP_all代表t時間間隔內(nèi)源IP地址集合；步驟a2：定義P＝{p1,p2,...,pi,...,pn}，pi表示IPi的概率分布；步驟a3：由步驟a1，a2得出t時間間隔內(nèi)源IP地址的熵值為：E(IPsrc)=-1lnnΣi=1npilogpi---(1).]]>所述數(shù)據(jù)包大小的熵值的計算步驟如下：步驟b1：將流向目標主機的第i個數(shù)據(jù)流定義為flowi，則t時間間隔內(nèi)采集到的流向目標主機的數(shù)據(jù)流flow_all表示為：flow_all＝{flow1,flow2,...flowi,...flown}；步驟b2：設P(flowi)為第i個流上數(shù)據(jù)包的數(shù)量，用pi表示其概率分布為：其中P(flow_all)=Σi=1nP(flowi);]]>步驟b3：由步驟b1，b2得出數(shù)據(jù)包大小的熵值為：E(P)=-1lnnΣi=1npilogpi---(2).]]>所述TCP連接數(shù)與HTTP請求數(shù)比值的計算步驟如下：步驟c1：定義tcpnum為t時間間隔內(nèi)總的TCP連接數(shù)；步驟c2：定義http_reqnum為t時間間隔內(nèi)總的HTTP請求數(shù)；步驟c3：由步驟c1，c2得到連接請求比為：rate=tcpnumhttp_reqnum,0<rate≤1---(3).]]>所述攻擊識別模塊包括：攻擊識別比較模塊：用于將相似比較模塊中計算出的杰卡德相似系數(shù)Sim(x,xi)與預先設定的相似閾值γ比較，若Sim(x,xi)＞γ則連入攻擊識別存儲模塊后連入攻擊識別循環(huán)模塊，否則則連入攻擊識別報警模塊后連入攻擊識別循環(huán)模塊；攻擊識別存儲模塊：用于將xi加入歷史正常數(shù)據(jù)后進入攻擊識別循環(huán)模塊；攻擊識別報警模塊：用于報警，作出攻擊響應后進入攻擊識別循環(huán)模塊；攻擊識別循環(huán)模塊：用于回到相似比較模塊。本發(fā)明還涉及一個相似閾值設置模塊，包括：平均值計算模塊：用于采集目標Web服務器正常情況下若干小時以來每個時間間隔t內(nèi)HTTP請求作為歷史正常數(shù)據(jù)，取不同歷史正常數(shù)據(jù)各個屬性特征平均值組成屬性向量，此屬性向量作為杰卡德相似系數(shù)計算公式中的x；攻擊樣本相似系數(shù)計算模塊：用于模擬DDoS攻擊，捕獲若干個時間間隔t內(nèi)流量數(shù)據(jù)作為樣本，計算各個時間間隔t內(nèi)流量數(shù)據(jù)的屬性向量作為杰卡德相似系數(shù)計算公式中的xi，計算其杰卡德相似系數(shù)Sim(x,xi)；可用DDOSIM和SlowHTTPTest分別模擬HTTP-Flood和HTTP-Post攻擊后，分別捕獲若干個時間間隔t內(nèi)流量數(shù)據(jù)作為樣本，計算各個時間間隔t內(nèi)流量數(shù)據(jù)的屬性向量作為杰卡德相似系數(shù)計算公式中的xi，計算其杰卡德相似系數(shù)Sim(x,xi)；相似閾值計算模塊：用于取一個大于所有作為樣本的DDoS攻擊流量數(shù)據(jù)的杰卡德相似系數(shù)Sim(x,xi)的值作為相似閾值γ，該相似閾值γ最好盡可能接近所有作為樣本的DDoS攻擊流量數(shù)據(jù)的杰卡德相似系數(shù)Sim(x,xi)的最大值。實施例二為了驗證該DDoS攻擊檢測方法的有效性，本發(fā)明使用DDOSIM和SlowHTTPTest模擬HTTP-Flood攻擊和HTTP-Post攻擊。DDOSIM是一款可用于實驗環(huán)境的分布式局部服務器攻擊模擬器，其可以對服務器對于DDOS攻擊流量的處理和負載能力進行測試。DDOSIM通過模擬僵尸主機，并與目標服務器建立完整的TCP連接，在完成連接后，DDOSIM開始進行測試。SlowHTTPTest是一個可配置的應用層拒絕服務攻擊測試，這個工具可以模擬低帶寬耗費下的DDoS攻擊，比如HTTP-Post慢速連接攻擊。為了體驗數(shù)據(jù)的真實性，具體實驗步驟如下：1.獲取正常流量。步驟101，采集校園網(wǎng)Web服務器8小時以來的HTTP請求，作為正常數(shù)據(jù)。步驟102，經(jīng)過處理后的正常流量如圖2所示。2.建立正常連接，并捕獲流量。步驟201，取1中數(shù)據(jù)的平均值作為正常流量情況下的特征向量(或稱屬性向量)x。步驟202，在局域網(wǎng)內(nèi)的每臺機器Linux環(huán)境下，安裝DDOSIM工具。步驟203，在命令行輸入以下命令：./ddosim-d192.168.1.2-p80-c10-rHTTP_INVALID-ieth0表示使用隨機IP地址與服務器建立10個TCP連接。步驟204，發(fā)送有效的HTTP請求。步驟205，使用libpcap捕獲每10s內(nèi)的數(shù)據(jù)，得到流量特征向量(或稱屬性向量)如圖3所示。3.發(fā)動DDoS攻擊，并捕獲流量。步驟301，在每臺PC的linux環(huán)境下安裝SlowHTTPTest工具,模擬HTTP-Post攻擊。步驟302，在命令行輸入以下命令：./slowhttptest-c1000-B-g-omy_body_stats-i110-r20-s8100-tFAKEVERB–u表示每隔110秒與服務器建立一個連接，連接速度為20每秒，且內(nèi)容長度為8100。步驟303，使用libcap捕獲每10s內(nèi)的數(shù)據(jù)，得到流量特征向量(或稱屬性向量)如圖4所示。步驟304，在每臺PC的linux環(huán)境下安裝DDOSIM工具。步驟305，在命令行輸入以下命令：./ddosim-d192.168.1.2-p80-c10-rHTTP_INVALID-ieth0表示使用隨機IP地址與服務器建立10個TCP連接，并且發(fā)送有效的HTTP請求。步驟306，使用libcap捕獲每10s內(nèi)的數(shù)據(jù)，得到流量特征向量(或稱屬性向量)如圖5所示。4.突發(fā)流量的獲取。步驟401，選取該校園網(wǎng)某年某月，學生選課時，大量用戶訪問服務器，作為突發(fā)流數(shù)據(jù)，得到的流量特征向量(或稱屬性向量)如圖6所示。5.實驗結果。步驟501，我們選取每種攻擊及突發(fā)流量的1000組數(shù)據(jù)，進行相似性計算，得到的結果如圖7所示。步驟502，根據(jù)圖7得知發(fā)生不同攻擊時，相似性的值也有所差異，發(fā)生突發(fā)流Flash-Crowed時，sim的取值在0.65～0.83之間。步驟503，發(fā)生HTTP-Flood攻擊時，sim的取值在0.6～0.68之間。步驟504，發(fā)生HTTP-Post攻擊時，sim的取值在0.43～0.63之間。步驟505，當sim的取值為0.7時，本發(fā)明的檢測性能達到最大化，不僅能夠有效的識別突發(fā)流，還能有效的檢測出其他兩種攻擊，準確率達到93.8％，漏報率為2.4％，誤報率為3.1％，相比較其他方法的檢測準確率為88％，誤報率為3％，本發(fā)明檢測性能有著較大的提高。當前第1頁1 2 3