ICMP flood：向某台计算机发送大数量（或刚刚 超过规定数量）的ICMP数据包，其用意在于企图 引起该计算机中TCP/IP栈瘫痪并停止响应TCP/IP 请求。
比如：Ping of death 攻击。
研究现状
针对DDoS攻击的检测方法有很多： 基于统计阀值
Thomer M.Gil等人提出以二叉树的方式按前缀保 存某个IP或IP段包数的数据结构，以包数超过预 设阈值作为发现DDoS异常的条件，该方法较容易 理解与实现，但特征过于简单，判断DDoS异常误 报率较高。
研究现状
攻击。此方法易于被攻击者识破后模拟这种分布， 使得上述方法计算出的统计值接近于正常值，从 而避免被检测到。因而该方法检测率很 低。
研究现状
基于主机 Thomer M.Gil和Massimiliano Poletto提出通过监测 每个连接在路由器两端的数据包速率，如果一端 速率显著下降，则表明这端的主机有可能受到了 攻击。该方法假设两个主机间数据传输是对称的， 而这在实际网络环境中是不准确的，因而准确率 不是很高.
疑点和难点
现实DDOS攻击数据的采取。 如何区分DDOS 蠕虫 木马。
创新点
传统地检测和防范措施是基于特征匹配地检测，往 往要求有一定地先验知识，难以区分突发和DDOS 攻击。大量的研究表明，正常的网络流量符合重尾 分布，DDOS攻击对网络流量得重尾分布特性产生 明显得影响，因此，根据重尾分布得补积累分布图 中网络流量图的变化可以有效方便快捷得检测 DDOS攻击。
开题报告
基于重尾特性的 DDoS异常检测研究
指导老 师： *** 报告人： ***
内容提要
1、研究背景及研究现状 2、研究内容及目标 3、疑点和难点 4、本课题的创新之处 5、课题进度安排
研究背景
随着Internet互联网络带宽的增加和多种DDOS 黑客工具的不断发布DDOS拒绝服务攻击的实 施越来越容易，DDOS攻击事件正在成上升趋 势。因此，解决DDOS攻击问题成为网络服务 商必须考虑的头等大事。
李广辉 张伟提出的基于聚焦算法的DDOS数据流 检测和分析。针对DDOS攻击的本质特征，对ip数 据流进行轻量级协议分析 把ip流分为tcp,udp,icmp数据流，分别建立相应的 聚集模式，根据该模式检测DDOS聚集所占资源， 采取相应的措施过虑攻击包，从而保证正常数据
包的发送。
研究现状
南京邮电大学 的任勋益 王汝传 王海艳 基于自相似检测DDOS攻击的小波分析方法，利用 DDOS攻击对网络流量的自相似性的影响的基础 上，提出了小波分析检测DDOS攻击的方法，但 是改方法在区分正常的突发流量和异常流量方面 存在缺陷。
研究内容与目标
例如TCP-SYN flood，该攻击以多个随机或伪造 的源主机地址向目的主机发送SYN包，而在收到 目的主机的SYN ACK后并不回应。当ratio大于一 定数值时表明有可能是ddos攻击，也可能是良 性主机。又因为ddos对连接流量的重尾特性不 产生影响，再用利用重尾分布对流量进行检测， 如果 的值 大于2则表明发生ddos攻击。
DDoS的攻击原理如图所示
研究背景
研究背景DDoS的攻击方式主要以下三种：TCP-SYN flood：该攻击以多个随机或伪造的源主 机地址向目的主机发送SYN包，而在收到目的主 机的SYN ACK后并不回应，这样，目的主机就为 这些源主机建立了大量的连接队列，而且由于没 有收到ACK一直维护着这些队列，造成了资源的 大量消耗而不能向正常请求提供服务。
研究内容和目标
本文主要研究在宏观网络流量背景下的异 常检测技术 ， 这里所说异常，是指由 DDoS攻击所引发的流量异常。实现了一个 基于重尾分布的DDoS异常检测方法。
研究内容与目标
经研究正常的网络流量是符合重尾分布的，服从 重尾分布的随机变量的特点是：大量的小抽样取 值和少量的大抽样取值并存，在这些抽样数据集 中，虽然大部分的抽样取值是小的，但是对抽样 的均值和方差起决定作用的是那些少量的大抽样 取值 。现实网络流量分布很好的符合重尾分布 的pareto模型。
研究背景
UDP flood：目前在互连网上提供的WWW、Mail 等服务一般为使用UNIX操作系统，默认情况下它 们开放了一些UDP服务。如:原本作为测试功能的 chargen服务会在收到每一个数据包时会随机反 馈一些字符，如果恶意攻击者将两个UDP服务互
指，则网络可用带宽就会很快耗尽。
研究背景
研究内容与目标
而发生DDOS攻击时，网络流量的重尾特性遭到破
坏，重尾分布的特征参数 随之变化，研究表明
在正常流量 时取值范围为 [0 2] . 我们把IP流量进行协议划分，分为tcp,udp,icmp 流量.通过统计请求连接，利用没有回应的连接占 所有请求连接的比率（ratio）和请求连接符合重 尾分布的特性来判断是否发生DDOS攻击。
研究现状
Alsan Habib 等人提出将网络拓扑结构以图的方 式保存，并对进出的流数进行统计，以进出某主 机或路由器的流数是否超出预设阈值作为发现 DDoS异常的判定条件。 Laura Feinstein和Darrell Kinkred等人计算一定长 度网络流量序列的IP地址、数据包长度等属性信 息的统计分布值，根据这两个值来判断是否存在
研究背景
DDOS是英文Distributed Denial of Service的缩写， 意即“分布式拒绝服务“DDoS攻击是利用一批受 控制的机器向一台机器发起攻击，这样来势迅猛 的攻击人难以防备，因此具有较大的破坏性。这 种攻击可以使网站的email、文件传输和WWW等 服务终止几个甚至几十小时之久。全球许多大型 的网站以及国内的知名网站都曾遭受了其攻击。
研究现状
基于宏观流量 东南大学程光等人 提出以ICMP请求报文和应答报 文之间比率的网络行为为测度，并采用抽样测量 的方法，建立网络流量异常行为实时检测模型来 检测ICMP DDoS攻击，该方法虽然抽样测量的理 论很新颖，但没能提出针对性更广泛的DDoS攻击 的检测特征，适用范围不广。
研究现状