現有的基于網絡流量的DDoS攻擊檢測方法可以按照對時間尺度的敏感程度進行劃分,通常將小于100 ms的網絡模型稱為小尺度網絡模型，將以小時(hour)或天(day)作為時間單位的網絡模型稱為大尺度網絡模型。基于大尺度網絡模型的檢測方法主要有方差分析法(ANVOA)[1]、泛化似然比檢驗法(Generalized Likelihood Ratio Test)[2]、自適應殘差比較法[3]等，這些方法雖然有較好的檢測率和較低的誤報率，但是因其以hour或day為統計單位而不具備實時檢測的能力。相比之下小尺度網絡模型更適合于實時檢測，但因其表現出多分形性[4]而難以觀測。參考文獻[5]提出的Holder指數檢測法雖然檢測延時短，但是受到短相關性質對網絡流量整體觀測能力不足的影響，誤報率過高。針對這一問題，參考文獻[6]提出了一種基于傳統Hurst指數和Holder指數的分形檢測法，通過判斷網絡流量的實時分形特性,分別采用兩種不同方法進行檢測，雖然提高了分形模型中長相關部分的檢測準確率，但是當流量數據表現出短相關時，誤報問題仍沒有解決。參考文獻[7]提出了一種基于Hurst指數的方差-時間圖法VTP(Variance-Time Plots)，試圖利用多分形模型中包含的長相關特性進行檢測。受多分形模型中長相關特性并不明顯的影響，誤報率雖然有所下降，但是檢測率上還存在不足。

    現有小尺度網絡模型通常采用Holder、Hurst等指數進行檢測，Holder指數觀測尺度狹窄、誤報率高；Hurst指數能夠在整體上對流量的自相似性進行刻畫，具有較高的檢測精度，但要求觀測的時間尺度寬，不利于實時檢測。本文提出的基于數據預處理的DDoS攻擊檢測方法在Hurst指數檢測的基礎上，通過提高流量間相關度，滿足了Hurst指數定義對模型長相關程度的要求，從而能夠更準確地對具有多分形特性的流量進行分析。
1 流量預處理
    小尺度網絡模型中包含的網絡業務信息相比大尺度網絡模型少但更為細致，因而也更易受流量的突發性影響。基于流量的DDoS攻擊檢測技術正是利用了流量突發性對統計特性造成的奇異點進行檢測，因此為了降低誤報率就需要降低正常流量發生時對小尺度模型統計特性的影響。最直接的方法就是增加小尺度模型各節點包含的信息量，增強其長相關性。參考文獻[8]就可能影響流量性能的因素提出了假設，并認為均值和方差對多分形有較大影響。本文在參考文獻[8]的基礎上，提出采用滑動平均值來代替原有采樣值的方法，在保證不丟失原有信息特性的前提下，將前后時間節點的特性包含進來，提高了節點中包含的信息量，使得小尺度網絡模型的長相關性增強，同時降低了正常流量發生時對統計特性可能造成的影響。流量預處理方法如式(1)所示：

    小波分解過程中通常采用二進制伸縮的方式,如式

3 DDoS攻擊檢測實驗
    本文采用模擬攻擊的方法對文中提出的網絡異常檢測算法進行測試。
3.1 數據來源
    實驗數據由正常的背景流量和模擬的攻擊流量匯聚而成。
    以北京工業大學某樓層的真實流量為正常流量樣本，采用Wireshark截取上午10：30~11:17之間的全部流量。時間精度為1 ms,包括各類正常訪問的數據包1 620 400個。分別匯聚為精度10 ms的BJUT-10流量和精度為1 s的BJUT-1000流量。
     利用Sprient公司的ThreatEx2600作為攻擊流量的產生工具，模擬了DDoS攻擊中最經典的SYN-Flood攻擊流量，并將攻擊強度以1 000 threats/s的幅度逐漸增加。將攻擊行為分為兩次，分別在小背景流量和大背景流量下進行，小背景流量攻擊發生在100 000 ms，大背景流量發生在200 000 ms。每次攻擊持續180 s，其中流量上升階段30 s，峰值攻擊120 s，流量下降階段30 s。測試環境如圖1所示。

     從實驗結果可以得出,在利用BJUT-10流量模型進行異常檢測時,當攻擊流量達到背景流量36.90%時,攻擊被檢測出來，但檢測完整性較差，僅為2.10%，檢測延遲91.28 s。
    當攻擊增強而背景流量不變時，攻擊的檢測率提高，攻擊檢測完整性也相應提高；當攻擊流量占到總流量91.36%時,檢測率達到100%,檢測完整性達到75.18%，檢測延遲為26.1 s。
    當攻擊強度不變，背景流量發生變化時，在大流量背景下,檢測的完整性較小流量背景下攻擊的檢測完整性和檢測率差距較大，檢測延遲明顯降低。
4 與典型算法對比
    為了驗證本文算法的性能，采用相同的實驗數據與典型檢測方法進行了對比測試。
4.1 Holder指數檢測法
    本文重現了參考文獻[6]中的Holder指數計算方法，并將關鍵實驗參數設置為λ=0.9,s=10。
4.2 傳統Hurst指數檢測法
    根據參考文獻[6-7]中的Hurst指數檢測法，因Hurst指數檢測法只適用于大尺度的網絡模型，即時間敏感度大于1 s的網絡模型，因此本文采用BJUT-1000流量進行模擬檢測。采用db(3)小波分解，小波分解層數為j=10，小波移動尺度k=1，時間區間n=10。
4.3 性能比較
    本文模擬的DDoS攻擊包含了30 s攻擊速率上升的過程，因此檢測延遲在一定程度上反應了檢測算法對攻擊發生初期（0 s~30 s）的檢測能力。
    從圖5可以看出本文方法在檢測延遲上同Holder指數檢測法性能相當。從算法誤報率上看，本文方法誤報率較Holder指數檢測法有明顯改善。因而本文方法在檢測率和檢測完整性上優于其他兩種檢測算法。如圖6所示。

    本文提出了一種基于多分形模型數據預處理的異常檢測方法。利用小波分解的方法對網絡流量進行分析。通過增加數據間相關性使得短相關的流量數據具備一定的長相關特性，而長相關數據的特性更加明顯。同時使用Hurst指數方差平均值對攻擊流量進行檢測。相比于現有的實時檢測算法,其誤報率明顯降低，并保持較低的檢測延遲，提高了檢測率和檢測完整性。
參考文獻
[1] JOSEPH L H, FAN Z, PEIWEZ S. Characterizing normal operation of a Web Server:application to workload forecasting and problem detection[C].Proceedings of the Computer Measurement Grouy, 1998.
[2] THOTTAN M, JI C Y. Statistical detection of enterprise network problem [J]. Journal of Network and Systems Management, 1999,7(1):27-45.
[3] 曹敏, 程東年, 張建輝,等.基于自適應閾值的網絡流量異常檢測算法[J].計算機工程, 2009,35(19):164-167.
[4] ABRY P, VEITCH D, Wavelet analysis of long-range dependence traffic[J]． IEEE Trans on Information Theory, 1998,44(1):2-15．
[5] 任義龍, 劉淵, 一種基于Holder指數的DDoS攻擊檢測方法[J]. 計算機應用研究, 2011,28(2):724-727.
[6] 任義龍, 劉淵. 一種基于小波分析的DDoS攻擊檢測方法[J/OL].[2011-09-29]. http://www.cnki.net/kcms/detail/11.2127.tp.20110929.1037.054.html.
[7] 李金明, 王汝傳.基于VTP方法的DDoS攻擊實時監測技術研究[J]. 電子學報, 2007,35(4):791-796.
[8] 胡俊, 譚獻海, 覃宇飛.基于小波技術的網絡流量分析與刻畫[J]. 計算機應用, 2007,27(11):2659-2665.
[9] 任勛益, 王汝傳, 祁正華. 消失矩對小波分析求解自相似參數Hurst的影響研究[J], 電子與信息學報, 2007,29(9):2257-2261.
[10] 任勛益, 王汝傳, 王海艷. 基于自相似檢測DDoS攻擊的小波分析方法[J]. 通信學報, 2006,27(5):6-11.
[11] 李永利, 劉貴忠, 王海軍,等.自相似數據流的Hurst指數小波求解法分析[J].電子與信息學報, 2003,25(1):100-105.