。（LDoS）服務一直是的主要之一而低速率服務比傳統服務更難防御，因此，研究檢測低速率服務的方法對。本文根據決策樹算法中的分類與回歸樹算法對檢測低速率服務方法進行研究。將TCP流量、ACK包、時間差、丟包數四個數據作為屬性，建立最終決策樹。通過在NS2樹（CART。最后，根據建立的決策樹判定是否存在低速率服務。通過在NS2模擬環境中，多次采用不同的訓練數據對算法進行訓練，并進行多次探LDoS算法具有較低的誤報率和漏報率。實驗表明，該算法可以有效檢測LDoS。：低速率服務（LDoS；CART；訓練數據；不等性度量LowRateDenialofServiceAttackDetectionMethodBasedonClassificationandRegressionTrees最近，2017年5月12日，”WannaCry”全球爆發，當天該對全球的系。服務是的主要之一服務簡稱DoS，它針對的。絡安全的服務形勢更加嚴峻。2016年8月至9月，Mirai通過互聯網上的物聯網設備（頭等）發起，多個公司遭到，甚至安全研究機構KrebsonSecurity也該。2016年10月21日，提供動態DNS服務的DynDNS遭受了大規模的DDoS，導致了大半個互聯網主機下線，簡稱Dyn事件。除此之外，多家游戲公司在2016年到DDoS，多個游戲服務器癱瘓宕機。服務從2013年的10GB90GB流量到2014年的300GB400GB，直到2016直是DDoS的重災區2016年第三季度綠盟科技到全球了71,416次，其國占據了被國家的39%，屬于最嚴重的的國家。這一季度，中國共發生了27,852次DDoS。現今的服務形勢的提出了傳統DoS和LDoS傳統DoS傳統的服務，也稱洪水，目的在于事目標主機網絡或者系統資源的電腦作為“僵尸”向被目標發起DoS，這種方式被稱作分布式服務（DDS傳統DoS，包括兩種方式：帶寬消耗性和資源消耗性。兩種方式都是通過大量的合法或者的請求占用大量網絡以及器材資源，達到使目標主機網絡癱瘓和系統宕機的目的。目前，防御服務的方式通常為檢測，流量過濾和多重仍然是重要研究方向之一。低速率服務。低速率服務，簡稱LDoS，在2003年，Kuzmanovic和Knightly首次提出，并描述了其基本原理和定義，當時稱其為Shrew。2003年，在M會議上，Aleksandar首次提出針對TCP協議的LDoS這是LDoS名稱首次被提出之后再這基礎上衍生了RoQPDoS等這類LDoS大學的、、等人在文獻闡釋和總結了LDoS的基本原理和方法：無論LDoS的自適應機制的，與傳統DoS需要維持長期持續的流量不同，它通過發送周期性的高速脈沖性流量，達到目標主機降低網絡帶寬和系統性能的目的。。低速率服務屬于服務，但在傳統服務上防御難度又上升了一層。傳統的服務可以看出流量大于正常平均流量，而低速率服務LDoS主機受到長期而察覺不到。而由于是以周期性的流量，和真是數據流特征類似，所以該服務隱蔽性非常好。低速率服務擁有更高的隱蔽性，的多樣性特點，這給檢測低速率服務帶來了更大的難度目前已經存在的檢測LDoS方法有很多，頻譜分析、統計分析和小波變換分析方法，限制性太強。由于LDoS成本低，防御和檢測，所以LDoS將對造成重大關于LDoS的檢測防御方法研究也是安全領域的重點問題本課題將從決策樹算法出發，綜合LDoS中的多個流量特征數據，采用決策樹算法中的分類與回歸樹算法啟發式的生成決策樹模型，得到檢測LDoS的決策樹，LDoS的檢測。然后，通過多次試驗和取值，確定最有效的訓練數據，驗證該檢測方法下的檢測LDoS的作用。LDoS被提出已經有十幾年的時間，但是防御和檢測體系仍舊處于不成熟階段。而在其原理上，已經出現的這一類型卻層出不窮。檢測LDoS方法難度給研究帶來了和。目前，已經檢測算法都有局限性，或者誤報率高，或者漏報率高，或者不具有廣泛性。因此，研究LDoS，并設計出一種檢測LDoS方法體系，使之可以在成本低的情況下，實時的以低漏報率和低誤報率檢測出LDoS的存在，對來說，具有重要的意義和現實作用。設計一種可以避免特定協議通過啟發式的機器學習算法以較低成本，完成檢測出LDoS的方法。LDoS概LDoS原LDoS針對的是TCP/IP擁塞控制策略中自適應機制中的。TCP/IP擁塞控制略分為（1）TCP（2）IP擁塞控制。（slow-start、擁塞避免(congestionavoidance)、快重傳(fastretransmit)和快恢復(fast一個擁塞窗口cwnd(congestionwindow)。cwnd設置為一個MSS2的冪次方依次增加cwnd擁塞避免中除了擁塞窗口cwndssthresh狀態變量。Shi使擁塞避免算法。這樣，每經過一個往返時間RTT，擁塞窗口cwnd就加1，而不ssthresh設置為當前門限值的一半，然后將擁塞窗口cwnd1個MSS，最后進入慢啟動階段。快速重傳是在目標端收到三個相同確認ACK后，將門限ssthresh設置為當前擁塞窗口cwnd的一半，然后擁塞窗口設置為當前門限值ssthresh3，然后進快速恢復則是在遇到3個重復的ACKssthress設cwndcwndssthresh加3，然后重傳ACK包對應的數據包。若再收到該ACK包，則將擁塞窗口cwnd1ACKcwndIP擁塞控制策略又稱為鏈路擁塞控制，主要指的是路由器的緩存隊列管理策略。目ManagementAQM存隊列溢出之前作出響應，降系統發送數據包的速率，進入擁塞避免階段，從而避（1）TCP