电子科技大学计算机入侵检测技术5.pptVIP

第七节 判决攻击发生的有效性 3、通过分析可知： （1）当较大的突发正常流量到达时，绝大部分情况下相邻时隔的Hurst系数方差变化在1.4倍以下，在极为个别的情况下变化倍数值超过了2.0。如果使用本章的判决条件，该情况即为误判。如果将误判率定义为误判次数与叠加后的总测试次数的比值，则在本实验中的误判率为0.000625（2/3200），由此可知该判决条件的误判率很小； （2）对以上情况进行分析，突发的正常流量加入网络后不会从根本上改变原有背景流量的相关性，这一点与DDoS攻击发生时不同，前者相关性较弱，而后者由于DDoS攻击的发生机制而相关性较强。因此，本章给出的判决条件可以区分流量的增加是正常流量的到达还是DDoS攻击的发生； 第七节 判决攻击发生的有效性 （3）进一步分析发现，误判存在着三种可能性。其一，该判决条件本身就存在一定的误判率；其二，因误差而出现的误判，对于这样的情况可通 过提高实验精度来加以解决；其三，在个别情况下，当正常流量的突发性达到某个程度时，相关性可能会受到较大改变，甚至类似于DDoS攻击，对于这样的情况（即突发的正常流量造成了拒绝服务效果），该判决可视为正确的判决结果； 从本章实验结果可以看出，该判决条件具有很小的误判率，因此不会影响到检测的有效性。 第七节 判决攻击发生的有效性 三、 漏判情况的研究 下面再考虑漏判的情况，对于造成主机资源