【摘要】： 電力行業(yè)是國(guó)民經(jīng)濟(jì)的重要工業(yè)，隨著信息化的快速發(fā)展和廣泛應(yīng)用,企業(yè)精益化管理的提出對(duì)網(wǎng)絡(luò)安全的要求越來(lái)越高。本文闡述了DDoS攻擊的原理，探索企業(yè)遭受DDoS攻擊的防御對(duì)策，為保障企業(yè)網(wǎng)絡(luò)安全提供了一定的思路。
【關(guān)鍵詞】：DDoS攻擊   網(wǎng)絡(luò)安全   企業(yè)防御

1.   前言

隨著我國(guó)企業(yè)信息化的快速發(fā)展，企業(yè)承載了許多商業(yè)應(yīng)用，特別對(duì)于政府、金融、能源、運(yùn)營(yíng)商等企業(yè)而言，網(wǎng)絡(luò)的持續(xù)、平穩(wěn)、安全運(yùn)行是至關(guān)重要的，這不僅僅關(guān)系到企業(yè)的業(yè)務(wù)運(yùn)轉(zhuǎn)以及盈利問(wèn)題，還關(guān)系到一個(gè)對(duì)外公眾的形象問(wèn)題。信息網(wǎng)絡(luò)技術(shù)給企業(yè)帶來(lái)了極大的信息化發(fā)展空間的同時(shí)，也產(chǎn)生了許多網(wǎng)絡(luò)安全問(wèn)題，若處理不當(dāng)，給企業(yè)造成的損失也是極大的。由習(xí)近平擔(dān)任中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組組長(zhǎng)可以看出，我國(guó)網(wǎng)絡(luò)安全依然有一定的提升空間，習(xí)近平提出的“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”，“努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)”等重要論斷，把我國(guó)網(wǎng)絡(luò)安全和信息化的重要性認(rèn)識(shí)提到了一個(gè)新的高度。

2.   國(guó)內(nèi)外信息網(wǎng)絡(luò)安全現(xiàn)狀分析

今年1月公安機(jī)關(guān)，運(yùn)營(yíng)商和網(wǎng)絡(luò)安全廠商已經(jīng)意識(shí)到網(wǎng)絡(luò)攻擊問(wèn)題的嚴(yán)重性，由三方參加的在北京舉辦的防護(hù)網(wǎng)絡(luò)黑客DDoS的高層研討會(huì)上，提出了很多有建設(shè)性的意見(jiàn)。2014年3月23日，某供電局對(duì)外門戶網(wǎng)站遭受連續(xù)的分布式拒絕服務(wù)攻擊（簡(jiǎn)稱DDoS攻擊），互聯(lián)網(wǎng)出口流量由原有正常的200GB左右達(dá)到高峰期的520GB（23日、24日的流量平均在400GB左右）。
棱鏡"項(xiàng)目于2007年啟動(dòng)，美國(guó)前情報(bào)人員斯諾登前不久就透露，美國(guó)國(guó)家安全局曾入侵華為總部的服務(wù)器，還曾監(jiān)控?cái)?shù)位中國(guó)前任國(guó)家領(lǐng)導(dǎo)人和多個(gè)政府部門及銀行，是我國(guó)互聯(lián)網(wǎng)史上最嚴(yán)重的網(wǎng)絡(luò)安全事件的序幕，波及范圍不斷擴(kuò)大。同時(shí)，微軟Windows XP“退役”引發(fā)中國(guó)兩億用戶的安全顧慮，進(jìn)一步警示中國(guó)信息安全形勢(shì)嚴(yán)峻，網(wǎng)絡(luò)安全再一次震撼的進(jìn)入人們的視野。可見(jiàn)，企業(yè)對(duì)網(wǎng)絡(luò)的要求不僅僅是網(wǎng)絡(luò)的持續(xù)運(yùn)行，還需要保證網(wǎng)絡(luò)的安全性。

3.   什么是DDoS攻擊？

DDoS即分布式拒絕服務(wù)，攻擊者將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通俗的說(shuō)，DoS攻擊是最早出現(xiàn)的，和DDoS相比較，DoS就是“單挑”，兩個(gè)機(jī)器比速度，比性能，如果攻擊者的機(jī)器每秒能夠發(fā)送20個(gè)數(shù)據(jù)包攻擊對(duì)方，而對(duì)方的的機(jī)器性能和網(wǎng)絡(luò)帶寬都優(yōu)于攻擊者，每秒可接受100個(gè)這樣的數(shù)據(jù)包，結(jié)果這樣的攻擊并沒(méi)有給對(duì)方造成任何威脅，反而因?yàn)楣粽叩臋C(jī)器CPU占用率過(guò)高而導(dǎo)致死機(jī)。而DDoS就是“群毆”，用很多機(jī)器分布式的對(duì)另一臺(tái)機(jī)器發(fā)起攻擊，后臺(tái)由一位黑客控制，通過(guò)黑客的機(jī)器來(lái)占領(lǐng)很多的“肉雞”，并且控制“肉雞”來(lái)發(fā)動(dòng)DDoS攻擊，如果每臺(tái)“肉雞”發(fā)送20個(gè)數(shù)據(jù)包攻擊，50臺(tái)就發(fā)送了1000個(gè)數(shù)據(jù)包，迅速形成一個(gè)龐大的DoS攻擊群，攻擊力度遠(yuǎn)遠(yuǎn)大于被攻擊的機(jī)器的承受力。DDoS攻擊，是一種分布、協(xié)作大的規(guī)模攻擊方式，這種暴力的攻擊可以將原本處理能力很強(qiáng)的目標(biāo)服務(wù)器攻陷，由于容易實(shí)施、難以防范、難以追蹤等而成為最難解決的網(wǎng)絡(luò)安全問(wèn)題之一，給網(wǎng)絡(luò)社會(huì)帶來(lái)了極大的危害。
DDoS攻擊可分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。（如圖一所示）

　（1）攻擊者：攻擊者使用的計(jì)算機(jī)相當(dāng)于攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過(guò)程，它向主控端發(fā)送攻擊命令。
　（2）主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。攻擊者在主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來(lái)的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。
　（3）代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它接受和運(yùn)行主控端發(fā)來(lái)的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。
　　攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，攻擊者進(jìn)入系統(tǒng)，在系統(tǒng)上安裝后門程序，入侵并控制的主機(jī)越多，攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起猛烈的攻擊。由于攻擊者是幕后操縱，在攻擊的時(shí)候不會(huì)受到監(jiān)控系統(tǒng)的追蹤，IP不容易被發(fā)現(xiàn)，身份很難確定。

4. 預(yù)防和抵御DDoS的思路和措施

4.1望聞問(wèn)切，確診被DDoS了嗎？

攻擊造成的網(wǎng)絡(luò)故障是比較明顯的，例如網(wǎng)絡(luò)帶寬被大量的消耗，服務(wù)器的CPU和內(nèi)存消耗大且快，網(wǎng)絡(luò)利用率幾乎接近100%，正常的服務(wù)響應(yīng)很慢或完全無(wú)響應(yīng)等現(xiàn)象。遇到上述情況時(shí)，很大可能是被攻擊了，是什么攻擊導(dǎo)致？根據(jù)以下異常現(xiàn)象分析，能夠較準(zhǔn)確地監(jiān)測(cè)出DDoS攻擊。
企業(yè)受到DDoS攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，即主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，故障表現(xiàn)為大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被攻擊者的虛假攻擊包淹沒(méi)而無(wú)法到達(dá)主機(jī)；另一種為資源耗盡攻擊，即如果是服務(wù)器被攻擊，攻擊者在進(jìn)行DDoS攻擊前要解析目標(biāo)的主機(jī)名，BIND域名服務(wù)器能夠記錄這些請(qǐng)求，同時(shí)通過(guò)大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡、系統(tǒng)服務(wù)器 CPU 利用率極高，處理速度緩慢，甚至宕機(jī)，CPU被內(nèi)核及應(yīng)用程序消耗殆盡而造成無(wú)法提供網(wǎng)絡(luò)服務(wù)。
     如何判斷網(wǎng)站是否遭受了流量攻擊呢？可通過(guò)Ping命令來(lái)測(cè)試，如果平常工作是正常的，此時(shí)若發(fā)現(xiàn)Ping超時(shí)或丟包嚴(yán)重，則可能遭受了流量攻擊，若發(fā)現(xiàn)和發(fā)起ping命令的主機(jī)接在同一交換機(jī)上的服務(wù)器也訪問(wèn)不了，基本可以確定是遭受了流量攻擊。這樣測(cè)試的前提是發(fā)起ping命令的主機(jī)到服務(wù)器主機(jī)之間的ICMP協(xié)議沒(méi)有被路由器和防火墻等設(shè)備屏蔽。如果有相關(guān)設(shè)備被屏蔽，可采取Telnet主機(jī)服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來(lái)測(cè)試，若平時(shí)Ping主機(jī)服務(wù)器和接在同一交換機(jī)上的主機(jī)服務(wù)器都是正常的，突然都Ping不通了或者是丟包嚴(yán)重，在排除是網(wǎng)絡(luò)故障因素導(dǎo)致的前提下，則很可能是遭受了流量攻擊，同時(shí)，一旦遭受流量攻擊，會(huì)發(fā)現(xiàn)用遠(yuǎn)程終端連接網(wǎng)站服務(wù)器會(huì)失敗。
     相對(duì)于流量攻擊而言，資源耗盡攻擊要容易判斷一些，如果平時(shí)Ping網(wǎng)站主機(jī)和訪問(wèn)網(wǎng)站都是正常的，發(fā)現(xiàn)突然網(wǎng)站訪問(wèn)非常緩慢或無(wú)法訪問(wèn)，但是還可以Ping通，則很可能遭受了資源耗盡攻擊，此時(shí)若在服務(wù)器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在，而ESTABLISHED很少，則可判定很大可能是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping自己的網(wǎng)站主機(jī)不通或者是丟包嚴(yán)重，而Ping與自己的主機(jī)在同一交換機(jī)上的服務(wù)器則正常，造成這種原因是網(wǎng)站主機(jī)遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達(dá)到100%無(wú)法回應(yīng)Ping命令，實(shí)際上帶寬還是有的，否則無(wú)法Ping通接在同一交換機(jī)上的主機(jī)。

4.2知己知彼，沉著應(yīng)對(duì)DDoS攻擊

目前比較流行的是SYN /ACK Flood攻擊，這種攻擊方法是經(jīng)典最有效的DDoS方法，可攻擊各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過(guò)向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源IP和源端口都是偽造的，故追蹤起來(lái)比較困難。此時(shí)故障的表現(xiàn)形式是，SYN數(shù)量大于100則是遭到了SYN Flood式的DDOS攻擊，ACK數(shù)量大于500則遭受了ACK Flood式的DDOS攻擊（下載站正常情況下也可能會(huì)達(dá)到1000個(gè)以上）。當(dāng)然，SYN /ACK Flood攻擊缺點(diǎn)是實(shí)施起來(lái)有一定難度，需要高帶寬的主控端主機(jī)和代理端主機(jī)的支持。
防范此類攻擊可以做以下幾點(diǎn)措施： 1．使用代理技術(shù)或者使用緩存 ；2．加固服務(wù)器TCP/IP的協(xié)議棧，增加最大半連接數(shù)，縮短SYN、ACK的超時(shí)時(shí)間，使用SYN cookies 技術(shù)等 ；3. 使用防DDOS攻擊的硬件設(shè)備和模塊。
其它攻擊如UDP Flood，這種攻擊現(xiàn)象是UDP數(shù)量很少而帶寬占用很大，則可能遭到了UDP Flood攻擊。針對(duì)UDP Flood的攻擊防護(hù)可以從以下幾點(diǎn)來(lái)做： 1．增大網(wǎng)絡(luò)帶寬和服務(wù)器性能；2．路由器和防火墻設(shè)置UDP會(huì)話限制；3．利用SP的一些類似源地址過(guò)濾手段來(lái)丟棄沒(méi)有回傳路由的UDP請(qǐng)求。

4.3面對(duì)DDoS攻擊，做好充分的準(zhǔn)備

預(yù)防DDoS攻擊必需要制定更嚴(yán)格的網(wǎng)絡(luò)標(biāo)準(zhǔn)來(lái)解決。每臺(tái)網(wǎng)絡(luò)設(shè)備或主機(jī)都需要隨時(shí)更新其系統(tǒng)漏洞、關(guān)閉不需要的服務(wù)、安裝必要的防毒和防火墻軟件、隨時(shí)注重系統(tǒng)安全，避免被黑客和自動(dòng)化的DDoS程序植入攻擊程序，以免成為黑客攻擊的幫兇。可采取以下方法做好預(yù)防工作。
（1）定期掃描網(wǎng)絡(luò)節(jié)點(diǎn)，及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時(shí)對(duì)漏洞進(jìn)行修補(bǔ)，及時(shí)安裝系統(tǒng)補(bǔ)丁程序；
（2）配置防火墻，認(rèn)真檢查特權(quán)端口和非特權(quán)端口，提防錯(cuò)誤配置造成的隱患，抵御DDoS攻擊和其他一些攻擊；
（3）充分利用網(wǎng)絡(luò)設(shè)備，首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時(shí)候要盡量選用知名度高、口碑好的產(chǎn)品。遭受DDoS攻擊以后，相對(duì)服務(wù)器的重啟，網(wǎng)絡(luò)路由器等網(wǎng)絡(luò)設(shè)備的重啟會(huì)快很多，而且路由器數(shù)據(jù)不會(huì)有太多的丟失，最大限度地降低DDoS的攻擊產(chǎn)生的負(fù)面影響；
（4）服務(wù)器只開(kāi)放服務(wù)端口，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。同時(shí)，網(wǎng)絡(luò)管理員需要每天查看工作日志，保留并定期查看各種日志是預(yù)防攻擊的好措施，即使遭受攻擊也能及時(shí)準(zhǔn)確采取應(yīng)急措施；
（5）檢查訪問(wèn)者的來(lái)源，利用Unicast Reverse Path Forwarding（單播反向路徑轉(zhuǎn)發(fā)）可以減少虛假IP地址的出現(xiàn)，挖掘出黑客攻擊時(shí)的真正IP;
（6）限制SYN/ICMP流量,在防火墻上配置SYN/ICMP的最大流量來(lái)限制其所能占用的最大帶寬；
（7）限制在防火墻外與網(wǎng)絡(luò)文件共享，否則會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無(wú)異將陷入癱瘓；
（8）把網(wǎng)站做成靜態(tài)頁(yè)面，大量事實(shí)證明，把網(wǎng)站盡可能做成靜態(tài)頁(yè)面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來(lái)不少麻煩。
4.4企業(yè)級(jí)防御DDoS
     互聯(lián)網(wǎng)企業(yè)防御DDoS攻擊，重點(diǎn)在于“事前預(yù)防，事中監(jiān)控，事后總結(jié)”。監(jiān)控需要具備多層監(jiān)控、縱深防御的概念，從骨干網(wǎng)絡(luò)、IDC入口網(wǎng)絡(luò)的BPS、PPS、協(xié)議分布，負(fù)載均衡層的VIP新建連接數(shù)、TCP新建連接數(shù)狀態(tài)、并發(fā)連接數(shù)，BPS、PPS到主機(jī)層的CPU狀態(tài)，到業(yè)務(wù)層的業(yè)務(wù)處理量、業(yè)務(wù)連通性等多個(gè)點(diǎn)部署監(jiān)控系統(tǒng)。即使某一個(gè)監(jiān)控點(diǎn)失效，其他監(jiān)控點(diǎn)也能夠及時(shí)給出報(bào)警信息，多個(gè)監(jiān)控點(diǎn)的信息結(jié)合分析，可以較準(zhǔn)確地判斷被攻擊目標(biāo)和攻擊手法。
     一旦發(fā)現(xiàn)異常，企業(yè)應(yīng)立即啟動(dòng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案。應(yīng)急隊(duì)伍需要有足夠全面的人員，至少包含領(lǐng)導(dǎo)小組、監(jiān)控部門、運(yùn)維部門、網(wǎng)絡(luò)部門、安全部門、客服部門等，所有人員都需要2-3個(gè)備份。應(yīng)急預(yù)案啟動(dòng)后，除了人工處理，網(wǎng)絡(luò)的軟硬件設(shè)備還應(yīng)該包含一定的自動(dòng)處理、半自動(dòng)處理能力。例如，自動(dòng)化的攻擊分析，確定攻擊類型，自動(dòng)化、半自動(dòng)化的防御策略，在安全人員到位之前，最先發(fā)現(xiàn)攻擊的部門可以采取一些緩解措施。
    企業(yè)防御DDoS攻擊，更多的準(zhǔn)備是在攻擊到來(lái)之前，需要重點(diǎn)保護(hù)好網(wǎng)絡(luò)層。首先確保所有的路由器都能夠屏蔽垃圾數(shù)據(jù)包，剔除掉一些不用的協(xié)議，比如ICMP。然后設(shè)置好防火墻，很顯然，企業(yè)的網(wǎng)站不會(huì)讓隨機(jī)DNS服務(wù)器進(jìn)行訪問(wèn)，所以沒(méi)有必要允許UDP 53端口的數(shù)據(jù)包通過(guò)服務(wù)器。同時(shí)，還需要對(duì)邊界網(wǎng)絡(luò)進(jìn)行一些設(shè)置，阻止一些沒(méi)用的流量，保證能夠得到一個(gè)最大的最通暢的帶寬。當(dāng)然，企業(yè)的防御點(diǎn)主要包含CDN節(jié)點(diǎn)部署、DNS設(shè)置、預(yù)案演習(xí)等，對(duì)于企業(yè)來(lái)說(shuō)，具備多個(gè)CDN節(jié)點(diǎn)是DDoS防御容量的關(guān)鍵指標(biāo)。當(dāng)企業(yè)的機(jī)房承受能力面對(duì)海量數(shù)據(jù)攻擊時(shí)，可以通過(guò)DNS輪詢的方式，把流量引導(dǎo)到多個(gè)分布節(jié)點(diǎn)，使用防御設(shè)備分頭處理。因此，DNS的TTL值需要設(shè)置得足夠小，能夠快速切換，每個(gè)CDN節(jié)點(diǎn)的各種VIP設(shè)置也需要充分準(zhǔn)備。
　　最后，在這些攻擊到達(dá)企業(yè)網(wǎng)站前就要將它們攔截住。例如，目前企業(yè)網(wǎng)站大多數(shù)都應(yīng)用了許多動(dòng)態(tài)資源，在受到攻擊的時(shí)候其實(shí)帶寬是比較容易掌控的，但最終往往受到損失的是數(shù)據(jù)庫(kù)或是運(yùn)行的腳本程序，這時(shí)候企業(yè)可以使用緩存服務(wù)器來(lái)提供盡可能多的靜態(tài)內(nèi)容，同時(shí)快速用靜態(tài)資源取代動(dòng)態(tài)資源并確保檢測(cè)系統(tǒng)正常運(yùn)行。
　　在虛擬化時(shí)代，各種用戶的不同業(yè)務(wù)共處在相同的物理機(jī)平臺(tái)，遭受DDoS攻擊的可能性越來(lái)越高，而且一個(gè)用戶被攻擊可能牽扯到大量的其他用戶，危害被顯著放大，因此防御顯得尤為重要。
綜上所述，企業(yè)面對(duì)DDoS攻擊，應(yīng)該在攻擊剛剛開(kāi)始的時(shí)候就要有一套完整的預(yù)備方案，加強(qiáng)基礎(chǔ)設(shè)施的建設(shè)，合理部署網(wǎng)絡(luò)，強(qiáng)化網(wǎng)路設(shè)置，定期分析工作日志并持續(xù)監(jiān)控網(wǎng)絡(luò)，這些都是非常重要的，因?yàn)楣粢坏╅_(kāi)始，想要從源頭阻止DDoS是比較困難的。

五　總結(jié)

安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實(shí)現(xiàn)自身的價(jià)值，而網(wǎng)絡(luò)最大的價(jià)值，是在于企業(yè)的信息化應(yīng)用。對(duì)于能源行業(yè)來(lái)說(shuō)，網(wǎng)絡(luò)的持續(xù)、平穩(wěn)、安全運(yùn)行是至關(guān)重要的，無(wú)論是安全、性能還是故障性問(wèn)題，不能快速解決，給企業(yè)帶來(lái)的是難以衡量的損失。如何才能保障網(wǎng)絡(luò)的暢通性與安全性，這對(duì)每一個(gè)企業(yè)都是巨大的挑戰(zhàn)。
企業(yè)需要有居安思危的思想準(zhǔn)備，有備無(wú)患才是長(zhǎng)治久安之計(jì)。首先需要努力使員工的安全意識(shí)融入到企業(yè)的環(huán)境和文化中，建立網(wǎng)絡(luò)安全策略及安全保障體系，強(qiáng)化防御方案，重視災(zāi)難備份建設(shè)，時(shí)刻注意系統(tǒng)運(yùn)行情況，這樣的防范和管理可以大大抵御攻擊者的破壞力，讓員工的工作效率得到提高，同時(shí)也間接的保障企業(yè)的安全生產(chǎn)，從而實(shí)現(xiàn)社會(huì)效益和經(jīng)濟(jì)效益的最大化，實(shí)現(xiàn)信息化與信息安全的同步發(fā)展。
 
參考文獻(xiàn)：
【1】                黃文宇.  基于行為分布的DDoS攻擊檢測(cè)方法[D]. 北京化工大學(xué)，2010.
【2】                黃強(qiáng).  基于分布式的DDoS攻擊及防范技術(shù)研究[D]. 合肥工業(yè)大學(xué)，2011.