题目：DRDoS攻击检测模型的研究

分布式反射拒绝服务攻击（DRDoS Attack）是一种新型的拒绝服务攻击，此类攻击实施容易，攻击强度大且不易检测和防御。现在抵御DRDoS攻击的方法大部分都是沿用对抗DDoS攻击的策略，虽然有一定的效果，但不是很理想，所以对DRDoS攻击的检测和防御需要一种新的思路。
DRDoS攻击可以利用任何一个可自动生成回应消息的协议来完成，根据其攻击特点我们可以用请求-回应包对来实施检测。Hiroshima Tsunoda.el.检测模型就是根据此思想来设计的，但若对所有的回应数据包都进行请求回应包对进行匹配，无疑会对正常连接响应速度缓慢，从而降低服务速率。本文主要针对上述DRDoS攻击检测方法的不足提出一个适中的解决方案，具体内容如下：
（1）       在原模型的基础上提出一个改进模型，该模型首先根据流量的特征，设定一个阀值R（R为一个RTT时间内请求包所对应的回应包数量），以此来判定潜在攻击流，然后再根据请求回应包对来二次判定攻击流，这样做不仅可以快速响应正常连接，二次检测还大大的降低了实际网络中的误警率。
（2）       本文对各层主要的请求-回应关系作了归类分析，并根据请求包是否被正常响应，把响应包分为正态响应包和异态响应包，继而给出了不同状态下检测条件的最小集合。
（3）       设计存储器的结构，通过实验给出RTT的最佳值，并计算出在RTT时间内该模型的内存容量大小。
（4）       在Winpcap下实现对数据包的抓获，并在给定条件下对数据包进行过滤，实现所需数据包的流量统计。
（5）       对潜在攻击流的二次检测需和存储器中的预测数据包进行匹配分析，判定潜在攻击流的有效性。数据包匹配分析模块中完成各层数据包的解析后，若存储器中有一个数据包匹配成功，则该攻击流就是正常数据包，其有效性被确认，否则丢弃。
通过对模型时间复杂度和性能的分析，得出在确保检测率和误警率的前提下，该模型较其他检查模型优。