四、对于互补防御结构防御的算法研究
    对于图3的区域ISP内的整体防御结构，还需要与之相应的算法。对于这种分布的防御结构，采用分级防御思想，要实现大规模DDoS攻击的防御需对PR、IR及OR进行分工，根据各自目标选用不同算法。在PR上是为了将IR或OR上识别DDoS攻击包的范围缩小，PR目标是从大量合法数据流中检测出可能成为攻击的数据流（以下称异常流量），用流量异常检测方法。在IR上是为了从异常流量中检测出流入终端用户的DDoS攻击包，运用了我们研究的一种集成防御方法。由PR与IR构成的区域ISP下行链路防御带，其流程如图4所示。在OR上是为了从异常流量中检测出流入主干Internet的DDoS攻击包，为了简化这个系统，也用了与IR的相同算法。如果在OR上用D-WARD算法对现有的防御方法做一些修正，会有更好效果。在IR和OR上还可用对DDoS攻击的现存研究成果。这种互补的防御结构是一个完整的系统平台，可以集成不同的算法，形成大规模DDoS攻击的防御系统。
    典型的检测算法都运用了数据包的统计特征，这样要统计每个数据包特征，影响了合法数据包的传输速率。DDoS攻击的流量比较大，可以使用流量控制。为了从混合流量中快速检测出攻击流量，采用长范围内DDoS攻击流的自相关的识别模式，并对检测出的异常流的每一个数据包的包头进行标记，供后续路由器分类用。在IR或OR上对异常流的数据包进行分类，识别出攻击数据包并丢弃。这里的数据包分类用Packetscore是对每个数据包计算条件合法概率（CLP Conditional Legitimate Probability），根据CLP(p)进行决策，丢弃CLP(p)值低于一个动态阈值的数据包，极大提高了对攻击数据包识别的概率。而且Packetscore可以将数据包的统计特征分别进行计算处理，它易于增加新的统计特征，对数据包每个统计特征值分别处理，是通过求和得到判决值。因此可以并行计算提高了处理速度，其试验结果也好，对于该结构Packetscore是一个比较理想的数据包分技术。
    五、结论
    由于大规模DDoS攻击在ISP网络的核心路由器上的负担比较重，不是最佳的防御点。本文提出了大规模的DDoS攻击防御将区域ISP作为检测防御的最佳地点，在区域ISP内划分了对DDoS攻击的检测点与防御点，并提出了在检测与防御点的分级检测防御的方法，是将攻击流的所有源端和末端区域ISP联合起来形成的互补防御结构。
    该防御结构的重点是将检测设备安装在流量不是很大周边路由器上，使这个系统的速度性能比较稳定达到能快速反应，在决策路由器上进行分类并丢弃攻击包。如果所有的区域ISP都能布置这样互补防御系统，不但可使用户的安全度大大提高，还能减少主干ISP中的攻击流，实现一个自动的快速防御大规模DDoS攻击的系统。

(责任编辑：adminadmin2008)