1.2 HDDoS防御策略分析
    知识类之间存在四种基本的关系^[23]：获得(Acquire)，触发(Trigger)，相关(Reference)，扩展自(Extension of)。分析各个知识类之间的关系有助于从整体上理解HDDoS的防御策略。获得关系表示从目标对象处取回一些预先被定义好的知识，获得动作完成后，请求方才继续执行。触发关系利用当前知识类中的信息触发另外一个知识类，受动者启动后，就不再考虑施动者中的任何内容。相关关系用来表示知识类之间的关联性，被关联对象中的知识被认为是基本知识，与施动者中的知识放在一同考虑。扩展自关系让一个新的对象包含受动者中的所有知识。

     图2为几大知识类之间的关系图。攻击过滤建立访问控制策略过滤攻击并从防御性能评估处获得系统性能评价。攻击过滤关联受害系统正常状态过滤异常通信。攻击检测类检测到攻击会触发攻击过滤，被过滤触发的攻击检测表示一个检测HDDoS的发生检测器。攻击容忍根据系统正常状态分配系统资源实现负载均衡。通过分析知识类间关系我们发现，HDDoS防御策略都是满足这样基本关系的知识类的组合，基于这一想法，本文提出一种基于离群数据挖掘的HDDoS防御策略。

2 基于离群数据挖掘的HDDoS防御方法

    图3为本方法处理攻击的流程图。分为三个步骤：检测攻击、严格过滤攻击、基于离群挖掘的白名单建立。这与以往HDDoS防御策略的区别就在于检测过滤后组合进了建立白名单的方法，看上去是过滤方法的重叠，实质是为了解决过滤产生间接伤害难以恢复的问题。本文的研究重点是基于离群挖掘的白名单建立。

(责任编辑：adminadmin2008)