1.低速率拒絕服務LDoS攻擊、檢測和防御模塊，其特征在于以下三個子模塊：

(1)LDoS攻擊子模塊；

(2)LDoS攻擊檢測子模塊；

(3)LDoS攻擊防御子模塊。

2.根據權利要求1所述的LDoS攻擊、檢測和防御模塊，其各子模塊的特征在于：

其中：子模塊(1)是LDoS攻擊工具。它包含攻擊服務端和攻擊客戶端。服務端程序先植入被攻占的主機，主要用于接收攻擊指令及對目標主機發起LDoS攻擊流量；客戶端主要功能是選定攻擊目標，設定攻擊脈沖周期、攻擊脈沖寬度和攻擊脈沖強度。安裝在控制臺上的客戶端完成的功能主要包括以下內容：1)掃描傀儡網絡，察看當前在線的傀儡主機，生成當前可用傀儡主機的IP列表文件，保存成文本文件，供程序調用；2)給傀儡機上傳包含攻擊參數的bin文件，并向傀儡機通告攻擊目標主機的IP地址和端口號；3)設定傀儡機發起攻擊的時間及持續時間，發起攻擊指令。把上傳到傀儡機的服務端攻擊流量產生工具主要功能包括：1)接收客戶端發送的包含攻擊參數的bin文件；2)接收攻擊指令，精確設定攻擊時刻；3)按照接受到的bin文件產生相應的攻擊流量并發起攻擊。

子模塊(2)是LDoS攻擊檢測模塊。采用基于時間窗的統計判決方法。分為以下幾個步驟：1)在受害端的上一跳路由監測流量，每隔t秒的間隔對流量進行取樣，一個時間窗為t’秒，一個判決周期為T秒；2)每隔t’秒檢測一次突變脈沖的個數：在t’秒內按照t采樣間隔進行采樣，得到一個序列記為：

x(n)(n＝0，1，2…k-1)，其中k＝t’/t；

從x(n)中選擇最大值max＝x(index)，并記錄最大值的下標index；如果index＝0，判斷

其中?是門限系數

是否成立。如果成立，則存在突變脈沖；如果index＝n-1，判斷

其中β是門限系數

是否成立。如果成立，則存在突變脈沖；否則，判斷

其中λ門限系數

是否成立。如果成立，則存在突變脈沖；3)如果存在突變脈沖，則每個時間窗t’后給判決計?數器的值C加1；4)到達判決時間T時，判斷在T秒內判決計數器的值是否大于門限M，如果C＞M成立，判定攻擊發生。

子模塊(3)是LDoS攻擊防御模塊。防御方法使用基于Flow?Table的過濾對攻擊報文進行過濾，基于Flow?Table的過濾基本思想是設立已經建立的連接的標識列表，在報文過濾時，對經過的報文提取其連接標識，如果該標識屬于上述列表，則通過該報文，否則將其丟棄。一個連接可由收發雙方的源、目地址，源、目端口，協議號共5個值104bits唯一確定，我們可以將其作為標識?；蛘咭部梢詫⑦@5個值串聯，生成短Hash摘要作為標識。本發明將已經建立的連接的標識列于“紅名單”(正常流表)中，這時如果檢測出網絡中可能存在攻擊的話，則先把這些攻擊流放入“白名單”(可疑流量表)，然后等待判決時間到達后進行判決，此時如果這些可疑流連接不在“紅名單”中，就可判定是攻擊報文，把這些流轉入“黑名單”(攻擊流表)。

3.根據權利要求2所述的LDoS攻擊、檢測和防御模塊，其特征在于：1)攻擊子模塊中設定：目標主機的IP地址為10.1.10.100，傀儡機1的IP地址為10.1.20.140，傀儡機2的IP地址為10.1.20.150，傀儡機3的IP地址為10.1.20.160。目標主機端口號為7775。LDoS攻擊脈沖周期為1150ms，攻擊脈寬為150ms，單個攻擊脈沖強度為33Mbps。檢測子模塊中設定：t＝200ms，t’＝1.2s，T＝6s，門限C＝3，通過學習設定門限系數?、β＝1.6和λ＝1.8。防御子模塊中使用數據庫netflow來存放所有的流量，數據庫netflow中有三個表，normalflows(存放正常流)、suspectflows(存放可疑流)、attackflows(存放攻擊流)。本模塊主要是通過編寫iptables腳本生成器生成過濾規則，然后在通過內核模塊Netfilter在內核對攻擊流進行過濾。?