謝 凱，代 康

(新疆工程學(xué)院 信息工程學(xué)院，烏魯木齊 830023)

0 引言

伴隨著網(wǎng)絡(luò)帶寬的不斷增加，網(wǎng)絡(luò)入侵檢測系統(tǒng)性能難以滿足當(dāng)下網(wǎng)絡(luò)速度[1]。采用單機(jī)集中檢測的方法，很難對當(dāng)前高速網(wǎng)絡(luò)流量進(jìn)行實時分析[2]。為此，有必要對多機(jī)并行運行的網(wǎng)絡(luò)入侵檢測系統(tǒng)的相關(guān)技術(shù)進(jìn)行研究。同時，網(wǎng)絡(luò)安全問題也日益成為社會關(guān)注的焦點。由于在設(shè)計和實施時操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、應(yīng)用軟件和硬件設(shè)備等方面存在缺陷和漏洞，或者系統(tǒng)配置的不當(dāng)或使用不當(dāng)，也會造成安全隱患。這些漏洞和隱患為惡意攻擊者通過非常規(guī)手段入侵系統(tǒng)提供了機(jī)會。

以往設(shè)計以互聯(lián)網(wǎng)高性能為主干網(wǎng)的檢測系統(tǒng)，具有高帶寬的網(wǎng)絡(luò)服務(wù)，主干網(wǎng)傳輸速度達(dá)到10 G，在高速鏈路下，雖然使用該系統(tǒng)具有快速處理報文性能，但只能被動防御，沒有實時報警能力；使用基于防火墻技術(shù)設(shè)計的檢測系統(tǒng)，運行在顯示打開端口上，對流經(jīng)系統(tǒng)所有數(shù)據(jù)進(jìn)行實時維護(hù)，但無法阻止內(nèi)部攻擊，不能滿足通信網(wǎng)絡(luò)安全通信需求。

針對上述問題，提出了基于負(fù)載預(yù)測的通信網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計。應(yīng)用動態(tài)均衡算法，通過多個分配器和探測器協(xié)同工作，系統(tǒng)采用兩級并聯(lián)結(jié)構(gòu)，實現(xiàn)了流量分配，避免了負(fù)載集中導(dǎo)致的單一分流裝置的使用，具有良好的均衡性能和高冗余、可擴(kuò)展性。

1 通信網(wǎng)絡(luò)入侵檢測系統(tǒng)拓?fù)浣Y(jié)構(gòu)設(shè)計

基于負(fù)載預(yù)測的通信網(wǎng)絡(luò)入侵檢測系統(tǒng)群集拓?fù)湟詎層解決方案為基礎(chǔ)，包括一個 Web層群集，為客戶機(jī)提供內(nèi)容服務(wù)。該網(wǎng)絡(luò)層集群使用IIS和網(wǎng)絡(luò)負(fù)載平衡來滿足IP的輸入請求。圖1中顯示了系統(tǒng)拓?fù)浣Y(jié)構(gòu)。

圖1 系統(tǒng)拓?fù)浣Y(jié)構(gòu)

由圖1可知，網(wǎng)絡(luò)層集群中的軟件可以在本地計算機(jī)上創(chuàng)建并使用 COM+組件，或者可以使用分布式 COM在遠(yuǎn)程計算機(jī)上創(chuàng)建并使用 COM+組件。

網(wǎng)絡(luò)負(fù)載均衡(NLB)是一種基于 IP的負(fù)載均衡技術(shù)，基于服務(wù)器負(fù)載百分比，它提供了一組統(tǒng)計算法的動態(tài)縮放功能。也就是，它能自動適應(yīng)集群中服務(wù)器的增加和刪除，而不會對客戶端造成影響[3]。

COM+組件負(fù)載平衡技術(shù)可用于實現(xiàn)組件負(fù)載平衡，構(gòu)件是可用于多種不同語言的編譯軟件對象。對于CLB, COM+組件位于服務(wù)器上，位于單獨的 COM+集群中。

2 通信網(wǎng)絡(luò)入侵檢測系統(tǒng)硬件結(jié)構(gòu)設(shè)計

通信網(wǎng)絡(luò)入侵檢測系統(tǒng)硬件結(jié)構(gòu)如圖2所示，它由負(fù)載預(yù)測器、探測器和控制中心組成。

圖2 系統(tǒng)硬件結(jié)構(gòu)

如圖2所示，并行入侵檢測系統(tǒng)的模型主要包括監(jiān)視器、分配器、探測器和控制器。監(jiān)聽程序是整個結(jié)構(gòu)的中心，它負(fù)責(zé)捕捉流經(jīng)該網(wǎng)絡(luò)段的所有數(shù)據(jù)包，并將其轉(zhuǎn)發(fā)給每個分發(fā)器；顯示器可以是交換機(jī)在特定網(wǎng)絡(luò)環(huán)境中的一個顯示器端口或鏡像端口，監(jiān)聽程序并不專門向每一個檢測器分發(fā)數(shù)據(jù)包，而只是使用簡單的循環(huán)算法來劃分流量，然后再向分發(fā)器分發(fā)。這能夠更好地適應(yīng)高速網(wǎng)絡(luò)，避免出現(xiàn)數(shù)據(jù)傳輸擁塞問題，實現(xiàn)業(yè)務(wù)級的第一次業(yè)務(wù)分流；分配器通過交換機(jī)向各個檢測器轉(zhuǎn)發(fā)數(shù)據(jù)包，完成二級流分配。探測器在相同配置下運行 Snort；控制器負(fù)責(zé)獲取各個檢測器的處理能力和負(fù)載信息，并根據(jù)當(dāng)前網(wǎng)絡(luò)流量的變化動態(tài)地進(jìn)行流量分配算法的調(diào)整[4]。

2.1 監(jiān)聽器

監(jiān)聽器，也叫竊聽器，是一種T-KOKO型監(jiān)聽器，帶有監(jiān)聽面板AP-9812M的語音信息監(jiān)聽工具。它包括全球移動通信系統(tǒng)，其工作原理是在系統(tǒng)信道中對語音信號進(jìn)行編碼、加密和交織，形成突發(fā)信號，經(jīng)調(diào)制后發(fā)送。接收話機(jī)端對信號進(jìn)行解調(diào)、解交錯、信道解碼、語音解碼，然后還原為用戶手機(jī)語音信號[5]。在GSM系統(tǒng)中，采用了TDMA (窄帶時分多址)技術(shù)。載頻帶寬為200 kHz的每幀具有8個時隙。在理論上，一個RF可以同時進(jìn)行8次呼叫，每個時隙的長度為0.577 ms，幀的持續(xù)時間為4.615 ms，也就是將時間劃分為周期性幀，每幀分為若干時間段?；谔囟ǖ臅r隙分配原理，手機(jī)用戶通過每幀幀間將信號發(fā)送到基站，基站分別位于各自指定的時隙內(nèi)[6]。

由于基站接收到來自不同手機(jī)用戶的信號，因此也會按照指定的時間間隔發(fā)送給不同手機(jī)用戶。每個移動用戶在規(guī)定的時間間隔內(nèi)接收到信號，但不能保證他們都在同一頻道，用戶之間不能相互干擾[7]。

2.2 分配器

使用HDMI分配器輸入視頻信號：0.5～ 1.0 V p-p、輸入DDC信號：5 V p-p(TTL)、最大單鏈路范圍：1 920x1 080,1 080 P，3D 1 080 P / 24 Hz、輸出視頻：HDMI 1.4V + HDCP1.0 / 1.1 / 1.2。

在CATV傳輸系統(tǒng)中，配分器是最常用的信號傳輸元件。它的作用是將一個輸入信號平均分為幾個輸出信號，通常是二分布、三分布、四分布、六分布等等。在C++編程中，分配程序是C++標(biāo)準(zhǔn)庫的重要組成部分。C++庫定義了一系列數(shù)據(jù)結(jié)構(gòu)，并統(tǒng)稱為容器。兩者的共同點是，它們的大小可以用來對程序進(jìn)行操作。對于這個問題，動態(tài)內(nèi)存分配尤其重要，它是用來處理內(nèi)存分配和釋放容+器請求的。

2.3 光纜探測器

選擇JY211-QTQ-04型號光纜探測器，內(nèi)部含有發(fā)射機(jī)和接收機(jī)，其中發(fā)射機(jī)自動測試并顯示電池電壓，低于10 V時，蜂鳴器會發(fā)出急促的聲音告警并停機(jī)。停機(jī)后，開始自動阻抗匹配，并在工作中實時顯示信號強(qiáng)度；接收機(jī)是從光纜上接收信號，探測光纜路由、埋深。操作者根據(jù)表頭指針的顯示、蜂鳴器聲音的提示來確認(rèn)光纜的路由、埋深[8]。

晶型振蕩器產(chǎn)生3.5～4.95 M的正弦波，然后把它分解成大約7.8 K的正弦波。電流通過晶體管和線圈后，把電磁波傳送到門板上的一個較大的線圈(7區(qū))，由門1-6發(fā)出電磁波，各區(qū)線圈各自接收。接收時，將接收到的信號與參考信號進(jìn)行比較[9-11]。捕獲卡的輸出級別也會隨之發(fā)生改變，中控機(jī)在300 ms內(nèi)掃描6張捕捉卡，判斷金屬的位置并輸出顯示出來。

2.4 控制器

采用TCP繼電器控制器，4路輸入，聯(lián)動控制?？刂破魇峭ㄟ^改變主電路或控制電路的接線方式，按照預(yù)定的順序改變電阻值，從而對電機(jī)的啟動、速度、制動和倒轉(zhuǎn)進(jìn)行控制的主要裝置。它包括程序計數(shù)器、指令寄存器、指令譯碼器、時序發(fā)生器和操作控制器。它是發(fā)號施令的“決策主體”，也就是協(xié)調(diào)和指揮整個計算機(jī)系統(tǒng)的運行完成。

在控制器結(jié)構(gòu)中，命令寄存器用于存儲命令的執(zhí)行。這條指令包括操作代碼和地址代碼。操作碼用來表示指令操作的性質(zhì)，如加，減等；地址碼用來給出指令的操作數(shù)地址，或關(guān)于操作數(shù)地址的信息[12-14]。其中有一種指令被稱為傳輸指令，用于改變指令正常執(zhí)行的順序。這個指令的地址編碼部分提供了指令發(fā)送和執(zhí)行的地址。

操作碼解碼器：對指令進(jìn)行解碼時所使用的操作碼，并生成相應(yīng)的控制級別，從而完成指令分析功能[15-17]。

時序電路：用于產(chǎn)生時間標(biāo)記信號，微機(jī)上的時標(biāo)信號一般分為3個層次：指令周期，總線周期和時鐘周期。微指令產(chǎn)生電路產(chǎn)生各種微指令，完成指令所規(guī)定的動作。這些命令主要是根據(jù)時間戳和命令來執(zhí)行的。該電路是一種實現(xiàn)單一微操作控制信號(如上面A→ L表達(dá)式)的電路，是組合邏輯控制器中最復(fù)雜的部分[18]。

指令計數(shù)器：用來產(chǎn)生要執(zhí)行的下一個指令的地址，一般來說，指令按順序執(zhí)行，指令也按順序存儲在內(nèi)存中。因此，在正常情況下，可以向當(dāng)前地址添加1，以組成下一條指令的地址，微操作命令“1”也可以使用。如果執(zhí)行是分支指令，那么下一條要執(zhí)行的指令的地址就是它傳遞給指令的地址。傳輸指令在地址碼域中，直接發(fā)送到指令計數(shù)器。

3 基于負(fù)載預(yù)測的通信網(wǎng)絡(luò)入侵檢測系統(tǒng)軟件功能設(shè)計

在此基礎(chǔ)上，設(shè)計通信網(wǎng)絡(luò)入侵檢測系統(tǒng)軟件功能。通過確定負(fù)載指標(biāo)，實現(xiàn)對通信網(wǎng)絡(luò)入侵狀況的監(jiān)測，根據(jù)檢測結(jié)果動態(tài)調(diào)整負(fù)載預(yù)測策略，通過反饋控制實現(xiàn)通信網(wǎng)絡(luò)入侵實時檢測，最后通過hash函數(shù)判斷通信網(wǎng)絡(luò)入侵攻擊類型，獲取網(wǎng)絡(luò)行為最終判別概率向量。

3.1 負(fù)載預(yù)測算法

首先設(shè)計負(fù)載預(yù)測指標(biāo)，對檢測器的負(fù)載狀態(tài)、可用性和分析能力進(jìn)行連續(xù)監(jiān)測，基于反饋控制負(fù)載情況動態(tài)調(diào)整負(fù)載分布，在獲取的默認(rèn)輸出端口過載時，動態(tài)調(diào)整組件在最小負(fù)載輸出端口上的流量，以避免丟包，達(dá)到負(fù)載平衡。

3.1.1 負(fù)載指標(biāo)確定

響應(yīng)系統(tǒng)負(fù)載狀態(tài)的理想負(fù)載指數(shù)應(yīng)該滿足：收集量小，可以頻繁收集，保證信息更新；能夠反映所有競爭資源的負(fù)載；收集和控制負(fù)載指數(shù)相互獨立。負(fù)載度量包括：節(jié)點等待任務(wù)隊列長度、節(jié)點利用率、響應(yīng)時間等。

選擇探測器節(jié)點等待任務(wù)隊列中的任務(wù)數(shù)ti和連續(xù)10次采集所獲得的等待任務(wù)隊列中的任務(wù)數(shù)的平均值ei來量化計算探測器的負(fù)載量Li，即：

Li=ti*a+ei·*(1-a)(i=1,2,…,n)

(1)

則探測器i的當(dāng)前處理能力Pi為：

Pi=ri/(1+Li)(i=1,2,…,n)

(2)

式中,Li表示探測器負(fù)載量；ti表示探測器當(dāng)前等待任務(wù)數(shù)；a表示影響因子；ei表示等待任務(wù)數(shù)平均值；Pi表示探測器當(dāng)前處理能力；ri表示探測器處理能力系數(shù)。

根據(jù)探測器的當(dāng)前處理能力Pi，將探測器的負(fù)載狀態(tài)用一個負(fù)載指示器變量Bi(i=1,2,…,n)來量化，Bi正常取值范圍為1～-100，是該探測器負(fù)載狀態(tài)的一個度量，當(dāng)Bi取值為-1時代表此探測器不可用。

當(dāng)某一時刻沒有接收到檢測器的心跳信號時，就認(rèn)為檢測器已關(guān)閉，檢測器的負(fù)荷指數(shù)為-1。該負(fù)載指示器對檢測器的負(fù)載狀態(tài)、可用性和分析能力進(jìn)行連續(xù)監(jiān)測，并根據(jù)監(jiān)測結(jié)果動態(tài)調(diào)整當(dāng)前所使用的負(fù)載預(yù)測策略。

3.1.2 負(fù)載預(yù)測動態(tài)調(diào)整策略

基于反饋控制，根據(jù)后端處理器的負(fù)載情況動態(tài)調(diào)整負(fù)載分布。圖3中顯示了動態(tài)調(diào)整模型。

圖3 動態(tài)調(diào)整模型

由圖3可知，獲取到達(dá)消息的流標(biāo)記，獲取確定負(fù)載索引下的默認(rèn)輸出端口號，然后根據(jù)反饋動態(tài)調(diào)整組件，在獲取的默認(rèn)輸出端口過載時，動態(tài)調(diào)整組件在最小負(fù)載輸出端口上的流量，以避免丟包，達(dá)到負(fù)載平衡。該負(fù)載平衡結(jié)果將系統(tǒng)的所有信息映射到其他網(wǎng)絡(luò)入侵檢測行為中，實現(xiàn)了并行檢測系統(tǒng)的連續(xù)不間斷檢測能力。

3.2 網(wǎng)絡(luò)入侵檢測流程設(shè)計

判定所有未知攻擊類型后，設(shè)計網(wǎng)絡(luò)攻擊行為檢測流程。將用戶訪問請求作為輸入數(shù)據(jù)，通過區(qū)塊鏈技術(shù)實現(xiàn)網(wǎng)絡(luò)攻擊行為檢測，具體過程為：

Step1：預(yù)處理輸入數(shù)據(jù)，補(bǔ)充缺失值，刪除離散數(shù)據(jù)。合并存儲多個數(shù)據(jù)，由此構(gòu)建數(shù)據(jù)倉庫，完成數(shù)據(jù)集檢測；

Step2：計算hash值，保證數(shù)據(jù)集完整且不被篡改。hash值計算過程為：輸入長度不固定數(shù)據(jù)，給定hash函數(shù)h：X→Y，任意選y屬于Y，x屬于X，滿足計算公式y(tǒng)=h(x)。hash函數(shù)哈希值范圍為224～512位，數(shù)據(jù)輸入長度范圍為[<264～<2128]位，循環(huán)次數(shù)為80次，在該限制范圍內(nèi)的數(shù)據(jù)，即為不會被篡改數(shù)據(jù)，具有完整性和使用安全性。

Step3：獲取的網(wǎng)絡(luò)攻擊行為初始判別概率向量為：

PDNN=(Pn，Pim，Pf，Pin)

(3)

式(3)中，Pn表示正常網(wǎng)絡(luò)行為發(fā)生概率；Pim表示偽裝攻擊網(wǎng)絡(luò)行為發(fā)生概率；Pf表示洪泛攻擊網(wǎng)絡(luò)行為發(fā)生概率；Pin表示注入攻擊網(wǎng)絡(luò)行為發(fā)生概率。

Step4：結(jié)合糾正未知攻擊類型判別結(jié)果，獲取網(wǎng)絡(luò)行為最終判別概率向量：

(4)

式(4)中，KDNN表示網(wǎng)絡(luò)攻擊行為初始賬本記錄階段。

使用區(qū)塊鏈技術(shù)對記錄賬本數(shù)據(jù)判別結(jié)果是未知攻擊類別時，未知攻擊類型判別糾正項為1，Kkmens值越大，則未知攻擊類別出現(xiàn)可能性就越大；反之，未知攻擊類型判別糾正項為0。當(dāng)PDNN=1時，4個元素最大值的攻擊行為是最終判別結(jié)果。

綜上，通信網(wǎng)絡(luò)入侵檢測系統(tǒng)軟件編程流程如圖4所示。

圖4 通信網(wǎng)絡(luò)入侵檢測系統(tǒng)軟件編程流程圖

如圖4所示，首先對網(wǎng)絡(luò)攻擊行為數(shù)據(jù)進(jìn)行預(yù)處理，計算hash值，保證數(shù)據(jù)集完整且不被篡改。計算網(wǎng)絡(luò)攻擊行為初始判別概率向量，結(jié)合糾正未知攻擊類型判別結(jié)果，獲取網(wǎng)絡(luò)行為最終判別概率向量，實現(xiàn)通信網(wǎng)絡(luò)入侵檢測系統(tǒng)軟件編程流程設(shè)計。

4 實驗結(jié)果與討論

為了驗證檢測方法在提高系統(tǒng)抗入侵性能方面的意義，在雙核CPU機(jī)器上對設(shè)計的基于負(fù)載預(yù)測的通信網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行測試。

4.1 測試環(huán)境與數(shù)據(jù)

硬件平臺為：Intel Core 2 Duo P8400CPU/2 GB內(nèi)存和160 GB硬盤；

軟件平臺為：Window Vista Home Premium操作系統(tǒng)、編譯和執(zhí)行環(huán)境Visual C++6.0。

實驗待測數(shù)據(jù)來源分別是IDS評測數(shù)據(jù)集和DEFCON9的Capture the Flag黑客大賽數(shù)據(jù)集。其中，IDS評測數(shù)據(jù)集包括了U2R、R2L、Data共計60種網(wǎng)絡(luò)攻擊方式，被公認(rèn)為基準(zhǔn)評測數(shù)據(jù)集；DEFCON9的Capture the Flag黑客大賽數(shù)據(jù)集，是不同黑客隊伍在有安全缺陷計算機(jī)上運行的程序，能夠?qū)崿F(xiàn)不同隊伍間相互攻擊和自身防守。

部分?jǐn)?shù)據(jù)集如表1所示。

表1 部分?jǐn)?shù)據(jù)集

4.2 性能測試指標(biāo)

測試時使用加速比指標(biāo)，計算公式為：

(5)

式(5)中，tk表示線程數(shù)量為k的系統(tǒng)運行時間。吞吐率與系統(tǒng)運行時間是具有一定聯(lián)系的，吞吐率能反映系統(tǒng)對不同數(shù)據(jù)集檢測速率。

4.3 測試結(jié)果與分析

在測試過程中，分別對線程數(shù)量為1～3個的情況進(jìn)行測試，由于硬件底層物理核數(shù)量是2個，理論上測試線程數(shù)量應(yīng)為3個，然而由于系統(tǒng)設(shè)計時，線程主要分為生產(chǎn)和消費兩種，生產(chǎn)線程要比消費線程負(fù)載低，因此，需考慮測試消費者的最大線程數(shù)量情況。

針對兩種不同數(shù)據(jù)集，對應(yīng)著線程數(shù)量為1～3條情況，將每個數(shù)據(jù)項按照系統(tǒng)運行時間和吞吐率的格式填寫，如表2所示。

表2 兩種數(shù)據(jù)集系統(tǒng)運行時間和吞吐率對比分析

由表2可知，對于DEF2對于線程不同的各種情況，吞吐率比其它數(shù)據(jù)集明顯要高，主要是因為DEF2中攻擊數(shù)據(jù)包占總數(shù)據(jù)集比例最低，因此，檢測速度較快。

基于此，分別使用以互聯(lián)網(wǎng)高性能為主干網(wǎng)的檢測系統(tǒng)W1、基于防火墻技術(shù)設(shè)計的檢測系統(tǒng)W2和基于負(fù)載預(yù)測的通信網(wǎng)絡(luò)入侵檢測系統(tǒng)W3對線程2下數(shù)據(jù)集的運行時間和吞吐率進(jìn)行對比分析，結(jié)果如表3所示。

表3 3種系統(tǒng)DEF1、DEF2數(shù)據(jù)集運行時間和吞吐率對比分析

由表3可知，基于負(fù)載預(yù)測的通信網(wǎng)絡(luò)入侵檢測系統(tǒng)的數(shù)據(jù)集運行時間平均值為86.3 s，吞吐率平均為74 Mbps，均好于對比方法。由此可見，所設(shè)計系統(tǒng)的運行時間較短，吞吐率較高，證明了該系統(tǒng)的檢測速度較快。

在此基礎(chǔ)上測試不同方法的網(wǎng)絡(luò)入侵檢測準(zhǔn)確率，得到對比結(jié)果如圖5所示。

圖5 網(wǎng)絡(luò)入侵檢測準(zhǔn)確率對比結(jié)果

由圖5可知，使用以互聯(lián)網(wǎng)高性能為主干網(wǎng)的檢測系統(tǒng)的網(wǎng)絡(luò)入侵檢測準(zhǔn)確率平均值為77%，基于防火墻技術(shù)設(shè)計的檢測系統(tǒng)的網(wǎng)絡(luò)入侵檢測準(zhǔn)確率平均值為81%，基于負(fù)載預(yù)測的通信網(wǎng)絡(luò)入侵檢測系統(tǒng)檢測結(jié)果的網(wǎng)絡(luò)入侵檢測準(zhǔn)確率平均值為95%。實驗結(jié)果表明所設(shè)計系統(tǒng)能夠準(zhǔn)確檢測通信網(wǎng)絡(luò)入侵，對通信網(wǎng)絡(luò)的安全運行提供系統(tǒng)支持。

5 結(jié)束語

針對通信網(wǎng)絡(luò)，設(shè)計了一種高效、可擴(kuò)展的負(fù)載預(yù)測入侵檢測系統(tǒng)。在高速網(wǎng)絡(luò)環(huán)境中，系統(tǒng)采用負(fù)載預(yù)測技術(shù)，通過多種檢測器來適應(yīng)較大的網(wǎng)絡(luò)流量。通過理論分析和實驗研究得出，所設(shè)計基于負(fù)載預(yù)測的通信網(wǎng)絡(luò)入侵檢測系統(tǒng)的數(shù)據(jù)集運行時間較短、吞吐率較高，因此該系統(tǒng)對網(wǎng)絡(luò)入侵的檢測速度較快；所設(shè)計系統(tǒng)的網(wǎng)絡(luò)入侵檢測準(zhǔn)確率平均值為95%，證明了應(yīng)用該系統(tǒng)能夠準(zhǔn)確對網(wǎng)絡(luò)入侵進(jìn)行檢測。

針對不同類型的攻擊，現(xiàn)有的并行入侵檢測結(jié)構(gòu)和負(fù)載預(yù)測技術(shù)一般只能通過確保多個流攻擊的一致性來保證通常的攻擊環(huán)境，而對于跨越多個流的攻擊，如DDOS等，目前沒有一個好的解決辦法，還需要定義迭代負(fù)載系數(shù)算法，這些問題有待于在今后的工作中深入研究加以分析。