現(xiàn)有的DDoS 攻擊檢測方法大多是通過監(jiān)視目標(biāo)主機(jī)上網(wǎng)絡(luò)信息流量的突變特性來實(shí)現(xiàn)攻擊檢測的����。但這種檢測方法存在兩個問題: 一是檢測的滯后性問題����。只有在目標(biāo)主機(jī)的流量發(fā)生突變的前提下才能檢測出攻擊已經(jīng)發(fā)生, 通常, DDoS 攻擊在很短時間內(nèi)可以發(fā)送上萬個攻擊數(shù)據(jù)包, 可能在攻擊還未檢測出來之前已經(jīng)造成網(wǎng)絡(luò)服務(wù)的堵塞或系統(tǒng)崩潰; 二是檢測結(jié)果的誤報率問題。雖然發(fā)生DDoS 攻擊的明顯特征是網(wǎng)絡(luò)流量的突變, 但流量的突變并不意味著DDoS攻擊發(fā)生�����。實(shí)際上, 當(dāng)大量合法用戶同時登陸同一站點(diǎn)時也會發(fā)生流量突變的現(xiàn)象��。
而安易防火墻解決這個問題的基本思想是: 利用DDoS 攻擊預(yù)攻擊階段短時間內(nèi)系統(tǒng)目標(biāo)出現(xiàn)的大量網(wǎng)絡(luò)連接請求數(shù)據(jù)包這一特征, 從網(wǎng)絡(luò)連接次數(shù)入手, 檢測所有訪問者IP 地址并記錄它們的連接次數(shù)和時間戳, 引入概率分布函數(shù), 利用分布函數(shù)動態(tài)地描述系統(tǒng)的狀況, 依據(jù)統(tǒng)計量的特征分布, 動態(tài)調(diào)節(jié)檢測閾值的大小, 實(shí)現(xiàn)對DDoS 攻擊的檢測����。