低速率拒绝服务攻击(Low-rate Denial of Service,LDoS)是一种新型的DoS攻击,其利用TCP拥塞控制机制的缺陷,通过周期性地发送短时高速数据流可以有效地降低受害端TCP数据流的发送速率。LDoS攻击的平均速率较低,隐蔽性较强,传统的攻击检测方法难以发现隐藏在正常数据中的攻击流量。LDoS攻击相比传统攻击对网络具有更大的危害。本文研究了LDoS攻击特点以及流量特征,并分析其对TCP协议行为的影响。重点分析了LDoS攻击对TCP变量中往返延迟(round-trip time,RTT)和重传超时时间(Retransmission Timeout,RTO)的影响,提出了基于TCP行为特征分析的攻击检测算法。该算法从服务器端提取TCP协议中的变量,用作检测LDoS攻击的特征,采用小波变换对RTT信息进行分解重构,从重构后的信息中提取低频均值、低频方差2个特征;从RTO信息中提取RTO样本熵、RTO指数退避频率2个特征。将以上4个特征作为攻击检测特征,并作为支持向量机(support vector machine,SVM)的输入。利用不同情况(正常情况、突发UDP情况、突发TCP情况和受到LDoS攻击)下的大量数据进行训练后,将SVM作为判决LDoS攻击的分类器。本文算法在NS-2平台与实际网络环境中进行测试,并与现有算法进行比较分析。实验结果表明,本文方法检测率为95.3%、误警率为1.2%,具有良好的检测性能。