Mao et al. [49] indicate that 83% o

Mao et al. [49] chỉ ra rằng 83% của cuộc tấn công hoàn toàn bao gồm các gói tin nhỏ (thường ít hơnhơn 100 byte). Chúng tôi kiểm tra dấu vết CDAD cũng cho thấy một kết quả tương tự. 3.1 hình minh hoạmột ví dụ về phân phối kích thước gói bằng cách đánh giá một khoảng thời gian 5 phút duy nhất của lưu lượng truy cập từtheo dõi CDAD so với dấu vết với cùng kỳ bình thường một hiển thị trong hình 3.2.Các bản phân phối âm mưu như histograms theo kích thước gói. Các dữ liệu trong cácCAIDA dấu vết đã chứng minh gói giữa 0 và 1600 byte. Do đó chúng tôi chia không gian tổng cộngvào khoảng thời gian bằng 16. Thứ tự của khoảng thời gian một kích thước nhất định gói té ngã trong biểu thị kích thướccủa gói. Chúng ta có thể thấy rằng, cho mỗi giao thức cụ thể, việc phân phối các cuộc tấn công gói kích thướcđánh giá cao tập trung ở cấp-1, mà là bắt một kích thước gói nhỏ hơn 100 byte. Hơn 99%tấn công của các gói tin từ TCP và ICMP lưu lượng truy cập, và 90% của UDP, rơi vào cấp độ-1.

Mao et al. [49] chỉ ra rằng 83% các cuộc tấn công hoàn toàn bao gồm các gói nhỏ (thường ít
hơn 100 Bytes). Kiểm tra của chúng tôi của các dấu vết CDAD cũng cho thấy một kết quả tương tự. Sung. 3.1 minh họa
một ví dụ về sự phân bố kích thước gói tin bằng cách đánh giá một đơn khoảng 5 phút của lưu lượng truy cập từ
các dấu vết CDAD so với các dấu vết với cùng kỳ của một hình bình thường. 3.2.
Các bản phân phối đều được vẽ như là biểu đồ theo kích thước gói tin. Các dữ liệu trong các
dấu vết Caida chứng minh các gói tin giữa 0 và 1600 Bytes. Như vậy chúng ta chia tổng số không gian
thành 16 khoảng bằng nhau. Thứ tự của các khoảng thời gian mà một gói kích thước nhất định rơi vào biểu thị kích thước
của gói tin. Chúng ta có thể thấy rằng, đối với mỗi giao thức cụ thể, sự phân bố kích thước gói tấn công
là rất cao tập trung ở cấp 1, mà biểu thị một gói kích thước nhỏ hơn 100 Bytes. Hơn 99% các
gói tin tấn công từ TCP và giao thông ICMP, và 90% của UDP, rơi vào cấp 1.