В 1994 Стив Глассман [19] впервые описал при помощи рангового распределения процесс резервирования интернет трафика. В дальнейшем область применения ранговых распределений для анализа сетевых процессов расширилась, с их помощью были описаны такие интернет процессы как запросы к поисковым системам, обращения к DNS серверам, популярность документов на сайте и многое другое. В настоящее время доступно несколько хороших обзоров [17,20], посвященных применению ранговых распределений для описания сетевых процессов.
Обычно интернет процессы описываются распределением Зипфа, которое гласит
(2.1)
здесь 
- наибольшее значение исследуемой величины, 
- порядковый номер в ранжированном списке (списке по убыванию), а 
- показатель степени. Следовательно, эти три величины и должны использоваться при анализе атаки.
Для распознания атаки и выявления ее источников сравниваются два ранговых распределения. Одно из этих распределений строиться в текущий момент времени, другое в некоторый предыдущий момент, который рассматривается в качестве нормального состояния сети. Ранее нами было предложено анализировать ранговые распределения для количества потоков, которые генерирует единичный IP адрес [15]. Установлено, что в момент атаки эта величина возрастает не менее, чем на порядок, как это показано на рис.??
То есть для обнаружения момента начала атаки следует использовать величину 
(2.2)
Теперь вопрос заключается в том, как определить пороговое значение 
, которая стоит в знаменателе дроби из уравнения (2.2).
Для этого следует построить зависимость наибольшего значения исследуемой величины от времени 
. Необходимо собрать и обработать статистику за значительный период времени. Этот период должен составлять не менее недели, чтобы сгладить колебания. О практической реализации этого метода речь пойдет в главе 3. Здесь же заметим, что на основании этой зависимости можно найти пороговое значение , которое не должно превышаться в процессе нормальной эксплуатации сети 
. Именно это значение будет использовано для вычисления коэффициента из уравнения (2.2).
Следующий вопрос состоит в определении набора сетевых переменных, для которых необходимо рассчитывать пороговые значения. Выбор сетевых переменных зависит от типа DDoS атаки. Если атака нацелена на нарушение какого-либо интернет сервиса, например, отказ в функционировании веб сервера, то следует анализировать число запросов к атакуемому ресурсу. Если атака ставит целью переполнение входящих каналов, то требуется собирать данные о всех типах входящего трафика (TCP, UDP, ICMP), а также информацию о числе активных потоков.
Поскольку тип атаки заранее неизвестен, то пороговые значения требуется вычислять для значительного числа переменных. Подобный набор переменных должен включать
- Общее число активных потоков на граничном маршрутизаторе
- Число активных потоков, которые генерирует единичный внешний IP адрес
- Входящий трафик, которые генерирует единичный внешний IP адрес, отдельно для каждого типа трафика (TCP, UDP, ICMP)
- Число запросов, которые генерирует единичный внешний IP адрес, отдельно для каждого типа сервиса (HTTP, FTP, mail, proxy, ssh, samba, MySQL, и т.д.)
После того, как пороговые значения для важнейших сетевых переменных будут найдены, необходимо регулярно рассчитывать соответствующие значения коэффициентов, задаваемых уравнением (2.2). Если значение этого коэффициента значительно превышает единицу, то следует говорить об аномальном состоянии сети.