Особливістю повільної DDoS-атаки є використання вразливості в протоколі TCP/IP, де навмисно чи ненавмисно можуть бути викликані переривання в результаті затримки в каналах зв'язку. У статті розглядається проблема виявлення повільної розподіленої атаки відмови в обслуговуванні. Відомо, що виявлення повільних DDoS-атак відрізняється від атак на основі обсягу трафіку, оскільки вони не збільшують інтенсивність трафіку в мережі. Замість створення раптового надлишку тра[1]фіку, повільні малопотужні атаки проводяться з мінімальною активністю і не реєструються сис[1]темами. Вони спрямовані на те, щоб вивести об'єкт з ладу непомітно, створюючи мінімальну кіль[1]кість підключень та залишаючи їх незавершеними якомога довше. Як правило, зловмисники відправ[1]ляють часткові запити HTTP і невеликі пакети даних або повідомлення для перевірки активності, щоб підключення залишалося активним. Подібні атаки важко заблокувати, і складно виявити. У зв'язку з малим обсягом трафіку, а також з тим, що атаки можуть виглядати як стандартні підк[1]лючення, потрібна інша технологія запобігання. Джерела атак необхідно блокувати, виходячи з осо[1]бливостей виконання запитів, а не на основі їх репутації. Тому було зроблено припущення про залеж[1]ність успішної повільної DDoS-атаки залежить та поведінки користувача. На основі моделювання методу виявлення повільних атак було проведено дослідження та прогнозування поведінки особис[1]тості, запропоновано траєкторію поведінки конкретного користувача. Можливості застосування такого методу підтверджено моделюванням атак RUDY на HTTP-сервіси. Отримані характерис[1]тики точності прогнозування залежно від відображуваного накопиченого трафіку і статистики атак. Дослідження доводить, такий метод можна використовувати для виявлення різних типів по[1]вільних DDoS-атак