网络空间安全拒绝服务攻击检测与防御系统地论述了网络安全领域的现状存在的问题和挑战 pdf下载

本书在简单回顾了互联网发展历史、互联网体系结构及分层协议以后，从分析导致互联网先天脆弱性的系统性因素入手，系统而全面地介绍了网络异常检测和拒绝服务攻击检测研究领域涉及的各个方面的内容，包括拒绝服务攻击及产生的机理、常见的攻击及辅助攻击工具、异常检测/拒绝服务攻击检测的数学基础、拒绝服务攻击检测、低速率拒绝服务攻击检测、拒绝服务攻击的防御和追踪溯源等。大数据技术和机器学习方法的到来为网络测量和网络异常检测带来了新的机遇，为了给读者加强感性认识，本书也安排了一个专门的章节向读者分享笔者在这方面的实践经验。网络空间安全的攻防将长期处于激烈的博弈状态，正所谓道高一尺魔高一丈，本书*后总结了在网络空间安全方面目前面临的一些挑战，可望给网络空间安全研究的初入门者提供一些选题的参考。全书尽力反映了近几年来拒绝服务攻击检测领域的*新研究成果并逐章提供了详尽的参考文献。


杨家海，男，1966年9月出生，毕业于清华大学计算机系，博士学位，现为清华大学信息网络工程研究中心研究员、网络运行与管理技术研究室主任。主要研究方向为计算机网络体系结构、网络互联技术、网络管理、网络测量、网络应用和协议工程学等领域。在国际学术会议及国内外核心刊物上发表论文90余篇，目前是中国计算机学会（CCF）*级会员、IEEE会员和CCF开放系统专业委员会副主任委员。


系统地论述了网络安全领域的现状、存在的问题和挑战，也系统地总结了学术界在该领域研究所取得的进展和成果

第 一章 引言 - 1 -
1.1　网络安全的重要性 - 2 -
1.1.1　网络安全问题日益突出 - 3 -
1.1.2　网络空间安全的重要意义 - 6 -
1.2　互联网与现代计算机网络 - 8 -
1.2.1　Internet的发展简史 - 9 -
1.2.2　Internet分层结构 - 11 -
1.2.3　TCP/IP协议簇 - 13 -
1.2.4　Internet协议簇的安全缺陷 - 18 -
1.3　互联网络的脆弱性 - 21 -
1.3.1　体系结构的因素 - 21 -
1.3.2　系统实现方面的因素 - 22 -
1.3.3　运行管理和维护的因素 - 23 -
1.3.4　补丁与补丁的局限性 - 24 -
1.4　拒绝服务攻击问题的严重性 - 25 -
1.5　拒绝服务攻击、网络异常及其检测 - 30 -
1.6　网络入侵检测与网络异常检测 - 32 -
1.7　本章小结 - 33 -
参考文献　- 34 -
*二章　拒绝服务攻击及产生的机理分析 - 36 -
2.1　拒绝服务攻击概述 - 36 -
2.2　拒绝服务攻击的分类及其原理 - 37 -
2.2.1　基本的攻击类型 - 39 -
2.2.2　根据利用网络漏洞分类 - 40 -
2.2.3　根据攻击源分布模式分类 - 41 -
2.2.4　根据攻击目标分类 - 42 -
2.2.5　面向不同协议层次的拒绝服务攻击 - 44 -
2.2.6　根据攻击增强技术分类 - 46 -
2.2.7　根据攻击流量速率的特性分类 - 47 -
2.2.8　根据攻击造成的影响分类 - 48 -
2.3　僵尸网络与拒绝服务攻击 - 49 -
2.3.1　僵尸网络的概念 - 49 -
2.3.2　僵尸网络的构建和扩张 - 51 -
2.3.3　僵尸网络的拓扑特性及通信协议 - 52 -
2.3.4　僵尸网络控制模型 - 53 -
2.3.5　僵尸网络的命令与控制系统 - 55 -
2.3.6　僵尸网络在DDoS攻击中的作用 - 59 -
2.4　IP伪造与拒绝服务攻击 - 59 -
2.4.1　IP欺骗与序列号预测 - 60 -
2.4.2　基于IP伪造的网络安全攻击 - 62 -
2.5　典型的拒绝服务攻击 - 64 -
2.5.1　基于漏洞的拒绝服务攻击 - 64 -
2.5.2　洪泛式拒绝服务攻击 - 67 -
2.5.3　反射放大型攻击 - 72 -
2.5.4　其他类型的攻击 - 79 -
2.6　DDOS攻击的一般步骤 - 81 -
2.6.1　搜集漏洞信息 - 81 -
2.6.2　构建和控制DDoS僵尸网络 - 83 -
2.6.3　实际攻击 - 84 -
2.7　本章小结 - 85 -
参考文献　- 85 -
第三章　常见的DDOS攻击及辅助攻击工具 - 88 -
3.1　攻击实施的基本步骤及对应工具概述 - 88 -
3.2　信息获取工具 - 90 -
3.2.1　网络设施测量工具 - 90 -
3.2.2　嗅探工具 - 93 -
3.2.3　网络扫描工具 - 98 -
3.3　攻击实施工具 - 107 -
3.3.1　木马工具 - 107 -
3.3.2　代码注入工具 - 110 -
3.3.3　分组伪造工具 - 114 -
3.3.4　DDOS攻击控制工具 - 118 -
3.4　本章小结 - 120 -
参考文献　- 121 -
第四章　异常检测的数学基础 - 123 -
4.1　网络流量的自相似性 - 123 -
4.2　概率论 - 124 -
4.2.1　随机变量和概率分布 - 124 -
4.2.2　随机向量 - 127 -
4.2.3　大数定理与中心极限定理 - 129 -
4.3　数理统计 - 129 -
4.3.1　*大似然估计与矩估计 - 129 -
4.3.3　置信区间 - 130 -
4.3.4　假设检验 - 132 -
4.4　随机过程 - 132 -
4.4.1　马尔科夫(Markov)过程 - 133 -
4.4.2　正态随机过程 - 133 -
4.4.3　独立增量过程 - 133 -
4.4.4　计数过程 - 134 -
4.4.5　泊松(Poisson)过程 - 134 -
4.5　信号处理技术 - 135 -
4.5.1　倒频谱 - 135 -
4.5.2　小波分析 - 136 -
4.6　机器学习 - 137 -
4.6.1　线性回归分析 - 138 -
4.6.2　费舍尔(Fisher)线性分类器 - 138 -
4.6.3　Logistic回归分类模型 - 139 -
4.6.4　BP网络 - 140 -
4.6.5　支持向量机(SVM) - 143 -
4.6.6　概率图模型 - 145 -
4.6.7　混合模型与EM算法 - 149 -
4.7　数据挖掘 - 150 -
4.7.1　决策树 - 150 -
4.7.2　朴素贝叶斯分类器 - 153 -
4.7.3　近邻分类器 - 154 -
4.7.4　关联分析 - 154 -
4.7.5　聚类分析 - 156 -
4.8　本章小结 - 157 -
参考文献　- 157 -
第五章　拒绝服务攻击检测 - 158 -
5.1异常检测的基本思路与特征选择　- 158 -
5.2　基于贝叶斯思想的检测方法 - 158 -
5.2.1　基于朴素贝叶斯分类器的检测算法 - 158 -
5.2.2　基于贝叶斯网的检测算法 - 160 -
5.2.3　基于混合模型和EM算法的检测算法 - 162 -
5.3　基于近邻的检测算法 - 162 -
5.3.1　K近邻检测算法 - 162 -
5.3.2　基于密度的检测算法 - 163 -
5.3.3　其他近邻算法 - 167 -
5.4　基于回归拟合的检测算法 - 168 -
5.4.1　基于线性回归方程的检测算法 - 168 -
5.4.2　基于LMS滤波器的检测算法 - 171 -
5.5　基于聚类的检测算法 - 173 -
5.5.1　基于分划聚类的检测算法 - 173 -
5.5.2　基于层次聚类的检测算法 - 176 -
5.5.3　基于新型聚类的检测算法 - 177 -
5.6　基于关联分析的检测算法 - 178 -
5.7　基于神经网络的检测算法 - 181 -
5.8　基于支持向量机的检测算法 - 183 -
5.8.1　基于传统支持向量机的检测算法 - 183 -
5.8.2　基于单类支持向量机的检测算法 - 184 -
5.8.3　基于贝叶斯支持向量机的检测算法 - 186 -
5.9　基于决策树的检测算法 - 187 -
5.9.1　基于ID3决策树的检测算法 - 187 -
5.9.2　基于C4.5决策树的检测算法 - 188 -
5.9.3　基于CART决策树的检测算法 - 189 -
5.9.4　基于随机决策森林的检测算法 - 190 -
5.10　本章小结 - 191 -
参考文献　- 191 -
第六章　低速率拒绝服务攻击检测 - 199 -
6.1　概述 - 199 -
6.2　LDOS攻击原理 - 200 -
6.2.1　TCP/IP协议的拥塞控制机制及安全性分析 - 201 -
6.2.2　基于TCP拥塞控制机制的LDoS攻击 - 205 -
6.2.3　基于IP拥塞控制机制的LDoS攻击 - 208 -
6.2.4　目标BGP的LDoS攻击 - 209 -
6.3　LDOS与DDOS攻击的区别与联系 - 211 -
6.3.1　攻击模型比较 - 211 -
6.3.2　攻击流特性比较 - 213 -
6.4　LDOS攻击流量特征分析 - 217 -
6.4.1　LDoS攻击评估试验 - 217 -
6.4.2　实验结果评估 - 218 -
6.4.3　流量特征分析 - 223 -
6.4.4　特征分析函数 - 225 -
6.4.4.1　突变特征提取 - 225 -
6.4.4.2　周期特征提取 - 226 -
6.5　LDOS攻击检测与防御 - 228 -
6.5.1　特征检测及防御 - 229 -
6.5.2　异常检测及防御 - 231 -
6.5.3　基于终端应用服务器的检测和防御 - 233 -
6.5.4　改进网络协议和服务协议 - 233 -
6.5.5　结合突变特征与周期性特征的综合检测方法 - 234 -
6.5.5.1　异常突变特征提取 - 235 -
6.5.5.2　局部的周期特征提取 - 236 -
6.5.5.3　检测算法 - 237 -
6.5.5.4　实验分析 - 238 -
6.6　本章小结 - 243 -
参考文献　- 244 -
第七章　拒绝服务攻击的防御 - 250 -
7.1　对抗网络/传输层DDOS攻击的防御机制 - 250 -
7.1.1　源端防御 - 250 -
7.1.1.1　假冒源地址过滤 - 251 -
7.1.1.2　基于统计分析的检测过滤 - 253 -
7.1.2　目的端防御 - 254 -
7.1.2.1　IP溯源机制 - 254 -
7.1.2.2　目的端检测过滤机制 - 263 -
7.1.3　网络防御机制 - 264 -
7.1.3.1　域间假冒源地址过滤 - 264 -
7.1.3.2　拥塞控制与过滤 - 271 -
7.1.4　混合防御机制 - 272 -
7.1.4.1　基于权证的机制 - 272 -
7.1.4.2　基于过滤的机制 - 274 -
7.1.4.3　基于拥塞控制和回推的机制 - 280 -
7.1.4.4　基于“货币”的机制 - 282 -
7.1.4.5　攻击预防和响应 - 283 -
7.2　对抗应用层DDOS攻击的防御机制 - 287 -
7.2.1　目的端防御 - 287 -
7.2.1.1　建立用户行为特征 - 287 -
7.2.1.2　限速非法流量 - 288 -
7.2.2　混合防御 - 289 -
7.2.2.1　鼓励合法用户 - 289 -
7.2.2.2　CAPTCHA - 290 -
7.2.2.3　准入控制机制 - 290 -
7.3　主流攻击检测与防御系统 - 292 -
7.3.1　Bro - 292 -
7.3.2　Snort - 294 -
7.3.3　Suricata - 297 -
7.3.4　Google Project Shield - 298 -
7.4　小结 - 299 -
参考文献　- 299 -
第八章　基于大数据技术的测量平台与检测系统 - 307 -
8.1　概述 - 307 -
8.2　数据采集与网络异常监控 - 308 -
8.2.1　可使用的数据类型 - 309 -
8.2.1.1　分组数据采集与处理 - 309 -
8.2.1.2　流数据采集与处理 - 311 -
8.2.1.3　日志与报警数据 - 312 -
8.2.2　采集点的部署 - 312 -
8.2.2.1　单点采集与检测 - 312 -
8.2.2.2　多点采集与检测 - 313 -
8.3　流量分析大数据技术 - 313 -
8.3.1　Hadoop批处理平台 - 314 -
8.3.2　流式处理平台 - 315 -
8.3.3　平台相关组件 - 317 -
8.4　基于大数据技术的测量平台与检测系统实例 - 318 -
8.4.1　测量平台构建 - 319 -
8.4.2　离线分析平台构建 - 322 -
8.4.3　在线分析平台构建 - 323 -
8.4.4　多算法并行检测系统实现 - 324 -
8.5　基于STORM的SNORT系统 - 329 -
8.5.1　Snort工作原理简介 - 329 -
8.5.2　基于Storm的Snort系统工作原理 - 330 -
8.5.3　基于Storm的Snort系统所存在的挑战 - 333 -
8.6　本章总结 - 333 -
参考文献　- 334 -
第九章　未来挑战 - 336 -
9.1　概述 - 336 -
9.2　传统问题的新挑战 - 337 -
9.2.1　高速链路实时异常检测 - 338 -
9.2.2检测和防御系统的评价　- 339 -
9.2.3　大规模攻击的检测与处理 - 340 -
9.2.4　通用入侵/异常检测系统设计 - 341 -
9.3　新攻击模式的挑战 - 341 -
9.3.1　面向基础设施的密集攻击的检测 - 342 -
9.3.2　组合攻击的检测 - 345 -
9.3.3　未知攻击的自适应检测和防御 - 346 -
9.3.4　基于P2P模式控制僵尸网络的攻击 - 348 -
9.3.5　基于Mobile Botnet的攻击 - 349 -
9.3.6　新型网络技术模式下的攻击与防御 - 351 -
9.3.7　攻击溯源 - 358 -
9.4　结语 - 359 -
参考文献　- 360 -