网络异常流量识别与监控技术研究PDF电子书下载

第1章 DDoS攻击原理及特征 1

1.1 DDoS的原理及其发展 2

1.1.1 DoS/DDoS的概念 2

1.1.2 DDoS攻击原理 3

1.2 DDoS攻击的基本特征 6

1.3 DDoS分析方法研究 8

1.4 本章小结 8

第2章 DDoS检测与防御相关研究综述 9

2.1 DDoS检测方法研究 9

2.1.1 基于流量自相似特性的流量检测 9

2.1.2 基于TCP攻击包中的SYN包和FIN包比例关系的检测 9

2.1.3 SYN Cache和SYN Cookie 10

2.1.4 Traceback 10

2.2 DDoS防范机制研究 11

2.2.1 基于认证机制的异常流量过滤 11

2.2.2 Ingress过滤 12

2.2.3 Pushback 12

2.2.4 自动化模型（控制器—代理模型） 13

2.3 路由器端防范DDoS攻击策略 15

2.3.1 基于拥塞控制的方法 15

2.3.2 基于异常的防范DDoS攻击策略 16

2.3.3 基于源的防范DDoS攻击策略 19

2.3.4 攻击响应 22

2.4 DDoS攻击的新发展及作者的研究成果 23

2.4.1 DDoS攻击的新发展 23

2.4.2 作者在DDoS攻击方面的研究成果 25

2.5 本章小结 26

第3章 基于路由器DDoS检测的改进CUSUM算法 27

3.1 DDoS流量统计特征分析 27

3.1.1 分析步骤 27

3.1.2 结果分析 29

3.2 CUSUM算法描述 32

3.3 基于路由器的改进CUSUM算法（M-CUSUM） 33

3.4 M-CUSUM算法检测路由器端网络异常流量 34

3.4.1 端口统计量分析 34

3.4.2 算法分析 34

3.5 本章小结 36

第4章 异常流量特征聚类算法 37

4.1 算法描述 37

4.2 AFCAA算法提取网络异常流量特征 40

4.3 算法测试系统MCTCS 43

4.3.1 测试环境 43

4.3.2 测试内容 44

4.3.3 测试步骤 44

4.4 本章小结 51

第5章 APA-ANTI-DDoS模型 52

5.1 模型定义 52

5.2 异常流量聚集 55

5.3 流量抽样 57

5.4 协议分析 58

5.4.1 协议分析反馈信息——Back调整 58

5.4.2 协议分析结构 59

5.4.3 过滤规则的产生 61

5.5 流量处理 61

5.6 配置 62

5.7 APA-ANTI-DDoS算法分析 62

5.7.1 Hash映射表分析 63

5.7.2 Hash Table映射碰撞分析 63

5.7.3 Hash映射表下限动态逼近算法 64

5.7.4 Hash映射表间断性溢出问题 64

5.7.5 DDoS攻击行为分析 65

5.7.6 误判纠正行为分析 66

5.8 本章小结 66

第6章 基于源目的IP地址数据库的防范DDoS攻击策略 67

6.1 基于源目的IP地址数据库的防范DDoS攻击策略介绍 67

6.2 SDIM系统体系结构 68

6.3 SDIM系统设计 70

6.3.1 SDIM采用的平台 70

6.3.2 SDIAD系统流程 71

6.4 源目的IP地址数据库 72

6.4.1 SDIAD的存储 73

6.4.2 SDIAD的更新 75

6.4.3 常用的合法源目的IP地址对集合的建立 76

6.5 攻击检测策略和攻击流量的过滤 78

6.5.1 滑动窗口无参数CUSUM算法 79

6.5.2 攻击响应的位置和策略 81

6.5.3 SDIM系统攻击响应策略 82

6.6 SDIM系统仿真 84

6.6.1 SDIM系统实验模型 84

6.6.2 SDIM系统实验结果 85

6.6.3 实验数据分析 91

6.7 本章小结 93

第7章 防抖动的地址聚集及M-MULTOPS模式聚集设计 94

7.1 Bloom Filter算法 94

7.2 改进的Bloom Filter算法——Adapted-Bloom-Filter算法 95

7.3 防聚集抖动的CUSUM算法 98

7.4 MULTOPS结构与M-MULTOPS结构 99

7.4.1 MULTOPS结构 99

7.4.2 M-MULTOPS结构 101

7.5 模式聚集的研究 102

7.5.1 TCP、UDP和ICMP三种包的分类方式 103

7.5.2 TCP、UDP和ICMP三种聚集模式 104

7.6 基于M-MULTOPS结构的模式聚集数据管理 106

7.7 基于M-MULTOPS的检验系统的实现 107

7.8 系统仿真与测试 109

7.8.1 系统硬件配置及组网环境 109

7.8.2 系统参数配置 110

7.8.3 实验数据分析 111

7.9 本章小结 117

第8章 AMAT系统总体设计 118

8.1 AMAT系统介绍 118

8.2 AMAT总体设计和子模块划分 118

8.3 异常流量识别模块 120

8.3.1 数据包采样子模块 121

8.3.2 地址聚集算法 123

8.3.3 地址聚集算法改进 124

8.3.4 基于Adapted-Bloom-Filter流量聚集子模块 127

8.3.5 防聚集抖动的累积算法 127

8.3.6 基于M-CUMSUM流量累积子模块 129

8.3.7 基于AFCAA的异常流量聚类子模块 130

8.4 异常流量分类子模块 130

8.4.1 异常流量分类子模块原型 130

8.4.2 异常流量分类子模块的设计 132

8.4.3 基于Adapted-MULTOPS的数据管理 132

8.5 异常流量匹配与拒绝子模块 135

8.5.1 异常流量反应流程框图及实现机理 135

8.5.2 多层模式聚集 137

8.5.3 “公平退火”算法 139

8.6 本章小结 140

第9章 AMAT系统详细设计 141

9.1 软件框架及配置简介 141

9.1.1 Netfilter在IPv4中的结构 141

9.1.2 软件结构 141

9.2 细化局部设计 142

9.2.1 内核空间系统 144

9.2.2 用户空间数据管理系统 146

9.3 模块详细设计 148

9.3.1 数据包采样设计说明 152

9.3.2 流量强度聚集设计说明 153

9.3.3 异常模式聚集设计说明 155

9.3.4 DoS/DDoS防御规则生成设计说明 163

9.3.5 目的地址识别设计说明 170

9.3.6 规则执行及反馈设计说明 173

9.3.7 系统信息输出设计说明 175

9.4 本章小结 177

第10章 系统安装及测试 178

10.1 AMAT的软／硬件要求 178

10.2 Linux软件路由器的配置 178

10.3 AMAT的安装步骤 178

10.4 AMAT的配置方法 179

10.5 AMAT攻击端软件的安装和实现原理 181

10.6 AMAT攻击端工具使用方法和日志查看 181

10.6.1 攻击端工具使用方法 181

10.6.2 内核日志文件 183

10.6.3 用户层日志 185

10.7 AMAT具体测试 186

10.7.1 测试目标 186

10.7.2 测试用例及预期效果 187

10.7.3 TCP攻击部分 187

10.7.4 UDP攻击部分 200

10.7.5 ICMP攻击部分 202

10.7.6 MIX攻击部分 203

10.8 本章小结 208

参考文献 209