網(wǎng)絡(luò)空間安全：拒絕服務(wù)攻擊檢測與防御

第1章 引言　1
1．1　網(wǎng)絡(luò)安全的重要性　2
1．1．1　網(wǎng)絡(luò)安全問題日益突出　3
1．1．2　網(wǎng)絡(luò)空間安全的重要意義　5
1．2　互聯(lián)網(wǎng)與現(xiàn)代計算機(jī)網(wǎng)絡(luò)　6
1．2．1　Internet的發(fā)展簡史　7
1．2．2　Internet分層結(jié)構(gòu)　8
1．2．3　TCP/IP協(xié)議簇　10
1．2．4　Internet協(xié)議簇的安全缺陷　15
1．3　互聯(lián)網(wǎng)絡(luò)的脆弱性　16
1．3．1　體系結(jié)構(gòu)的因素　17
1．3．2　系統(tǒng)實現(xiàn)方面的因素　17
1．3．3　運行管理和維護(hù)的因素　18
1．3．4　補丁與補丁的局限性　19
1．4　拒絕服務(wù)攻擊問題的嚴(yán)重性　20
1．5　拒絕服務(wù)攻擊、網(wǎng)絡(luò)異常及其檢測　23
1．6　網(wǎng)絡(luò)入侵檢測與網(wǎng)絡(luò)異常檢測　25
1．7　本章小結(jié)　26
參考文獻(xiàn)　26
第2章　拒絕服務(wù)攻擊及產(chǎn)生的機(jī)理分析　28
2．1　拒絕服務(wù)攻擊概述　28
2．2　拒絕服務(wù)攻擊的分類及其原理　29
2．2．1　基本的攻擊類型　30
2．2．2　根據(jù)利用網(wǎng)絡(luò)漏洞分類　31
2．2．3　根據(jù)攻擊源分布模式分類　32
2．2．4　根據(jù)攻擊目標(biāo)分類　33
2．2．5　面向不同協(xié)議層次的拒絕服務(wù)攻擊　34
2．2．6　根據(jù)攻擊增強技術(shù)分類　36
2．2．7　根據(jù)攻擊流量速率的特性分類　37
2．2．8　根據(jù)攻擊造成的影響分類　37
2．3　僵尸網(wǎng)絡(luò)與拒絕服務(wù)攻擊　38
2．3．1　僵尸網(wǎng)絡(luò)的概念　38
2．3．2　僵尸網(wǎng)絡(luò)的構(gòu)建和擴(kuò)張　40
2．3．3　僵尸網(wǎng)絡(luò)的拓?fù)涮匦约巴ㄐ艆f(xié)議　40
2．3．4　僵尸網(wǎng)絡(luò)控制模型　41
2．3．5　僵尸網(wǎng)絡(luò)的命令與控制系統(tǒng)　43
2．3．6　僵尸網(wǎng)絡(luò)在DDoS攻擊中的作用　46
2．4　IP偽造與拒絕服務(wù)攻擊　47
2．4．1　IP欺騙與序列號預(yù)測　47
2．4．2　基于IP偽造的網(wǎng)絡(luò)安全攻擊　49
2．5　典型的拒絕服務(wù)攻擊　50
2．5．1　基于漏洞的拒絕服務(wù)攻擊　50
2．5．2　洪泛式拒絕服務(wù)攻擊　53
2．5．3　反射放大型攻擊　56
2．5．4　其他類型的攻擊　63
2．6　DDoS攻擊的一般步驟　64
2．6．1　搜集漏洞信息　65
2．6．2　構(gòu)建和控制DDoS僵尸網(wǎng)絡(luò)　66
2．6．3　實際攻擊　66
2．7　本章小結(jié)　67
參考文獻(xiàn)　68
第3章　常見的DDoS攻擊及輔助攻擊工具　70
3．1　攻擊實施的基本步驟及對應(yīng)工具概述　70
3．2　信息獲取工具　72
3．2．1　網(wǎng)絡(luò)設(shè)施測量工具　72
3．2．2　嗅探工具　74
3．2．3　網(wǎng)絡(luò)掃描工具　78
3．3　攻擊實施工具　85
3．3．1　木馬工具　85
3．3．2　代碼注入工具　87
3．3．3　分組偽造工具　91
3．3．4　DDoS攻擊控制工具　93
3．4　本章小結(jié)　96
參考文獻(xiàn)　96
第4章　異常檢測的數(shù)學(xué)基礎(chǔ)　98
4．1　網(wǎng)絡(luò)流量的自相似性　98
4．2　概率論　99
4．2．1　隨機(jī)變量和概率分布　99
4．2．2　隨機(jī)向量　102
4．2．3　大數(shù)定理與中心極限定理　103
4．3　數(shù)理統(tǒng)計　104
4．3．1　最大似然估計與矩估計　104
4．3．2　置信區(qū)間　104
4．3．3　假設(shè)檢驗　105
4．4　隨機(jī)過程　106
4．4．1　馬爾可夫（Markov）過程　106
4．4．2　正態(tài)隨機(jī)過程　107
4．4．3　獨立增量過程　107
4．4．4　計數(shù)過程　107
4．4．5　泊松（Poisson）過程　107
4．5　信號處理技術(shù)　108
4．5．1　倒頻譜　109
4．5．2　小波分析　109
4．6　機(jī)器學(xué)習(xí)　110
4．6．1　線性回歸分析　110
4．6．2　費舍爾（Fisher）線性分類器　111
4．6．3　Logistic回歸分類模型　112
4．6．4　BP網(wǎng)絡(luò)　113
4．6．5　支持向量機(jī)　114
4．6．6　概率圖模型　116
4．6．7　混合模型與EM算法　119
4．7　數(shù)據(jù)挖掘　120
4．7．1　決策樹　121
4．7．2　樸素貝葉斯分類器　123
4．7．3　近鄰分類器　123
4．7．4　關(guān)聯(lián)分析　124
4．7．5　聚類分析　125
4．8　本章小結(jié)　125
參考文獻(xiàn)　126
第5章　拒絕服務(wù)攻擊檢測　127
5．1　異常檢測的基本思路與特征選擇　127
5．2　基于貝葉斯思想的檢測方法　127
5．2．1　基于樸素貝葉斯分類器的檢測算法　127
5．2．2　基于貝葉斯網(wǎng)的檢測算法　128
5．2．3　基于混合模型和EM算法的檢測算法　130
5．3　基于近鄰的檢測算法　131
5．3．1　K近鄰檢測算法　131
5．3．2　基于密度的檢測算法　132
5．3．3　其他近鄰算法　135
5．4　基于回歸擬合的檢測算法　136
5．4．1　基于線性回歸方程的檢測算法　136
5．4．2　基于LMS濾波器的檢測算法　138
5．5　基于聚類的檢測算法　140
5．5．1　基于分劃聚類的檢測算法　140
5．5．2　基于層次聚類的檢測算法　142
5．5．3　基于新型聚類的檢測算法　143
5．6　基于關(guān)聯(lián)分析的檢測算法　144
5．7　基于神經(jīng)網(wǎng)絡(luò)的檢測算法　146
5．8　基于支持向量機(jī)的檢測算法　148
5．8．1　基于傳統(tǒng)支持向量機(jī)的檢測算法　148
5．8．2　基于單類支持向量機(jī)的檢測算法　149
5．8．3　基于貝葉斯支持向量機(jī)的檢測算法　150
5．9　基于決策樹的檢測算法　151
5．9．1　基于ID3決策樹的檢測算法　151
5．9．2　基于C4．5決策樹的檢測算法　152
5．9．3　基于CART決策樹的檢測算法　153
5．9．4　基于隨機(jī)決策森林的檢測算法　153
5．10　本章小結(jié)　154
參考文獻(xiàn)　154
第6章　低速率拒絕服務(wù)攻擊檢測　161
6．1　概述　161
6．2　LDoS攻擊原理　162
6．2．1　TCP/IP的擁塞控制機(jī)制及安全性分析　163
6．2．2　基于TCP擁塞控制機(jī)制的LDoS攻擊　166
6．2．3　基于IP擁塞控制機(jī)制的LDoS攻擊　168
6．2．4　目標(biāo)BGP的LDoS攻擊　169
6．3　LDoS與DDoS攻擊的區(qū)別與聯(lián)系　171
6．3．1　攻擊模型比較　171
6．3．2　攻擊流特性比較　173
6．4　LDoS攻擊流量特征分析　176
6．4．1　LDoS攻擊評估實驗　176
6．4．2　實驗結(jié)果評估　176
6．4．3　流量特征分析　181
6．4．4　特征分析函數(shù)　182
6．5　LDoS攻擊檢測與防御　185
6．5．1　特征檢測及防御　185
6．5．2　異常檢測及防御　187
6．5．3　基于終端應(yīng)用服務(wù)器的檢測和防御　188
6．5．4　改進(jìn)網(wǎng)絡(luò)協(xié)議和服務(wù)協(xié)議　189
6．5．5　結(jié)合突變特征與周期性特征的綜合檢測方法　190
6．6　本章小結(jié)　197
參考文獻(xiàn)　198
第7章　拒絕服務(wù)攻擊的防御　203
7．1　對抗網(wǎng)絡(luò)/傳輸層DDoS攻擊的防御機(jī)制　203
7．1．1　源端防御　203
7．1．2　目的端防御　206
7．1．3　網(wǎng)絡(luò)防御機(jī)制　214
7．1．4　混合防御機(jī)制　220
7．2　對抗應(yīng)用層DDoS攻擊的防御機(jī)制　231
7．2．1　目的端防御　231
7．2．2　混合防御　233
7．3　主流攻擊檢測與防御系統(tǒng)　235
7．3．1　Bro　235
7．3．2　Snort　237
7．3．3　Suricata　240
7．3．4　Google Project Shield　240
7．4　本章小結(jié)　241
參考文獻(xiàn)　241
第8章　基于大數(shù)據(jù)技術(shù)的測量平臺與檢測系統(tǒng)　249
8．1　概述　249
8．2　數(shù)據(jù)采集與網(wǎng)絡(luò)異常監(jiān)控　250
8．2．1　可使用的數(shù)據(jù)類型　251
8．2．2　采集點的部署　253
8．3　流量分析大數(shù)據(jù)技術(shù)　254
8．3．1　Hadoop批處理平臺　254
8．3．2　流式處理平臺　255
8．3．3　平臺相關(guān)組件　257
8．4　基于大數(shù)據(jù)技術(shù)的測量平臺與檢測系統(tǒng)實例　258
8．4．1　測量平臺構(gòu)建　259
8．4．2　離線分析平臺構(gòu)建　261
8．4．3　在線分析平臺構(gòu)建　262
8．4．4　多算法并行檢測系統(tǒng)實現(xiàn)　263
8．5　基于Storm的Snort系統(tǒng)　267
8．5．1　Snort工作原理簡介　267
8．5．2　基于Storm的Snort系統(tǒng)工作原理　267
8．5．3　基于Storm的Snort系統(tǒng)所存在的挑戰(zhàn)　269
8．6　本章小結(jié)　270
參考文獻(xiàn)　271
第9章　未來挑戰(zhàn)　272
9．1　概述　272
9．2　傳統(tǒng)問題的新挑戰(zhàn)　273
9．2．1　高速鏈路實時異常檢測　273
9．2．2　檢測和防御系統(tǒng)的評價　274
9．2．3　大規(guī)模攻擊的檢測與處理　275
9．2．4　通用入侵/異常檢測系統(tǒng)設(shè)計　276
9．3　新攻擊模式的挑戰(zhàn)　276
9．3．1　面向基礎(chǔ)設(shè)施的密集攻擊的檢測　276
9．3．2　組合攻擊的檢測　279
9．3．3　未知攻擊的自適應(yīng)檢測和防御　280
9．3．4　基于P2P模式控制僵尸網(wǎng)絡(luò)的攻擊　281
9．3．5　基于Mobile Botnet的攻擊　282
9．3．6　新型網(wǎng)絡(luò)技術(shù)模式下的攻擊與防御　284
9．3．7　攻擊溯源　289
9．4　本章小結(jié)　290
參考文獻(xiàn)　291