第 1章 引言　1
1.1　网络安全的重要性　2
1.1.1　网络安全问题日益突出　3
1.1.2　网络空间安全的重要意义　5
1.2　互联网与现代计算机网络　6
1.2.1　Internet的发展简史　7
1.2.2　Internet分层结构　8
1.2.3　TCP/IP协议簇　10
1.2.4　Internet协议簇的安全缺陷　15
1.3　互联网络的脆弱性　16
1.3.1　体系结构的因素　17
1.3.2　系统实现方面的因素　17
1.3.3　运行管理和维护的因素　18
1.3.4　补丁与补丁的局限性　19
1.4　拒绝服务攻击问题的严重性　20
1.5　拒绝服务攻击、网络异常及其检测　23
1.6　网络入侵检测与网络异常检测　25
1.7　本章小结　26
参考文献　26
第 2章　拒绝服务攻击及产生的机理分析　28
2.1　拒绝服务攻击概述　28
2.2　拒绝服务攻击的分类及其原理　29
2.2.1　基本的攻击类型　30
2.2.2　根据利用网络漏洞分类　31
2.2.3　根据攻击源分布模式分类　32
2.2.4　根据攻击目标分类　33
2.2.5　面向不同协议层次的拒绝服务攻击　34
2.2.6　根据攻击增强技术分类　36
2.2.7　根据攻击流量速率的特性分类　37
2.2.8　根据攻击造成的影响分类　37
2.3　僵尸网络与拒绝服务攻击　38
2.3.1　僵尸网络的概念　38
2.3.2　僵尸网络的构建和扩张　40
2.3.3　僵尸网络的拓扑特性及通信协议　40
2.3.4　僵尸网络控制模型　41
2.3.5　僵尸网络的命令与控制系统　43
2.3.6　僵尸网络在DDoS攻击中的作用　46
2.4　IP伪造与拒绝服务攻击　47
2.4.1　IP欺骗与序列号预测　47
2.4.2　基于IP伪造的网络安全攻击　49
2.5　典型的拒绝服务攻击　50
2.5.1　基于漏洞的拒绝服务攻击　50
2.5.2　洪泛式拒绝服务攻击　53
2.5.3　反射放大型攻击　56
2.5.4　其他类型的攻击　63
2.6　DDoS攻击的一般步骤　64
2.6.1　搜集漏洞信息　65
2.6.2　构建和控制DDoS僵尸网络　66
2.6.3　实际攻击　66
2.7　本章小结　67
参考文献　68
第3章　常见的DDoS攻击及辅助攻击工具　70
3.1　攻击实施的基本步骤及对应工具概述　70
3.2　信息获取工具　72
3.2.1　网络设施测量工具　72
3.2.2　嗅探工具　74
3.2.3　网络扫描工具　78
3.3　攻击实施工具　85
3.3.1　木马工具　85
3.3.2　代码注入工具　87
3.3.3　分组伪造工具　91
3.3.4　DDoS攻击控制工具　93
3.4　本章小结　96
参考文献　96
第4章　异常检测的数学基础　98
4.1　网络流量的自相似性　98
4.2　概率论　99
4.2.1　随机变量和概率分布　99
4.2.2　随机向量　102
4.2.3　大数定理与中心极限定理　103
4.3　数理统计　104
4.3.1　最大似然估计与矩估计　104
4.3.2　置信区间　104
4.3.3　假设检验　105
4.4　随机过程　106
4.4.1　马尔可夫（Markov）过程　106
4.4.2　正态随机过程　107
4.4.3　独立增量过程　107
4.4.4　计数过程　107
4.4.5　泊松（Poisson）过程　107
4.5　信号处理技术　108
4.5.1　倒频谱　109
4.5.2　小波分析　109
4.6　机器学习　110
4.6.1　线性回归分析　110
4.6.2　费舍尔（Fisher）线性分类器　111
4.6.3　Logistic回归分类模型　112
4.6.4　BP网络　113
4.6.5　支持向量机　114
4.6.6　概率图模型　116
4.6.7　混合模型与EM算法　119
4.7　数据挖掘　120
4.7.1　决策树　121
4.7.2　朴素贝叶斯分类器　123
4.7.3　近邻分类器　123
4.7.4　关联分析　124
4.7.5　聚类分析　125
4.8　本章小结　125
参考文献　126
第5章　拒绝服务攻击检测　127
5.1　异常检测的基本思路与特征选择　127
5.2　基于贝叶斯思想的检测方法　127
5.2.1　基于朴素贝叶斯分类器的检测算法　127
5.2.2　基于贝叶斯网的检测算法　128
5.2.3　基于混合模型和EM算法的检测算法　130
5.3　基于近邻的检测算法　131
5.3.1　K近邻检测算法　131
5.3.2　基于密度的检测算法　132
5.3.3　其他近邻算法　135
5.4　基于回归拟合的检测算法　136
5.4.1　基于线性回归方程的检测算法　136
5.4.2　基于LMS滤波器的检测算法　138
5.5　基于聚类的检测算法　140
5.5.1　基于分划聚类的检测算法　140
5.5.2　基于层次聚类的检测算法　142
5.5.3　基于新型聚类的检测算法　143
5.6　基于关联分析的检测算法　144
5.7　基于神经网络的检测算法　146
5.8　基于支持向量机的检测算法　148
5.8.1　基于传统支持向量机的检测算法　148
5.8.2　基于单类支持向量机的检测算法　149
5.8.3　基于贝叶斯支持向量机的检测算法　150
5.9　基于决策树的检测算法　151
5.9.1　基于ID3决策树的检测算法　151
5.9.2　基于C4.5决策树的检测算法　152
5.9.3　基于CART决策树的检测算法　153
5.9.4　基于随机决策森林的检测算法　153
5.10　本章小结　154
参考文献　154
第6章　低速率拒绝服务攻击检测　161
6.1　概述　161
6.2　LDoS攻击原理　162
6.2.1　TCP/IP的拥塞控制机制及安全性分析　163
6.2.2　基于TCP拥塞控制机制的LDoS攻击　166
6.2.3　基于IP拥塞控制机制的LDoS攻击　168
6.2.4　目标BGP的LDoS攻击　169
6.3　LDoS与DDoS攻击的区别与联系　171
6.3.1　攻击模型比较　171
6.3.2　攻击流特性比较　173
6.4　LDoS攻击流量特征分析　176
6.4.1　LDoS攻击评估实验　176
6.4.2　实验结果评估　176
6.4.3　流量特征分析　181
6.4.4　特征分析函数　182
6.5　LDoS攻击检测与防御　185
6.5.1　特征检测及防御　185
6.5.2　异常检测及防御　187
6.5.3　基于终端应用服务器的检测和防御　188
6.5.4　改进网络协议和服务协议　189
6.5.5　结合突变特征与周期性特征的综合检测方法　190
6.6　本章小结　197
参考文献　198
第7章　拒绝服务攻击的防御　203
7.1　对抗网络/传输层DDoS攻击的防御机制　203
7.1.1　源端防御　203
7.1.2　目的端防御　206
7.1.3　网络防御机制　214
7.1.4　混合防御机制　220
7.2　对抗应用层DDoS攻击的防御机制　231
7.2.1　目的端防御　231
7.2.2　混合防御　233
7.3　主流攻击检测与防御系统　235
7.3.1　Bro　235
7.3.2　Snort　237
7.3.3　Suricata　240
7.3.4　Google Project Shield　240
7.4　本章小结　241
参考文献　241
第8章　基于大数据技术的测量平台与检测系统　249
8.1　概述　249
8.2　数据采集与网络异常监控　250
8.2.1　可使用的数据类型　251
8.2.2　采集点的部署　253
8.3　流量分析大数据技术　254
8.3.1　Hadoop批处理平台　254
8.3.2　流式处理平台　255
8.3.3　平台相关组件　257
8.4　基于大数据技术的测量平台与检测系统实例　258
8.4.1　测量平台构建　259
8.4.2　离线分析平台构建　261
8.4.3　在线分析平台构建　262
8.4.4　多算法并行检测系统实现　263
8.5　基于Storm的Snort系统　267
8.5.1　Snort工作原理简介　267
8.5.2　基于Storm的Snort系统工作原理　267
8.5.3　基于Storm的Snort系统所存在的挑战　269
8.6　本章小结　270
参考文献　271
第9章　未来挑战　272
9.1　概述　272
9.2　传统问题的新挑战　273
9.2.1　高速链路实时异常检测　273
9.2.2　检测和防御系统的评价　274
9.2.3　大规模攻击的检测与处理　275
9.2.4　通用入侵/异常检测系统设计　276
9.3　新攻击模式的挑战　276
9.3.1　面向基础设施的密集攻击的检测　276
9.3.2　组合攻击的检测　279
9.3.3　未知攻击的自适应检测和防御　280
9.3.4　基于P2P模式控制僵尸网络的攻击　281
9.3.5　基于Mobile Botnet的攻击　282
9.3.6　新型网络技术模式下的攻击与防御　284
9.3.7　攻击溯源　289
9.4　本章小结　290
参考文献　291