網(wǎng)絡(luò)空間安全：拒絕服務(wù)攻擊檢測(cè)與防御

第1章 引言　1
1．1　網(wǎng)絡(luò)安全的重要性　2
1．1．1　網(wǎng)絡(luò)安全問(wèn)題日益突出　3
1．1．2　網(wǎng)絡(luò)空間安全的重要意義　5
1．2　互聯(lián)網(wǎng)與現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)　6
1．2．1　Internet的發(fā)展簡(jiǎn)史　7
1．2．2　Internet分層結(jié)構(gòu)　8
1．2．3　TCP/IP協(xié)議簇　10
1．2．4　Internet協(xié)議簇的安全缺陷　15
1．3　互聯(lián)網(wǎng)絡(luò)的脆弱性　16
1．3．1　體系結(jié)構(gòu)的因素　17
1．3．2　系統(tǒng)實(shí)現(xiàn)方面的因素　17
1．3．3　運(yùn)行管理和維護(hù)的因素　18
1．3．4　補(bǔ)丁與補(bǔ)丁的局限性　19
1．4　拒絕服務(wù)攻擊問(wèn)題的嚴(yán)重性　20
1．5　拒絕服務(wù)攻擊、網(wǎng)絡(luò)異常及其檢測(cè)　23
1．6　網(wǎng)絡(luò)入侵檢測(cè)與網(wǎng)絡(luò)異常檢測(cè)　25
1．7　本章小結(jié)　26
參考文獻(xiàn)　26
第2章　拒絕服務(wù)攻擊及產(chǎn)生的機(jī)理分析　28
2．1　拒絕服務(wù)攻擊概述　28
2．2　拒絕服務(wù)攻擊的分類及其原理　29
2．2．1　基本的攻擊類型　30
2．2．2　根據(jù)利用網(wǎng)絡(luò)漏洞分類　31
2．2．3　根據(jù)攻擊源分布模式分類　32
2．2．4　根據(jù)攻擊目標(biāo)分類　33
2．2．5　面向不同協(xié)議層次的拒絕服務(wù)攻擊　34
2．2．6　根據(jù)攻擊增強(qiáng)技術(shù)分類　36
2．2．7　根據(jù)攻擊流量速率的特性分類　37
2．2．8　根據(jù)攻擊造成的影響分類　37
2．3　僵尸網(wǎng)絡(luò)與拒絕服務(wù)攻擊　38
2．3．1　僵尸網(wǎng)絡(luò)的概念　38
2．3．2　僵尸網(wǎng)絡(luò)的構(gòu)建和擴(kuò)張　40
2．3．3　僵尸網(wǎng)絡(luò)的拓?fù)涮匦约巴ㄐ艆f(xié)議　40
2．3．4　僵尸網(wǎng)絡(luò)控制模型　41
2．3．5　僵尸網(wǎng)絡(luò)的命令與控制系統(tǒng)　43
2．3．6　僵尸網(wǎng)絡(luò)在DDoS攻擊中的作用　46
2．4　IP偽造與拒絕服務(wù)攻擊　47
2．4．1　IP欺騙與序列號(hào)預(yù)測(cè)　47
2．4．2　基于IP偽造的網(wǎng)絡(luò)安全攻擊　49
2．5　典型的拒絕服務(wù)攻擊　50
2．5．1　基于漏洞的拒絕服務(wù)攻擊　50
2．5．2　洪泛式拒絕服務(wù)攻擊　53
2．5．3　反射放大型攻擊　56
2．5．4　其他類型的攻擊　63
2．6　DDoS攻擊的一般步驟　64
2．6．1　搜集漏洞信息　65
2．6．2　構(gòu)建和控制DDoS僵尸網(wǎng)絡(luò)　66
2．6．3　實(shí)際攻擊　66
2．7　本章小結(jié)　67
參考文獻(xiàn)　68
第3章　常見(jiàn)的DDoS攻擊及輔助攻擊工具　70
3．1　攻擊實(shí)施的基本步驟及對(duì)應(yīng)工具概述　70
3．2　信息獲取工具　72
3．2．1　網(wǎng)絡(luò)設(shè)施測(cè)量工具　72
3．2．2　嗅探工具　74
3．2．3　網(wǎng)絡(luò)掃描工具　78
3．3　攻擊實(shí)施工具　85
3．3．1　木馬工具　85
3．3．2　代碼注入工具　87
3．3．3　分組偽造工具　91
3．3．4　DDoS攻擊控制工具　93
3．4　本章小結(jié)　96
參考文獻(xiàn)　96
第4章　異常檢測(cè)的數(shù)學(xué)基礎(chǔ)　98
4．1　網(wǎng)絡(luò)流量的自相似性　98
4．2　概率論　99
4．2．1　隨機(jī)變量和概率分布　99
4．2．2　隨機(jī)向量　102
4．2．3　大數(shù)定理與中心極限定理　103
4．3　數(shù)理統(tǒng)計(jì)　104
4．3．1　最大似然估計(jì)與矩估計(jì)　104
4．3．2　置信區(qū)間　104
4．3．3　假設(shè)檢驗(yàn)　105
4．4　隨機(jī)過(guò)程　106
4．4．1　馬爾可夫（Markov）過(guò)程　106
4．4．2　正態(tài)隨機(jī)過(guò)程　107
4．4．3　獨(dú)立增量過(guò)程　107
4．4．4　計(jì)數(shù)過(guò)程　107
4．4．5　泊松（Poisson）過(guò)程　107
4．5　信號(hào)處理技術(shù)　108
4．5．1　倒頻譜　109
4．5．2　小波分析　109
4．6　機(jī)器學(xué)習(xí)　110
4．6．1　線性回歸分析　110
4．6．2　費(fèi)舍爾（Fisher）線性分類器　111
4．6．3　Logistic回歸分類模型　112
4．6．4　BP網(wǎng)絡(luò)　113
4．6．5　支持向量機(jī)　114
4．6．6　概率圖模型　116
4．6．7　混合模型與EM算法　119
4．7　數(shù)據(jù)挖掘　120
4．7．1　決策樹(shù)　121
4．7．2　樸素貝葉斯分類器　123
4．7．3　近鄰分類器　123
4．7．4　關(guān)聯(lián)分析　124
4．7．5　聚類分析　125
4．8　本章小結(jié)　125
參考文獻(xiàn)　126
第5章　拒絕服務(wù)攻擊檢測(cè)　127
5．1　異常檢測(cè)的基本思路與特征選擇　127
5．2　基于貝葉斯思想的檢測(cè)方法　127
5．2．1　基于樸素貝葉斯分類器的檢測(cè)算法　127
5．2．2　基于貝葉斯網(wǎng)的檢測(cè)算法　128
5．2．3　基于混合模型和EM算法的檢測(cè)算法　130
5．3　基于近鄰的檢測(cè)算法　131
5．3．1　K近鄰檢測(cè)算法　131
5．3．2　基于密度的檢測(cè)算法　132
5．3．3　其他近鄰算法　135
5．4　基于回歸擬合的檢測(cè)算法　136
5．4．1　基于線性回歸方程的檢測(cè)算法　136
5．4．2　基于LMS濾波器的檢測(cè)算法　138
5．5　基于聚類的檢測(cè)算法　140
5．5．1　基于分劃聚類的檢測(cè)算法　140
5．5．2　基于層次聚類的檢測(cè)算法　142
5．5．3　基于新型聚類的檢測(cè)算法　143
5．6　基于關(guān)聯(lián)分析的檢測(cè)算法　144
5．7　基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)算法　146
5．8　基于支持向量機(jī)的檢測(cè)算法　148
5．8．1　基于傳統(tǒng)支持向量機(jī)的檢測(cè)算法　148
5．8．2　基于單類支持向量機(jī)的檢測(cè)算法　149
5．8．3　基于貝葉斯支持向量機(jī)的檢測(cè)算法　150
5．9　基于決策樹(shù)的檢測(cè)算法　151
5．9．1　基于ID3決策樹(shù)的檢測(cè)算法　151
5．9．2　基于C4．5決策樹(shù)的檢測(cè)算法　152
5．9．3　基于CART決策樹(shù)的檢測(cè)算法　153
5．9．4　基于隨機(jī)決策森林的檢測(cè)算法　153
5．10　本章小結(jié)　154
參考文獻(xiàn)　154
第6章　低速率拒絕服務(wù)攻擊檢測(cè)　161
6．1　概述　161
6．2　LDoS攻擊原理　162
6．2．1　TCP/IP的擁塞控制機(jī)制及安全性分析　163
6．2．2　基于TCP擁塞控制機(jī)制的LDoS攻擊　166
6．2．3　基于IP擁塞控制機(jī)制的LDoS攻擊　168
6．2．4　目標(biāo)BGP的LDoS攻擊　169
6．3　LDoS與DDoS攻擊的區(qū)別與聯(lián)系　171
6．3．1　攻擊模型比較　171
6．3．2　攻擊流特性比較　173
6．4　LDoS攻擊流量特征分析　176
6．4．1　LDoS攻擊評(píng)估實(shí)驗(yàn)　176
6．4．2　實(shí)驗(yàn)結(jié)果評(píng)估　176
6．4．3　流量特征分析　181
6．4．4　特征分析函數(shù)　182
6．5　LDoS攻擊檢測(cè)與防御　185
6．5．1　特征檢測(cè)及防御　185
6．5．2　異常檢測(cè)及防御　187
6．5．3　基于終端應(yīng)用服務(wù)器的檢測(cè)和防御　188
6．5．4　改進(jìn)網(wǎng)絡(luò)協(xié)議和服務(wù)協(xié)議　189
6．5．5　結(jié)合突變特征與周期性特征的綜合檢測(cè)方法　190
6．6　本章小結(jié)　197
參考文獻(xiàn)　198
第7章　拒絕服務(wù)攻擊的防御　203
7．1　對(duì)抗網(wǎng)絡(luò)/傳輸層DDoS攻擊的防御機(jī)制　203
7．1．1　源端防御　203
7．1．2　目的端防御　206
7．1．3　網(wǎng)絡(luò)防御機(jī)制　214
7．1．4　混合防御機(jī)制　220
7．2　對(duì)抗應(yīng)用層DDoS攻擊的防御機(jī)制　231
7．2．1　目的端防御　231
7．2．2　混合防御　233
7．3　主流攻擊檢測(cè)與防御系統(tǒng)　235
7．3．1　Bro　235
7．3．2　Snort　237
7．3．3　Suricata　240
7．3．4　Google Project Shield　240
7．4　本章小結(jié)　241
參考文獻(xiàn)　241
第8章　基于大數(shù)據(jù)技術(shù)的測(cè)量平臺(tái)與檢測(cè)系統(tǒng)　249
8．1　概述　249
8．2　數(shù)據(jù)采集與網(wǎng)絡(luò)異常監(jiān)控　250
8．2．1　可使用的數(shù)據(jù)類型　251
8．2．2　采集點(diǎn)的部署　253
8．3　流量分析大數(shù)據(jù)技術(shù)　254
8．3．1　Hadoop批處理平臺(tái)　254
8．3．2　流式處理平臺(tái)　255
8．3．3　平臺(tái)相關(guān)組件　257
8．4　基于大數(shù)據(jù)技術(shù)的測(cè)量平臺(tái)與檢測(cè)系統(tǒng)實(shí)例　258
8．4．1　測(cè)量平臺(tái)構(gòu)建　259
8．4．2　離線分析平臺(tái)構(gòu)建　261
8．4．3　在線分析平臺(tái)構(gòu)建　262
8．4．4　多算法并行檢測(cè)系統(tǒng)實(shí)現(xiàn)　263
8．5　基于Storm的Snort系統(tǒng)　267
8．5．1　Snort工作原理簡(jiǎn)介　267
8．5．2　基于Storm的Snort系統(tǒng)工作原理　267
8．5．3　基于Storm的Snort系統(tǒng)所存在的挑戰(zhàn)　269
8．6　本章小結(jié)　270
參考文獻(xiàn)　271
第9章　未來(lái)挑戰(zhàn)　272
9．1　概述　272
9．2　傳統(tǒng)問(wèn)題的新挑戰(zhàn)　273
9．2．1　高速鏈路實(shí)時(shí)異常檢測(cè)　273
9．2．2　檢測(cè)和防御系統(tǒng)的評(píng)價(jià)　274
9．2．3　大規(guī)模攻擊的檢測(cè)與處理　275
9．2．4　通用入侵/異常檢測(cè)系統(tǒng)設(shè)計(jì)　276
9．3　新攻擊模式的挑戰(zhàn)　276
9．3．1　面向基礎(chǔ)設(shè)施的密集攻擊的檢測(cè)　276
9．3．2　組合攻擊的檢測(cè)　279
9．3．3　未知攻擊的自適應(yīng)檢測(cè)和防御　280
9．3．4　基于P2P模式控制僵尸網(wǎng)絡(luò)的攻擊　281
9．3．5　基于Mobile Botnet的攻擊　282
9．3．6　新型網(wǎng)絡(luò)技術(shù)模式下的攻擊與防御　284
9．3．7　攻擊溯源　289
9．4　本章小結(jié)　290
參考文獻(xiàn)　291