網路空間安全：拒絕服務攻擊檢測與防禦

第1章 引言　1
1.1　網路安全的重要性　2
1.1.1　網路安全問題日益突出　3
1.1.2　網路空間安全的重要意義　5
1.2　互聯網與現代電腦網路　6
1.2.1　Internet的發展簡史　7
1.2.2　Internet分層結構　8
1.2.3　TCP/IP協議簇　10
1.2.4　Internet協議簇的安全缺陷　15
1.3　互聯網路的脆弱性　16
1.3.1　體系結構的因素　17
1.3.2　系統實現方面的因素　17
1.3.3　運行管理和維護的因素　18
1.3.4　補丁與補丁的局限性　19
1.4　拒絕服務攻擊問題的嚴重性　20
1.5　拒絕服務攻擊、網路異常及其檢測　23
1.6　網路入侵偵測與網路異常檢測　25
1.7　本章小結　26
參考文獻　26

第2章　拒絕服務攻擊及產生的機理分析　28
2.1　拒絕服務攻擊概述　28
2.2　拒絕服務攻擊的分類及其原理　29
2.2.1　基本的攻擊類型　30
2.2.2　根據利用網路漏洞分類　31
2.2.3　根據攻擊源分佈模式分類　32
2.2.4　根據攻擊目標分類　33
2.2.5　面向不同協定層次的拒絕服務攻擊　34
2.2.6　根據攻擊增強技術分類　36
2.2.7　根據攻擊流量速率的特性分類　37
2.2.8　根據攻擊造成的影響分類　37
2.3　僵屍網路與拒絕服務攻擊　38
2.3.1　僵屍網路的概念　38
2.3.2　僵屍網路的構建和擴張　40
2.3.3　僵屍網路的拓撲特性及通信協定　40
2.3.4　僵屍網路控制模型　41
2.3.5　僵屍網路的命令與控制系統　43
2.3.6　僵屍網路在DDoS攻擊中的作用　46
2.4　IP偽造與拒絕服務攻擊　47
2.4.1　IP欺騙與序號預測　47
2.4.2　基於IP偽造的網路安全攻擊　49
2.5　典型的拒絕服務攻擊　50
2.5.1　基於漏洞的拒絕服務攻擊　50
2.5.2　洪泛式拒絕服務攻擊　53
2.5.3　反射放大型攻擊　56
2.5.4　其他類型的攻擊　63
2.6　DDoS攻擊的一般步驟　64
2.6.1　搜集漏洞資訊　65
2.6.2　構建和控制DDoS僵屍網路　66
2.6.3　實際攻擊　66
2.7　本章小結　67
參考文獻　68

第3章　常見的DDoS攻擊及輔助攻擊工具　70
3.1　攻擊實施的基本步驟及對應工具概述　70
3.2　資訊獲取工具　72
3.2.1　網路設施測量工具　72
3.2.2　嗅探工具　74
3.2.3　網路掃描工具　78
3.3　攻擊實施工具　85
3.3.1　木馬工具　85
3.3.2　代碼注入工具　87
3.3.3　分組偽造工具　91
3.3.4　DDoS攻擊控制工具　93
3.4　本章小結　96
參考文獻　96

第4章　異常檢測的數學基礎　98
4.1　網路流量的自相似性　98
4.2　概率論　99
4.2.1　隨機變數和概率分佈　99
4.2.2　隨機向量　102
4.2.3　大數定理與中心極限定理　103
4.3　數理統計　104
4.3.1　最大似然估計與矩估計　104
4.3.2　置信區間　104
4.3.3　假設檢驗　105
4.4　隨機過程　106
4.4.1　瑪律可夫（Markov）過程　106
4.4.2　正態隨機過程　107
4.4.3　獨立增量過程　107
4.4.4　計數過程　107
4.4.5　泊松（Poisson）過程　107
4.5　信號處理技術　108
4.5.1　倒頻譜　109
4.5.2　小波分析　109
4.6　機器學習　110
4.6.1　線性回歸分析　110
4.6.2　費舍爾（Fisher）線性分類器　111
4.6.3　Logistic回歸分類模型　112
4.6.4　BP網路　113
4.6.5　支持向量機　114
4.6.6　概率圖模型　116
4.6.7　混合模型與EM演算法　119
4.7　資料採擷　120
4.7.1　決策樹　121
4.7.2　樸素貝葉斯分類器　123
4.7.3　近鄰分類器　123
4.7.4　關聯分析　124
4.7.5　聚類分析　125
4.8　本章小結　125
參考文獻　126

第5章　拒絕服務攻擊檢測　127
5.1　異常檢測的基本思路與特徵選擇　127
5.2　基於貝葉斯思想的檢測方法　127
5.2.1　基於樸素貝葉斯分類器的檢測演算法　127
5.2.2　基於貝葉斯網的檢測演算法　128
5.2.3　基於混合模型和EM演算法的檢測演算法　130
5.3　基於近鄰的檢測演算法　131
5.3.1　K近鄰檢測演算法　131
5.3.2　基於密度的檢測演算法　132
5.3.3　其他近鄰演算法　135
5.4　基於回歸擬合的檢測演算法　136
5.4.1　基於線性回歸方程的檢測演算法　136
5.4.2　基於LMS濾波器的檢測演算法　138
5.5　基於聚類的檢測演算法　140
5.5.1　基於分劃聚類的檢測演算法　140
5.5.2　基於層次聚類的檢測演算法　142
5.5.3　基於新型聚類的檢測演算法　143
5.6　基於關聯分析的檢測演算法　144
5.7　基於神經網路的檢測演算法　146
5.8　基於支援向量機的檢測演算法　148
5.8.1　基於傳統支援向量機的檢測演算法　148
5.8.2　基於單類支援向量機的檢測演算法　149
5.8.3　基於貝葉斯支援向量機的檢測演算法　150
5.9　基於決策樹的檢測演算法　151
5.9.1　基於ID3決策樹的檢測演算法　151
5.9.2　基於C4.5決策樹的檢測演算法　152
5.9.3　基於CART決策樹的檢測演算法　153
5.9.4　基於隨機決策森林的檢測演算法　153
5.10　本章小結　154
參考文獻　154

第6章　低速率拒絕服務攻擊檢測　161
6.1　概述　161
6.2　LDoS攻擊原理　162
6.2.1　TCP/IP的擁塞控制機制及安全性分析　163
6.2.2　基於TCP擁塞控制機制的LDoS攻擊　166
6.2.3　基於IP擁塞控制機制的LDoS攻擊　168
6.2.4　目標BGP的LDoS攻擊　169
6.3　LDoS與DDoS攻擊的區別與聯繫　171
6.3.1　攻擊模型比較　171
6.3.2　攻擊流特性比較　173
6.4　LDoS攻擊流量特徵分析　176
6.4.1　LDoS攻擊評估實驗　176
6.4.2　實驗結果評估　176
6.4.3　流量特徵分析　181
6.4.4　特徵分析函數　182
6.5　LDoS攻擊檢測與防禦　185
6.5.1　特徵檢測及防禦　185
6.5.2　異常檢測及防禦　187
6.5.3　基於終端應用伺服器的檢測和防禦　188
6.5.4　改進網路通訊協定和服務協定　189
6.5.5　結合突變特徵與週期性特徵的綜合檢測方法　190
6.6　本章小結　197
參考文獻　198

第7章　拒絕服務攻擊的防禦　203
7.1　對抗網路/傳輸層DDoS攻擊的防禦機制　203
7.1.1　源端防禦　203
7.1.2　目的端防禦　206
7.1.3　網路防禦機制　214
7.1.4　混合防禦機制　220
7.2　對抗應用層DDoS攻擊的防禦機制　231
7.2.1　目的端防禦　231
7.2.2　混合防禦　233
7.3　主流攻擊檢測與防禦系統　235
7.3.1　Bro　235
7.3.2　Snort　237
7.3.3　Suricata　240
7.3.4　Google Project Shield　240
7.4　本章小結　241
參考文獻　241

第8章　基於大資料技術的測量平臺與檢測系統　249
8.1　概述　249
8.2　資料獲取與網路異常監控　250
8.2.1　可使用的資料類型　251
8.2.2　採集點的部署　253
8.3　流量分析大資料技術　254
8.3.1　Hadoop批次處理平臺　254
8.3.2　流式處理平臺　255
8.3.3　平臺相關組件　257
8.4　基於大資料技術的測量平臺與檢測系統實例　258
8.4.1　測量平臺構建　259
8.4.2　離線分析平臺構建　261
8.4.3　線上分析平臺構建　262
8.4.4　多演算法並行檢測系統實現　263
8.5　基於Storm的Snort系統　267
8.5.1　Snort工作原理簡介　267
8.5.2　基於Storm的Snort系統工作原理　267
8.5.3　基於Storm的Snort系統所存在的挑戰　269
8.6　本章小結　270
參考文獻　271

第9章　未來挑戰　272
9.1　概述　272
9.2　傳統問題的新挑戰　273
9.2.1　高速鏈路即時異常檢測　273
9.2.2　檢測和防禦系統的評價　274
9.2.3　大規模攻擊的檢測與處理　275
9.2.4　通用入侵/異常檢測系統設計　276
9.3　新攻擊模式的挑戰　276
9.3.1　面向基礎設施的密集攻擊的檢測　276
9.3.2　組合攻擊的檢測　279
9.3.3　未知攻擊的自我調整檢測和防禦　280
9.3.4　基於P2P模式控制僵屍網路的攻擊　281
9.3.5　基於Mobile Botnet的攻擊　282
9.3.6　新型網路技術模式下的攻擊與防禦　284
9.3.7　攻擊溯源　289
9.4　本章小結　290
參考文獻　291