云书馆

编辑推荐

1.内容新颖
本书反映的既是作者近年来的研究成果，也是对网络安全领域当前新研究成果和进展的总结，内容上力求新颖，给读者一个非常高的起点。
2.综述全面
网络安全是在互联网技术发展的大背景下诞生的，因此，本书将首先从互联网的发展历史和体系结构介绍入手，全面综述网络安全技术和学科发展的背景，给读者一个全景式的视角。
3.系统性和前瞻性
本书系统地论述了网络安全领域的现状、存在的问题和挑战，也系统地总结了学术界在该领域研究所取得的进展和成果；并前瞻性地总结了网络测量研究面临的新挑战和可能的发展趋势。
4.作者知名
杨家海教授是吴建平院士的学生，杨教授有幸先后参与了两代中国教育和科研计算机网CERNET和CNGI-CERNET2的规划、设计、建设和运行工作，也长期从事互联网络的测量分析研究。十年磨一剑，2009年，笔者完成了国内*一本互联网络测量方面的专著，对网络测量领域的研究工作做了较为系统的总结。此后，在国家自然科学基金项目等的支持下，笔者所在的课题组将研究的重点转向基于测量的网络安全分析及由拒绝服务攻击引起的网络异常检测，对以拒绝服务攻击为代表的网络安全问题进行了较深入的研究，也发表了大量相关的研究论文。

展开

作者简介

杨家海，男，1966年9月出生，毕业于清华大学计算机系，博士学位，现为清华大学信息网络工程研究中心研究员、网络运行与管理技术研究室主任。主要研究方向为计算机网络体系结构、网络互联技术、网络管理、网络测量、网络应用和协议工程学等领域。在国际学术会议及国内外核心刊物上发表论文90余篇，目前是中国计算机学会（CCF）高级会员、IEEE会员和CCF开放系统专业委员会副主任委员。

展开

内容介绍

本书在简单回顾了互联网发展历史、互联网体系结构及分层协议以后，从分析导致互联网先天脆弱性的系统性因素入手，系统而全面地介绍了网络异常检测和拒绝服务攻击检测研究领域涉及的各个方面的内容，包括拒绝服务攻击及产生的机理分析、常见的DDos攻击及辅助攻击工具、异常检测的数学基础、拒绝服务攻击检测、低速率拒绝服务攻击检测、拒绝服务攻击的防御、基于大数据技术的测量平台与检测系统等内容，并在本书*后总结了在网络空间安全方面目前面临的一些挑战，希望给网络空间安全研究的初学者提供一些选题的参考。全书尽力反映了近几年来拒绝服务攻击检测领域的*新研究成果并逐章提供了详尽的参考文献。
本书既可以作为计算机网络、网络空间安全等相关专业本科生及研究生的参考教材，也可供广大网络及网络运行管理技术的科研人员、网络工程技术人员及网络运行管理维护人员参考阅读。

展开

第1章引言　1
1．1　网络安全的重要性　2
1．1．1　网络安全问题日益突出　3
1．1．2　网络空间安全的重要意义　5
1．2　互联网与现代计算机网络　6
1．2．1　Internet的发展简史　7
1．2．2　Internet分层结构　8
1．2．3　TCP/IP协议簇　10
1．2．4　Internet协议簇的安全缺陷　15
1．3　互联网络的脆弱性　16
1．3．1　体系结构的因素　17
1．3．2　系统实现方面的因素　17
1．3．3　运行管理和维护的因素　18
1．3．4　补丁与补丁的局限性　19
1．4　拒绝服务攻击问题的严重性　20
1．5　拒绝服务攻击、网络异常及其检测　23
1．6　网络入侵检测与网络异常检测　25
1．7　本章小结　26
参考文献　26
第2章　拒绝服务攻击及产生的机理分析　28
2．1　拒绝服务攻击概述　28
2．2　拒绝服务攻击的分类及其原理　29
2．2．1　基本的攻击类型　30
2．2．2　根据利用网络漏洞分类　31
2．2．3　根据攻击源分布模式分类　32
2．2．4　根据攻击目标分类　33
2．2．5　面向不同协议层次的拒绝服务攻击　34
2．2．6　根据攻击增强技术分类　36
2．2．7　根据攻击流量速率的特性分类　37
2．2．8　根据攻击造成的影响分类　37
2．3　僵尸网络与拒绝服务攻击　38
2．3．1　僵尸网络的概念　38
2．3．2　僵尸网络的构建和扩张　40
2．3．3　僵尸网络的拓扑特性及通信协议　40
2．3．4　僵尸网络控制模型　41
2．3．5　僵尸网络的命令与控制系统　43
2．3．6　僵尸网络在DDoS攻击中的作用　46
2．4　IP伪造与拒绝服务攻击　47
2．4．1　IP欺骗与序列号预测　47
2．4．2　基于IP伪造的网络安全攻击　49
2．5　典型的拒绝服务攻击　50
2．5．1　基于漏洞的拒绝服务攻击　50
2．5．2　洪泛式拒绝服务攻击　53
2．5．3　反射放大型攻击　56
2．5．4　其他类型的攻击　63
2．6　DDoS攻击的一般步骤　64
2．6．1　搜集漏洞信息　65
2．6．2　构建和控制DDoS僵尸网络　66
2．6．3　实际攻击　66
2．7　本章小结　67
参考文献　68
第3章　常见的DDoS攻击及辅助攻击工具　70
3．1　攻击实施的基本步骤及对应工具概述　70
3．2　信息获取工具　72
3．2．1　网络设施测量工具　72
3．2．2　嗅探工具　74
3．2．3　网络扫描工具　78
3．3　攻击实施工具　85
3．3．1　木马工具　85
3．3．2　代码注入工具　87
3．3．3　分组伪造工具　91
3．3．4　DDoS攻击控制工具　93
3．4　本章小结　96
参考文献　96
第4章　异常检测的数学基础　98
4．1　网络流量的自相似性　98
4．2　概率论　99
4．2．1　随机变量和概率分布　99
4．2．2　随机向量　102
4．2．3　大数定理与中心极限定理　103
4．3　数理统计　104
4．3．1　最大似然估计与矩估计　104
4．3．2　置信区间　104
4．3．3　假设检验　105
4．4　随机过程　106
4．4．1　马尔可夫（Markov）过程　106
4．4．2　正态随机过程　107
4．4．3　独立增量过程　107
4．4．4　计数过程　107
4．4．5　泊松（Poisson）过程　107
4．5　信号处理技术　108
4．5．1　倒频谱　109
4．5．2　小波分析　109
4．6　机器学习　110
4．6．1　线性回归分析　110
4．6．2　费舍尔（Fisher）线性分类器　111
4．6．3　Logistic回归分类模型　112
4．6．4　BP网络　113
4．6．5　支持向量机　114
4．6．6　概率图模型　116
4．6．7　混合模型与EM算法　119
4．7　数据挖掘　120
4．7．1　决策树　121
4．7．2　朴素贝叶斯分类器　123
4．7．3　近邻分类器　123
4．7．4　关联分析　124
4．7．5　聚类分析　125
4．8　本章小结　125
参考文献　126
第5章　拒绝服务攻击检测　127
5．1　异常检测的基本思路与特征选择　127
5．2　基于贝叶斯思想的检测方法　127
5．2．1　基于朴素贝叶斯分类器的检测算法　127
5．2．2　基于贝叶斯网的检测算法　128
5．2．3　基于混合模型和EM算法的检测算法　130
5．3　基于近邻的检测算法　131
5．3．1　K近邻检测算法　131
5．3．2　基于密度的检测算法　132
5．3．3　其他近邻算法　135
5．4　基于回归拟合的检测算法　136
5．4．1　基于线性回归方程的检测算法　136
5．4．2　基于LMS滤波器的检测算法　138
5．5　基于聚类的检测算法　140
5．5．1　基于分划聚类的检测算法　140
5．5．2　基于层次聚类的检测算法　142
5．5．3　基于新型聚类的检测算法　143
5．6　基于关联分析的检测算法　144
5．7　基于神经网络的检测算法　146
5．8　基于支持向量机的检测算法　148
5．8．1　基于传统支持向量机的检测算法　148
5．8．2　基于单类支持向量机的检测算法　149
5．8．3　基于贝叶斯支持向量机的检测算法　150
5．9　基于决策树的检测算法　151
5．9．1　基于ID3决策树的检测算法　151
5．9．2　基于C4．5决策树的检测算法　152
5．9．3　基于CART决策树的检测算法　153
5．9．4　基于随机决策森林的检测算法　153
5．10　本章小结　154
参考文献　154
第6章　低速率拒绝服务攻击检测　161
6．1　概述　161
6．2　LDoS攻击原理　162
6．2．1　TCP/IP的拥塞控制机制及安全性分析　163
6．2．2　基于TCP拥塞控制机制的LDoS攻击　166
6．2．3　基于IP拥塞控制机制的LDoS攻击　168
6．2．4　目标BGP的LDoS攻击　169
6．3　LDoS与DDoS攻击的区别与联系　171
6．3．1　攻击模型比较　171
6．3．2　攻击流特性比较　173
6．4　LDoS攻击流量特征分析　176
6．4．1　LDoS攻击评估实验　176
6．4．2　实验结果评估　176
6．4．3　流量特征分析　181
6．4．4　特征分析函数　182
6．5　LDoS攻击检测与防御　185
6．5．1　特征检测及防御　185
6．5．2　异常检测及防御　187
6．5．3　基于终端应用服务器的检测和防御　188
6．5．4　改进网络协议和服务协议　189
6．5．5　结合突变特征与周期性特征的综合检测方法　190
6．6　本章小结　197
参考文献　198
第7章　拒绝服务攻击的防御　203
7．1　对抗网络/传输层DDoS攻击的防御机制　203
7．1．1　源端防御　203
7．1．2　目的端防御　206
7．1．3　网络防御机制　214
7．1．4　混合防御机制　220
7．2　对抗应用层DDoS攻击的防御机制　231
7．2．1　目的端防御　231
7．2．2　混合防御　233
7．3　主流攻击检测与防御系统　235
7．3．1　Bro　235
7．3．2　Snort　237
7．3．3　Suricata　240
7．3．4　Google Project Shield　240
7．4　本章小结　241
参考文献　241
第8章　基于大数据技术的测量平台与检测系统　249
8．1　概述　249
8．2　数据采集与网络异常监控　250
8．2．1　可使用的数据类型　251
8．2．2　采集点的部署　253
8．3　流量分析大数据技术　254
8．3．1　Hadoop批处理平台　254
8．3．2　流式处理平台　255
8．3．3　平台相关组件　257
8．4　基于大数据技术的测量平台与检测系统实例　258
8．4．1　测量平台构建　259
8．4．2　离线分析平台构建　261
8．4．3　在线分析平台构建　262
8．4．4　多算法并行检测系统实现　263
8．5　基于Storm的Snort系统　267
8．5．1　Snort工作原理简介　267
8．5．2　基于Storm的Snort系统工作原理　267
8．5．3　基于Storm的Snort系统所存在的挑战　269
8．6　本章小结　270
参考文献　271
第9章　未来挑战　272
9．1　概述　272
9．2　传统问题的新挑战　273
9．2．1　高速链路实时异常检测　273
9．2．2　检测和防御系统的评价　274
9．2．3　大规模攻击的检测与处理　275
9．2．4　通用入侵/异常检测系统设计　276
9．3　新攻击模式的挑战　276
9．3．1　面向基础设施的密集攻击的检测　276
9．3．2　组合攻击的检测　279
9．3．3　未知攻击的自适应检测和防御　280
9．3．4　基于P2P模式控制僵尸网络的攻击　281
9．3．5　基于Mobile Botnet的攻击　282
9．3．6　新型网络技术模式下的攻击与防御　284
9．3．7　攻击溯源　289
9．4　本章小结　290
参考文献　291

展开