網(wǎng)絡異常流量識別與監(jiān)控技術研究

第1章　 DDoS攻擊原理及特征
　1.1　DDoS的原理及其發(fā)展
　　1.1.1　DoS／DDoS的概念
　　1.1.2　DDoS攻擊原理
　1.2　DDoS攻擊的基本特征
　1.3　DDoS分析方法研究
　1.4　本章小結
第2章　DDoS檢測與防御相關研究綜述
　2.1　DDoS檢測方法研究
　　2.1.1　基于流量自相似特性的流量檢測
　　2.1.2　基于TCP攻擊包中的SYN包和FIN包比例關系的檢測
　　2.1.3　SYN Cache和SYN Cookie
　　2.1.4　Traceback
　2.2　DDoS防范機制研究
　　2.2.1　基于認證機制的異常流量過濾
　　2.2.2　Ingress過濾
　　2.2.3　Pushback
　　2.2.4　自動化模型(控制器—代理模型)
　2.3　路由器端防范DDoS攻擊策略
　　2.3.1　基于擁塞控制的方法
　　2.3.2　基于異常的防范DDoS攻擊策略
　　2.3.3　基于源的防范DDoS攻擊策略
　　2.3.4　攻擊響應
　2.4　DDoS攻擊的新發(fā)展及作者的研究成果
　　2.4.1　DDoS攻擊的新發(fā)展
　　2.4.2　作者在DDoS攻擊方面的研究成果
　2.5　本章小結
第3章　基于路由器DDoS檢測的改進CUSUM算法
　3.1　DDoS流量統(tǒng)計特征分析
　　3.1.1　分析步驟
　　3.1.2　結果分析
　3.2　CUSUM算法描述
　3.3　基于路由器的改進CUSUM算法(M-CUSUM)
　3.4　M-CUSUM算法檢測路由器端網(wǎng)絡異常流量
　　3.4.1　端口統(tǒng)計量分析
　　3.4.2　算法分析
　3.5　本章小結
第4章　異常流量特征聚類算法
　4.1　算法描述
　4.2　AFCAA算法提取網(wǎng)絡異常流量特征
　4.3　算法測試系統(tǒng)MCTCS
　　4.3.1　測試環(huán)境
　　4.3.2　測試內(nèi)容
　　4.3.3　測試步驟
　4.4　本章小結
第5章　APA-ANTI-DDoS模型
　5.1　模型定義
　5.2　異常流量聚集
　5.3　流量抽樣
　5.4　協(xié)議分析
　　5.4.1　協(xié)議分析反饋信息——Back調(diào)整
　　5.4.2　協(xié)議分析結構
　　5.4.3　過濾規(guī)則的產(chǎn)生
　5.5　流量處理
　5.6　配置
　5.7　APA-ANTI—DDoS算法分析
　　5.7.1　Hash映射表分析
　　5.7.2　HashTable映射碰撞分析
　　5.7.3　Hash映射表下限動態(tài)逼近算法
　　5.7.4　Hash映射表間斷性溢出問題
　　5.7.5　DDoS攻擊行為分析
　　5.7.6　誤判糾正行為分析
　5.8　本章小結
第6章　基于源目的IP地址數(shù)據(jù)庫的防范DDoS攻擊策略
　6.1　基于源目的IP地址數(shù)據(jù)庫的防范DDoS攻擊策略介紹
　6.2　SDIM系統(tǒng)體系結構
　6.3　SDIM系統(tǒng)設計
　　6.3.1　SDIM采用的平臺
　　6.3.2　SDIAD系統(tǒng)流程
　6.4　源目的IP地址數(shù)據(jù)庫
　　6.4.1　SDIAD的存儲
　　6.4.2　SDIAD的更新
　　6.4.3　常用的合法源目的IP地址對集合的建立
　6.5　攻擊檢測策略和攻擊流量的過濾
　　6.5.1　滑動窗口無參數(shù)CUSUM算法
　　6.5.2　攻擊響應的位置和策略
　　6.5.3　SDIM系統(tǒng)攻擊響應策略
　6.6　SDIM系統(tǒng)仿真
　　6.6.1　SDIM系統(tǒng)實驗模型
　　6.6.2　SDIM系統(tǒng)實驗結果
　　6.6.3　實驗數(shù)據(jù)分析
　6.7　本章小結
第7章　防抖動的地址聚集及M-MULTOPS模式聚集設計
　7.1　Bloom Filter算法
　7.2　改進的Bloom Filter算法——Adapted-Bloom-Filter算法
　7.3　防聚集抖動的CUSUM算法
　7.4　MULTOPS結構與M-MULTOPS結構
　　7.4.1　MULTOPS結構
　　7.4.2　M-MULTOPS結構
　7.5　模式聚集的研究
　　7.5.1　TCP、UDP和ICMP三種包的分類方式
　　7.5.2　TCP、UDP和ICMP三種聚集模式
　7.6　基于M-MULTOPS結構的模式聚集數(shù)據(jù)管理
　7.7　基于M-MULTOPS的檢驗系統(tǒng)的實現(xiàn)
　7.8　系統(tǒng)仿真與測試
　　7.8.1　系統(tǒng)硬件配置及組網(wǎng)環(huán)境
　　7.8.2　系統(tǒng)參數(shù)配置
　　7.8.3　實驗數(shù)據(jù)分析
　7.9　本章小結
第8章　AMAT系統(tǒng)總體設計
　8.1　AMAT系統(tǒng)介紹
　8.2　AMAT總體設計和子模塊劃分
　8.3　異常流量識別模塊
　　8.3.1　數(shù)據(jù)包采樣子模塊
　　8.3.2　地址聚集算法
　　8.3.3　地址聚集算法改進
　　8.3.4　基于Adapted-Bloom-Filter流量聚集子模塊
　　8.3.5　防聚集抖動的累積算法
　　8.3.6　基于M-CUMSUM流量累積子模塊
　　8.3.7　基于AFCAA的異常流量聚類子模塊
　8.4　異常流量分類子模塊
　　8.4.1　異常流量分類子模塊原型
　　8.4.2　異常流量分類子模塊的設計
　　8.4.3　基于Adapted-MULTOPS的數(shù)據(jù)管理
　8.5　異常流量匹配與拒絕子模塊
　　8.5.1　異常流量反應流程框圖及實現(xiàn)機理
　　8.5.2　多層模式聚集
　　8.5.3　“公平退火”算法
　8.6　本章小結
第9章　AMAT系統(tǒng)詳細設計
　9.1　軟件框架及配置簡介
　　9.1.1　Netfilter在IPv4中的結構
　　9.1.2　軟件結構
　9.2　細化局部設計
　　9.2.1　內(nèi)核空間系統(tǒng)
　　9.2.2　用戶空間數(shù)據(jù)管理系統(tǒng)
　9.3　模塊詳細設計
　　9.3.1　數(shù)據(jù)包采樣設計說明
　　9.3.2　流量強度聚集設計說明
　　9.3.3　異常模式聚集設計說明
　　9.3.4　DoS／DDoS防御規(guī)則生成設計說明
　　9.3.5　目的地址識別設計說明
　　9.3.6　規(guī)則執(zhí)行及反饋設計說明
　　9.3.7　系統(tǒng)信息輸出設計說明
　9.4　本章小結
第10章　系統(tǒng)安裝及測試
　10.1　AMAT的軟／硬件要求
　10.2　Linux軟件路由器的配置
　10.3　AMAT的安裝步驟
　10.4　AMAT的配置方法
　10.5　AMAT攻擊端軟件的安裝和實現(xiàn)原理
　10.6　AMAT攻擊端工具使用方法和日志查看
　　10.6.1　攻擊端工具使用方法
　　10.6.2　內(nèi)核日志文件
　　10.6.3　用戶層日志
　10.7　AMAT具體測試
　　10.7.1　測試目標
　　10.7.2　測試用例及預期效果
　　10.7.3　TCP攻擊部分
　　10.7.4　UDP攻擊部分
　　10.7.5　ICMP攻擊部分
　　10.7.6　MIX攻擊部分
　10.8　本章小結
參考文獻