網(wǎng)絡(luò)異常流量識(shí)別與監(jiān)控技術(shù)研究

第1章　 DDoS攻擊原理及特征
　1.1　DDoS的原理及其發(fā)展
　　1.1.1　DoS／DDoS的概念
　　1.1.2　DDoS攻擊原理
　1.2　DDoS攻擊的基本特征
　1.3　DDoS分析方法研究
　1.4　本章小結(jié)
第2章　DDoS檢測(cè)與防御相關(guān)研究綜述
　2.1　DDoS檢測(cè)方法研究
　　2.1.1　基于流量自相似特性的流量檢測(cè)
　　2.1.2　基于TCP攻擊包中的SYN包和FIN包比例關(guān)系的檢測(cè)
　　2.1.3　SYN Cache和SYN Cookie
　　2.1.4　Traceback
　2.2　DDoS防范機(jī)制研究
　　2.2.1　基于認(rèn)證機(jī)制的異常流量過(guò)濾
　　2.2.2　Ingress過(guò)濾
　　2.2.3　Pushback
　　2.2.4　自動(dòng)化模型(控制器—代理模型)
　2.3　路由器端防范DDoS攻擊策略
　　2.3.1　基于擁塞控制的方法
　　2.3.2　基于異常的防范DDoS攻擊策略
　　2.3.3　基于源的防范DDoS攻擊策略
　　2.3.4　攻擊響應(yīng)
　2.4　DDoS攻擊的新發(fā)展及作者的研究成果
　　2.4.1　DDoS攻擊的新發(fā)展
　　2.4.2　作者在DDoS攻擊方面的研究成果
　2.5　本章小結(jié)
第3章　基于路由器DDoS檢測(cè)的改進(jìn)CUSUM算法
　3.1　DDoS流量統(tǒng)計(jì)特征分析
　　3.1.1　分析步驟
　　3.1.2　結(jié)果分析
　3.2　CUSUM算法描述
　3.3　基于路由器的改進(jìn)CUSUM算法(M-CUSUM)
　3.4　M-CUSUM算法檢測(cè)路由器端網(wǎng)絡(luò)異常流量
　　3.4.1　端口統(tǒng)計(jì)量分析
　　3.4.2　算法分析
　3.5　本章小結(jié)
第4章　異常流量特征聚類(lèi)算法
　4.1　算法描述
　4.2　AFCAA算法提取網(wǎng)絡(luò)異常流量特征
　4.3　算法測(cè)試系統(tǒng)MCTCS
　　4.3.1　測(cè)試環(huán)境
　　4.3.2　測(cè)試內(nèi)容
　　4.3.3　測(cè)試步驟
　4.4　本章小結(jié)
第5章　APA-ANTI-DDoS模型
　5.1　模型定義
　5.2　異常流量聚集
　5.3　流量抽樣
　5.4　協(xié)議分析
　　5.4.1　協(xié)議分析反饋信息——Back調(diào)整
　　5.4.2　協(xié)議分析結(jié)構(gòu)
　　5.4.3　過(guò)濾規(guī)則的產(chǎn)生
　5.5　流量處理
　5.6　配置
　5.7　APA-ANTI—DDoS算法分析
　　5.7.1　Hash映射表分析
　　5.7.2　HashTable映射碰撞分析
　　5.7.3　Hash映射表下限動(dòng)態(tài)逼近算法
　　5.7.4　Hash映射表間斷性溢出問(wèn)題
　　5.7.5　DDoS攻擊行為分析
　　5.7.6　誤判糾正行為分析
　5.8　本章小結(jié)
第6章　基于源目的IP地址數(shù)據(jù)庫(kù)的防范DDoS攻擊策略
　6.1　基于源目的IP地址數(shù)據(jù)庫(kù)的防范DDoS攻擊策略介紹
　6.2　SDIM系統(tǒng)體系結(jié)構(gòu)
　6.3　SDIM系統(tǒng)設(shè)計(jì)
　　6.3.1　SDIM采用的平臺(tái)
　　6.3.2　SDIAD系統(tǒng)流程
　6.4　源目的IP地址數(shù)據(jù)庫(kù)
　　6.4.1　SDIAD的存儲(chǔ)
　　6.4.2　SDIAD的更新
　　6.4.3　常用的合法源目的IP地址對(duì)集合的建立
　6.5　攻擊檢測(cè)策略和攻擊流量的過(guò)濾
　　6.5.1　滑動(dòng)窗口無(wú)參數(shù)CUSUM算法
　　6.5.2　攻擊響應(yīng)的位置和策略
　　6.5.3　SDIM系統(tǒng)攻擊響應(yīng)策略
　6.6　SDIM系統(tǒng)仿真
　　6.6.1　SDIM系統(tǒng)實(shí)驗(yàn)?zāi)Ｐ?br />　　6.6.2　SDIM系統(tǒng)實(shí)驗(yàn)結(jié)果
　　6.6.3　實(shí)驗(yàn)數(shù)據(jù)分析
　6.7　本章小結(jié)
第7章　防抖動(dòng)的地址聚集及M-MULTOPS模式聚集設(shè)計(jì)
　7.1　Bloom Filter算法
　7.2　改進(jìn)的Bloom Filter算法——Adapted-Bloom-Filter算法
　7.3　防聚集抖動(dòng)的CUSUM算法
　7.4　MULTOPS結(jié)構(gòu)與M-MULTOPS結(jié)構(gòu)
　　7.4.1　MULTOPS結(jié)構(gòu)
　　7.4.2　M-MULTOPS結(jié)構(gòu)
　7.5　模式聚集的研究
　　7.5.1　TCP、UDP和ICMP三種包的分類(lèi)方式
　　7.5.2　TCP、UDP和ICMP三種聚集模式
　7.6　基于M-MULTOPS結(jié)構(gòu)的模式聚集數(shù)據(jù)管理
　7.7　基于M-MULTOPS的檢驗(yàn)系統(tǒng)的實(shí)現(xiàn)
　7.8　系統(tǒng)仿真與測(cè)試
　　7.8.1　系統(tǒng)硬件配置及組網(wǎng)環(huán)境
　　7.8.2　系統(tǒng)參數(shù)配置
　　7.8.3　實(shí)驗(yàn)數(shù)據(jù)分析
　7.9　本章小結(jié)
第8章　AMAT系統(tǒng)總體設(shè)計(jì)
　8.1　AMAT系統(tǒng)介紹
　8.2　AMAT總體設(shè)計(jì)和子模塊劃分
　8.3　異常流量識(shí)別模塊
　　8.3.1　數(shù)據(jù)包采樣子模塊
　　8.3.2　地址聚集算法
　　8.3.3　地址聚集算法改進(jìn)
　　8.3.4　基于Adapted-Bloom-Filter流量聚集子模塊
　　8.3.5　防聚集抖動(dòng)的累積算法
　　8.3.6　基于M-CUMSUM流量累積子模塊
　　8.3.7　基于AFCAA的異常流量聚類(lèi)子模塊
　8.4　異常流量分類(lèi)子模塊
　　8.4.1　異常流量分類(lèi)子模塊原型
　　8.4.2　異常流量分類(lèi)子模塊的設(shè)計(jì)
　　8.4.3　基于Adapted-MULTOPS的數(shù)據(jù)管理
　8.5　異常流量匹配與拒絕子模塊
　　8.5.1　異常流量反應(yīng)流程框圖及實(shí)現(xiàn)機(jī)理
　　8.5.2　多層模式聚集
　　8.5.3　“公平退火”算法
　8.6　本章小結(jié)
第9章　AMAT系統(tǒng)詳細(xì)設(shè)計(jì)
　9.1　軟件框架及配置簡(jiǎn)介
　　9.1.1　Netfilter在IPv4中的結(jié)構(gòu)
　　9.1.2　軟件結(jié)構(gòu)
　9.2　細(xì)化局部設(shè)計(jì)
　　9.2.1　內(nèi)核空間系統(tǒng)
　　9.2.2　用戶(hù)空間數(shù)據(jù)管理系統(tǒng)
　9.3　模塊詳細(xì)設(shè)計(jì)
　　9.3.1　數(shù)據(jù)包采樣設(shè)計(jì)說(shuō)明
　　9.3.2　流量強(qiáng)度聚集設(shè)計(jì)說(shuō)明
　　9.3.3　異常模式聚集設(shè)計(jì)說(shuō)明
　　9.3.4　DoS／DDoS防御規(guī)則生成設(shè)計(jì)說(shuō)明
　　9.3.5　目的地址識(shí)別設(shè)計(jì)說(shuō)明
　　9.3.6　規(guī)則執(zhí)行及反饋設(shè)計(jì)說(shuō)明
　　9.3.7　系統(tǒng)信息輸出設(shè)計(jì)說(shuō)明
　9.4　本章小結(jié)
第10章　系統(tǒng)安裝及測(cè)試
　10.1　AMAT的軟／硬件要求
　10.2　Linux軟件路由器的配置
　10.3　AMAT的安裝步驟
　10.4　AMAT的配置方法
　10.5　AMAT攻擊端軟件的安裝和實(shí)現(xiàn)原理
　10.6　AMAT攻擊端工具使用方法和日志查看
　　10.6.1　攻擊端工具使用方法
　　10.6.2　內(nèi)核日志文件
　　10.6.3　用戶(hù)層日志
　10.7　AMAT具體測(cè)試
　　10.7.1　測(cè)試目標(biāo)
　　10.7.2　測(cè)試用例及預(yù)期效果
　　10.7.3　TCP攻擊部分
　　10.7.4　UDP攻擊部分
　　10.7.5　ICMP攻擊部分
　　10.7.6　MIX攻擊部分
　10.8　本章小結(jié)
參考文獻(xiàn)