網(wǎng)絡(luò)異常流量識別與監(jiān)控技術(shù)研究

內(nèi)容概要

本書系統(tǒng)地闡述了路由器端異常流量的檢測與防范技術(shù)。首先介紹了DoS和DDoS的原理，綜述了目前DDoS異常流量的檢測技術(shù)現(xiàn)狀和最新的研究成果； 在此基礎(chǔ)上介紹了作者創(chuàng)新性地設(shè)計并實現(xiàn)的5種DDoS檢測算法以及對算法進行的局部仿真測試。在理論研究的基礎(chǔ)上，作者結(jié)合一個具體的研究項目將上述算法應(yīng)用到具體的開發(fā)中，闡述了開發(fā)的系統(tǒng)的總體設(shè)計、詳細設(shè)計及安裝測試。    本書是作者多年從事科研項目研究的成果結(jié)晶，書中內(nèi)容都來自具體的項目，有很好的工程基礎(chǔ)，特色是學(xué)術(shù)與具體的工程應(yīng)用相結(jié)合。本書可作為計算機網(wǎng)絡(luò)與信息安全相關(guān)專業(yè)研究生及高年級本科生的教材，也可作為科研人員的參考書，同時可作為研究生、博士生及老師論文寫作的參考書

作者簡介

孫知信：博士、教授、博士生導(dǎo)師。1998年畢業(yè)于南京航空航天大學(xué)獲博士學(xué)位。2001年至2002年在漢城國立大學(xué)做博士后研究，2002年11月博士后出站至今在南京郵電大學(xué)任教。主要從事計算機網(wǎng)絡(luò)及安全、多媒體通信、計算機軟件與理論等方面的教學(xué)和科研工作。 
    作為項目負責人已完成和正在從事縱橫科研項目近20項，其中包括國家863項目、國家自然基金項目、科技部中小企業(yè)創(chuàng)新基金項目、江蘇省科技攻關(guān)項目、江蘇省自然基金項目、教育部和南京市回國人員資助項目等。在國內(nèi)外學(xué)術(shù)期刊上發(fā)表論文30余篇，申請專利10余個。

書籍目錄

第1章　 DDoS攻擊原理及特征　1.1　DDoS的原理及其發(fā)展　　1.1.1　DoS／DDoS的概念　　1.1.2　DDoS攻擊原理　1.2　DDoS攻擊的基本特征　1.3　DDoS分析方法研究　1.4　本章小結(jié)第2章　DDoS檢測與防御相關(guān)研究綜述　2.1　DDoS檢測方法研究　　2.1.1　基于流量自相似特性的流量檢測　　2.1.2　基于TCP攻擊包中的SYN包和FIN包比例關(guān)系的檢測　　2.1.3　SYN Cache和SYN Cookie　　2.1.4　Traceback　2.2　DDoS防范機制研究　　2.2.1　基于認證機制的異常流量過濾　　2.2.2　Ingress過濾　　2.2.3　Pushback　　2.2.4　自動化模型(控制器—代理模型)　2.3　路由器端防范DDoS攻擊策略　　2.3.1　基于擁塞控制的方法　　2.3.2　基于異常的防范DDoS攻擊策略　　2.3.3　基于源的防范DDoS攻擊策略　　2.3.4　攻擊響應(yīng)　2.4　DDoS攻擊的新發(fā)展及作者的研究成果　　2.4.1　DDoS攻擊的新發(fā)展　　2.4.2　作者在DDoS攻擊方面的研究成果　2.5　本章小結(jié)第3章　基于路由器DDoS檢測的改進CUSUM算法　3.1　DDoS流量統(tǒng)計特征分析　　3.1.1　分析步驟　　3.1.2　結(jié)果分析　3.2　CUSUM算法描述　3.3　基于路由器的改進CUSUM算法(M-CUSUM)　3.4　M-CUSUM算法檢測路由器端網(wǎng)絡(luò)異常流量　　3.4.1　端口統(tǒng)計量分析　　3.4.2　算法分析　3.5　本章小結(jié)第4章　異常流量特征聚類算法　4.1　算法描述　4.2　AFCAA算法提取網(wǎng)絡(luò)異常流量特征　4.3　算法測試系統(tǒng)MCTCS　　4.3.1　測試環(huán)境　　4.3.2　測試內(nèi)容　　4.3.3　測試步驟　4.4　本章小結(jié)第5章　APA-ANTI-DDoS模型　5.1　模型定義　5.2　異常流量聚集　5.3　流量抽樣　5.4　協(xié)議分析　　5.4.1　協(xié)議分析反饋信息——Back調(diào)整　　5.4.2　協(xié)議分析結(jié)構(gòu)　　5.4.3　過濾規(guī)則的產(chǎn)生　5.5　流量處理　5.6　配置　5.7　APA-ANTI—DDoS算法分析　　5.7.1　Hash映射表分析　　5.7.2　HashTable映射碰撞分析　　5.7.3　Hash映射表下限動態(tài)逼近算法　　5.7.4　Hash映射表間斷性溢出問題　　5.7.5　DDoS攻擊行為分析　　5.7.6　誤判糾正行為分析　5.8　本章小結(jié)第6章　基于源目的IP地址數(shù)據(jù)庫的防范DDoS攻擊策略　6.1　基于源目的IP地址數(shù)據(jù)庫的防范DDoS攻擊策略介紹　6.2　SDIM系統(tǒng)體系結(jié)構(gòu)　6.3　SDIM系統(tǒng)設(shè)計　　6.3.1　SDIM采用的平臺　　6.3.2　SDIAD系統(tǒng)流程　6.4　源目的IP地址數(shù)據(jù)庫　　6.4.1　SDIAD的存儲　　6.4.2　SDIAD的更新　　6.4.3　常用的合法源目的IP地址對集合的建立　6.5　攻擊檢測策略和攻擊流量的過濾　　6.5.1　滑動窗口無參數(shù)CUSUM算法　　6.5.2　攻擊響應(yīng)的位置和策略　　6.5.3　SDIM系統(tǒng)攻擊響應(yīng)策略　6.6　SDIM系統(tǒng)仿真　　6.6.1　SDIM系統(tǒng)實驗?zāi)Ｐ汀　?.6.2　SDIM系統(tǒng)實驗結(jié)果　　6.6.3　實驗數(shù)據(jù)分析　6.7　本章小結(jié)第7章　防抖動的地址聚集及M-MULTOPS模式聚集設(shè)計　7.1　Bloom Filter算法　7.2　改進的Bloom Filter算法——Adapted-Bloom-Filter算法　7.3　防聚集抖動的CUSUM算法　7.4　MULTOPS結(jié)構(gòu)與M-MULTOPS結(jié)構(gòu)　　7.4.1　MULTOPS結(jié)構(gòu)　　7.4.2　M-MULTOPS結(jié)構(gòu)　7.5　模式聚集的研究　　7.5.1　TCP、UDP和ICMP三種包的分類方式　　7.5.2　TCP、UDP和ICMP三種聚集模式　7.6　基于M-MULTOPS結(jié)構(gòu)的模式聚集數(shù)據(jù)管理　7.7　基于M-MULTOPS的檢驗系統(tǒng)的實現(xiàn)　7.8　系統(tǒng)仿真與測試　　7.8.1　系統(tǒng)硬件配置及組網(wǎng)環(huán)境　　7.8.2　系統(tǒng)參數(shù)配置　　7.8.3　實驗數(shù)據(jù)分析　7.9　本章小結(jié)第8章　AMAT系統(tǒng)總體設(shè)計　8.1　AMAT系統(tǒng)介紹　8.2　AMAT總體設(shè)計和子模塊劃分　8.3　異常流量識別模塊　　8.3.1　數(shù)據(jù)包采樣子模塊　　8.3.2　地址聚集算法　　8.3.3　地址聚集算法改進　　8.3.4　基于Adapted-Bloom-Filter流量聚集子模塊　　8.3.5　防聚集抖動的累積算法　　8.3.6　基于M-CUMSUM流量累積子模塊　　8.3.7　基于AFCAA的異常流量聚類子模塊　8.4　異常流量分類子模塊　　8.4.1　異常流量分類子模塊原型　　8.4.2　異常流量分類子模塊的設(shè)計　　8.4.3　基于Adapted-MULTOPS的數(shù)據(jù)管理　8.5　異常流量匹配與拒絕子模塊　　8.5.1　異常流量反應(yīng)流程框圖及實現(xiàn)機理　　8.5.2　多層模式聚集　　8.5.3　“公平退火”算法　8.6　本章小結(jié)第9章　AMAT系統(tǒng)詳細設(shè)計　9.1　軟件框架及配置簡介　　9.1.1　Netfilter在IPv4中的結(jié)構(gòu)　　9.1.2　軟件結(jié)構(gòu)　9.2　細化局部設(shè)計　　9.2.1　內(nèi)核空間系統(tǒng)　　9.2.2　用戶空間數(shù)據(jù)管理系統(tǒng)　9.3　模塊詳細設(shè)計　　9.3.1　數(shù)據(jù)包采樣設(shè)計說明　　9.3.2　流量強度聚集設(shè)計說明　　9.3.3　異常模式聚集設(shè)計說明　　9.3.4　DoS／DDoS防御規(guī)則生成設(shè)計說明　　9.3.5　目的地址識別設(shè)計說明　　9.3.6　規(guī)則執(zhí)行及反饋設(shè)計說明　　9.3.7　系統(tǒng)信息輸出設(shè)計說明　9.4　本章小結(jié)第10章　系統(tǒng)安裝及測試　10.1　AMAT的軟／硬件要求　10.2　Linux軟件路由器的配置　10.3　AMAT的安裝步驟　10.4　AMAT的配置方法　10.5　AMAT攻擊端軟件的安裝和實現(xiàn)原理　10.6　AMAT攻擊端工具使用方法和日志查看　　10.6.1　攻擊端工具使用方法　　10.6.2　內(nèi)核日志文件　　10.6.3　用戶層日志　10.7　AMAT具體測試　　10.7.1　測試目標　　10.7.2　測試用例及預(yù)期效果　　10.7.3　TCP攻擊部分　　10.7.4　UDP攻擊部分　　10.7.5　ICMP攻擊部分　　10.7.6　MIX攻擊部分　10.8　本章小結(jié)參考文獻

章節(jié)摘錄

　　傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)側(cè)重于企業(yè)用戶網(wǎng)絡(luò)的系統(tǒng)入侵檢測、防病毒軟件或防火墻，這類安全措施通常并不能減少運營商網(wǎng)絡(luò)中的非正常流量。為了降低網(wǎng)絡(luò)中的異常流量，減少或消除用戶所遭受的分布式拒絕服務(wù)攻擊（Distribution Denial of Service Attacks，DDoS），運營商的網(wǎng)絡(luò)與路由交換設(shè)備需要具備異常流量監(jiān)控與拒絕服務(wù)能力。路由器中的異常流量監(jiān)控與拒絕服務(wù)方法研究對于運營商向用戶提供安全服務(wù)具有重要意義。運營商網(wǎng)絡(luò)中的路由器應(yīng)該能夠?qū)粲脩舻漠惓Ａ髁窟M行監(jiān)控并做出反應(yīng)，根據(jù)報文源地址、源端口信息和報文長度等信息的統(tǒng)計特征采用一定的干預(yù)規(guī)則，比如禁止某些端口的流量或者禁止來自某一端口地址的帶寬，對這些非法流量進行抑制或者拒絕服務(wù)?！　÷酚善髅媾R的威脅有：　?。?）將路由器作為攻擊平臺，入侵者利用不安全的路由器作為生成對其他站點的掃描或偵察的平臺， 并作為發(fā)動DoS攻擊的一塊跳板。（2）盡管路由器在設(shè)計上可以傳送大量的傳輸流，但是它常常不能處理傳送給它的同樣數(shù)量的傳輸流，入侵者利用這種特性攻擊連接到網(wǎng)絡(luò)上的路由器，而不是直接攻擊網(wǎng)絡(luò)上的系統(tǒng)。相比較而言，前者的難度要大一些。因而DoS （拒絕服務(wù)） 成為了對路由器發(fā)起攻擊的主要手段，在大范圍內(nèi)帶來服務(wù)器的可用性問題，從而對整個因特網(wǎng)造成嚴重影響。目前應(yīng)用于路由器安全的主要技術(shù)有防火墻技術(shù)、VPN技術(shù)、入侵檢測和認證技術(shù)，這幾種當前的主流安全技術(shù)在路由器中都得到了應(yīng)用。此外，路由器特有的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT） 技術(shù)也能進一步提高因特網(wǎng)的安全性。但是，多種安全技術(shù)也有相互制約的方面。防火墻根據(jù)IP 報頭中信宿地址、信源地址以及其他一些信息決定是否讓該數(shù)據(jù)包通過，而NAT 改變了信源或信宿地址。現(xiàn)階段，端到端的IPSEC無法在NAT轉(zhuǎn)換路由器中實現(xiàn)?！　¤b于目前的這種狀況，本書系統(tǒng)地闡述了路由器端異常流量的檢測與防范技術(shù)。本書首先介紹了DoS和DDoS的原理，綜述了目前DDoS異常流量的檢測技術(shù)現(xiàn)狀和最新的研究成果。在此基礎(chǔ)上介紹了作者創(chuàng)新性地設(shè)計并實現(xiàn)的5種DDoS檢測算法以及對算法進行的局部仿真測試。在理論研究的基礎(chǔ)上，作者結(jié)合一個具體的研究項目將上述算法應(yīng)用到具體的開發(fā)中，闡述了開發(fā)的系統(tǒng)總體設(shè)計和詳細設(shè)計及安裝測試。最后，作者對全文進行了總結(jié)。全書共分10章，主要內(nèi)容介紹如下。

編輯推薦

　　《網(wǎng)絡(luò)異常流量識別與監(jiān)控技術(shù)研究》主要從6個方面對異常流量的檢測進行了研究，創(chuàng)新性地提出了5種異常流量的檢測方法并在具體的系統(tǒng)中得到了實現(xiàn)和驗證?！毒W(wǎng)絡(luò)異常流量識別與監(jiān)控技術(shù)研究》的成果具有前沿性，同時又具備較高的應(yīng)用價值。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    網(wǎng)絡(luò)異常流量識別與監(jiān)控技術(shù)研究 PDF格式下載

---