本书系统地阐述了路由器端异常流量的检测与防范技术。首先介绍了DoS和DDoS的原理，综述了目前DDoS异常流量的检测技术现状和最新的研究成果； 在此基础上介绍了作者创新性地设计并实现的5种DDoS检测算法以及对算法进行的局部仿真测试。在理论研究的基础上，作者结合一个具体的研究项目将上述算法应用到具体的开发中，阐述了开发的系统的总体设计、详细设计及安装测试。

本书是作者多年从事科研项目研究的成果结晶，书中内容都来自具体的项目，有很好的工程基础，特色是学术与具体的工程应用相结合。本书可作为计算机网络与信息安全相关专业研究生及高年级本科生的教材，也可作为科研人员的参考书，同时可作为研究生、博士生及老师论文写作的参考书。

传统的网络安全技术侧重于企业用户网络的系统入侵检测、防病毒软件或防火墙，这类安全措施通常并不能减少运营商网络中的非正常流量。为了降低网络中的异常流量，减少或消除用户所遭受的分布式拒绝服务攻击(Distribution Denial of Service Attacks，DDoS)，运营商的网络与路由交换设备需要具备异常流量监控与拒绝服务能力。路由器中的异常流量监控与拒绝服务方法研究对于运营商向用户提供安全服务具有重要意义。运营商网络中的路由器应该能够对攻击用户的异常流量进行监控并做出反应，根据报文源地址、源端口信息和报文长度等信息的统计特征采用一定的干预规则，比如禁止某些端口的流量或者禁止来自某一端口地址的带宽，对这些非法流量进行抑制或者拒绝服务。

　　路由器面临的威胁有： (1)将路由器作为攻击平台，入侵者利用不安全的路由器作为生成对其他站点的扫描或侦察的平台, 并作为发动DoS攻击的一块跳板。(2)尽管路由器在设计上可以传送大量的传输流，但是它常常不能处理传送给它的同样数量的传输流，入侵者利用这种特性攻击连接到网络上的路由器，而不是直接攻击网络上的系统。相比较而言，前者的难度要大一些。因而DoS (拒绝服务) 成为了对路由器发起攻击的主要手段，在大范围内带来服务器的可用性问题，从而对整个因特网造成严重影响。目前应用于路由器安全的主要技术有防火墙技术、VPN技术、入侵检测和认证技术，这几种当前的主流安全技术在路由器中都得到了应用。此外，路由器特有的网络地址转换(NAT) 技术也能进一步提高因特网的安全性。但是，多种安全技术也有相互制约的方面。防火墙根据IP 报头中信宿地址、信源地址以及其他一些信息决定是否让该数据包通过，而NAT 改变了信源或信宿地址。现阶段，端到端的IPSEC无法在NAT转换路由器中实现。

　　鉴于目前的这种状况，本书系统地阐述了路由器端异常流量的检测与防范技术。本书首先介绍了DoS和DDoS的原理，综述了目前DDoS异常流量的检测技术现状和最新的研究成果。在此基础上介绍了作者创新性地设计并实现的5种DDoS检测算法以及对算法进行的局部仿真测试。在理论研究的基础上，作者结合一个具体的研究项目将上述算法应用到具体的开发中，阐述了开发的系统总体设计和详细设计及安装测试。最后，作者对全文进行了总结。全书共分10章，主要内容介绍如下。

第1章阐述了DDoS攻击的概念及原理，总结了DDoS的基本特征，以及DDoS分析方法。

第2章阐述了对DDoS检测与防御的相关技术，并分析国内外现有的研究成果以及DDoS攻击发展的新趋势。

第3章提出了一种改进的CUSUM(cumulative sum)算法，并在此基础上对核心路由器流量进行实时监控，检测网络流量异常。

第4章提出了一种基于攻击流量特征聚类的特征提取算法AFCAA(Anomaly Traffic Character Aggregation Algorithm)，给出一种过滤攻击流量的反应策，并用实验测试结果加以表明。

第5章设计了一种基于聚集和协议分析的防御分布式拒绝服务攻击的模型APAANTIDDoS(aggregatebased protocol analysis antiDDoS)。

第6章提出了一种基于源目的IP地址数据库的防范DDoS攻击策，并利用这一策略设计了源目的IP地址检测系统SDIM(Source and Destination IP Monitoring)进行仿真验证。

第7章提出了一种异常流量检测方法——防抖动的MMULTOPS(modifiedmultilevel tree for online packetstatistics)结构。

第8章给出了路由器的面向聚集的多层次异常流量控制机制AMAT（AggregatesOriented MultiLevels Anomaly Traffic Control Mechanism in Router）系统总体设计。

第9章阐述了AMAT系统的详细设计。

第10章阐述了AMAT系统的安装及测试。

本书可供从事计算机网络与安全应用和研究人员及大专院校的教师、研究生和高年级本科生使用，也可供有关工程技术人员参考。

本书是作者在南京邮电大学从事多年相关研究的基础上撰写的，并得到国家自然基金（项目号： 60973140）、江苏省自然基金（项目号： BK2009425）、江苏省高校自然基金（项目号： 08KJB520005）资助。由于路由器端DDoS攻击检测和防范技术是一个热门的研究领域，有许多问题尚待进一步研究，因此书中难免存在错误和不足之处，欢迎读者批评指正。作者的Email：sunzx@njupt.edu.cn。

最后，在本书出版之际，我要诚挚感谢张伟博士、宫婧硕士、唐益慰硕士、姜举良硕士、李清东硕士、陈松乐硕士、陈亚当硕士和高同硕士等，他们为本书的出版提供了很多有益的帮助。感谢我的学生唐益慰、姜举良、李清东，他们为本书中的算法和系统作出了重要的贡献。感谢我的爱人张娟和儿子孙翌博，他们给予了我无私的支持和帮助。另外，我也要感谢清华大学出版社的领导和编辑，没有他们的辛勤劳动，就没有本书的出版。

孙知信

2010年1月于南京邮电大学

第1章DDoS攻击原理及特征

1.1DDoS的原理及其发展

1.1.1DoS/DDoS的概念

1.1.2DDoS攻击原理

1.2DDoS攻击的基本特征

1.3DDoS分析方法研究

1.4本章小结

第2章DDoS检测与防御相关研究综述

2.1DDoS检测方法研究

2.1.1基于流量自相似特性的流量检测

2.1.2基于TCP攻击包中的SYN包和FIN包比例关系的检测

2.1.3SYN Cache和SYN Cookie

2.1.4Traceback

2.2DDoS防范机制研究

2.2.1基于认证机制的异常流量过滤

2.2.2Ingress过滤

2.2.3Pushback

2.2.4自动化模型(控制器—代理模型)

2.3路由器端防范DDoS攻击策略

2.3.1基于拥塞控制的方法

2.3.2基于异常的防范DDoS攻击策略

2.3.3基于源的防范DDoS攻击策略

2.3.4攻击响应

2.4DDoS攻击的新发展及作者的研究成果

2.4.1DDoS攻击的新发展

2.4.2作者在DDoS攻击方面的研究成果

2.5本章小结

第3章基于路由器DDoS检测的改进CUSUM算法

3.1DDoS流量统计特征分析

3.1.1分析步骤

3.1.2结果分析

3.2CUSUM算法描述

3.3基于路由器的改进CUSUM算法(MCUSUM)

3.4MCUSUM算法检测路由器端网络异常流量

3.4.1端口统计量分析

3.4.2算法分析

3.5本章小结

第4章异常流量特征聚类算法

4.1算法描述

4.2AFCAA算法提取网络异常流量特征

4.3算法测试系统MCTCS

4.3.1测试环境

4.3.2测试内容

4.3.3测试步骤

4.4本章小结

第5章APAANTIDDoS模型

5.1模型定义

5.2异常流量聚集

5.3流量抽样

5.4协议分析

5.4.1协议分析反馈信息——Back调整

5.4.2协议分析结构

5.4.3过滤规则的产生

5.5流量处理

5.6配置

5.7APAANTIDDoS算法分析

5.7.1Hash映射表分析

5.7.2HashTable映射碰撞分析

5.7.3Hash映射表下限动态逼近算法

5.7.4Hash映射表间断性溢出问题

5.7.5DDoS攻击行为分析

5.7.6误判纠正行为分析

5.8本章小结

第6章基于源目的IP地址数据库的防范DDoS攻击策略

6.1基于源目的IP地址数据库的防范DDoS攻击策略介绍

6.2SDIM系统体系结构

6.3SDIM系统设计

6.3.1SDIM采用的平台

6.3.2SDIAD系统流程

6.4源目的IP地址数据库

6.4.1SDIAD的存储

6.4.2SDIAD的更新

6.4.3常用的合法源目的IP地址对集合的建立

6.5攻击检测策略和攻击流量的过滤

6.5.1滑动窗口无参数CUSUM算法

6.5.2攻击响应的位置和策略

6.5.3SDIM系统攻击响应策略

6.6SDIM系统仿真

6.6.1SDIM系统实验模型

6.6.2SDIM系统实验结果

6.6.3实验数据分析

6.7本章小结

第7章防抖动的地址聚集及MMULTOPS模式聚集设计

7.1Bloom Filter算法

7.2改进的Bloom Filter算法——AdaptedBloomFilter算法

7.3防聚集抖动的CUSUM算法

7.4MULTOPS结构与MMULTOPS结构

7.4.1MULTOPS结构

7.4.2MMULTOPS结构

7.5模式聚集的研究

7.5.1TCP、UDP和ICMP三种包的分类方式

7.5.2TCP、UDP和ICMP三种聚集模式

7.6基于MMULTOPS结构的模式聚集数据管理

7.7基于MMULTOPS的检验系统的实现

7.8系统仿真与测试

7.8.1系统硬件配置及组网环境

7.8.2系统参数配置

7.8.3实验数据分析

7.9本章小结

第8章AMAT系统总体设计

8.1AMAT系统介绍

8.2AMAT总体设计和子模块划分

8.3异常流量识别模块

8.3.1数据包采样子模块

8.3.2地址聚集算法

8.3.3地址聚集算法改进

8.3.4基于AdaptedBloomFilter流量聚集子模块

8.3.5防聚集抖动的累积算法

8.3.6基于MCUMSUM流量累积子模块

8.3.7基于AFCAA的异常流量聚类子模块

8.4异常流量分类子模块

8.4.1异常流量分类子模块原型

8.4.2异常流量分类子模块的设计

8.4.3基于AdaptedMULTOPS的数据管理

8.5异常流量匹配与拒绝子模块

8.5.1异常流量反应流程框图及实现机理

8.5.2多层模式聚集

8.5.3“公平退火”算法

8.6本章小结

第9章AMAT系统详细设计

9.1软件框架及配置简介

9.1.1Netfilter在IPv4中的结构

9.1.2软件结构

9.2细化局部设计

9.2.1内核空间系统

9.2.2用户空间数据管理系统

9.3模块详细设计

9.3.1数据包采样设计说明

9.3.2流量强度聚集设计说明

9.3.3异常模式聚集设计说明

9.3.4DoS/DDoS防御规则生成设计说明

9.3.5目的地址识别设计说明

9.3.6规则执行及反馈设计说明

9.3.7系统信息输出设计说明

9.4本章小结

第10章系统安装及测试

10.1AMAT的软/硬件要求

10.2Linux软件路由器的配置

10.3AMAT的安装步骤

10.4AMAT的配置方法

10.5AMAT攻击端软件的安装和实现原理

10.6AMAT攻击端工具使用方法和日志查看

10.6.1攻击端工具使用方法

10.6.2内核日志文件

10.6.3用户层日志

10.7AMAT具体测试

10.7.1测试目标

10.7.2测试用例及预期效果

10.7.3TCP攻击部分

10.7.4UDP攻击部分

10.7.5ICMP攻击部分

10.7.6MIX攻击部分

10.8本章小结

参考文献