| 提要 | 第1-7页 |
| 第一章 绪论 | 第7-13页 |
| ·DoS 和DDoS 攻击简述 | 第7-8页 |
| ·DDoS 攻击的动机 | 第8-9页 |
| ·DDoS 攻击问题的严重性 | 第9-11页 |
| ·DDoS 攻击产生的危害 | 第9-10页 |
| ·检测和防御DDoS 攻击的复杂性 | 第10-11页 |
| ·本文的主要工作 | 第11-13页 |
| 第二章 DDoS 攻击的原理和典型工具分析 | 第13-25页 |
| ·DDoS 攻击原理 | 第13-21页 |
| ·DDoS 攻击网络拓扑结构 | 第13-17页 |
| ·DDoS 攻击方式 | 第17-21页 |
| ·典型DDoS 攻击工具分析 | 第21-23页 |
| ·Trinoo | 第21-22页 |
| ·TFN(Tribe Flood Network) | 第22页 |
| ·TFN2K | 第22-23页 |
| ·Stacheldraht | 第23页 |
| ·Trinity | 第23页 |
| ·DDoS 攻击的发展趋势 | 第23-25页 |
| 第三章 基于相似度的DDoS 攻击的形式化分类方法 | 第25-36页 |
| ·引言 | 第25页 |
| ·当前DDoS 攻击的分类方法及存在的问题 | 第25-26页 |
| ·攻击的形式化描述 | 第26-29页 |
| ·特征集合 | 第27页 |
| ·特征树的二进制编码及其权重分配 | 第27-28页 |
| ·攻击样本集合 | 第28页 |
| ·三元组序列 | 第28-29页 |
| ·相似度 | 第29-30页 |
| ·特征距离 | 第29-30页 |
| ·样本距离 | 第30页 |
| ·类距离 | 第30页 |
| ·相似度 | 第30页 |
| ·系统聚类法 | 第30-31页 |
| ·实验 | 第31-35页 |
| ·特征树和三元组序列 | 第31-33页 |
| ·相似度矩阵和聚类 | 第33-35页 |
| ·实验结果分析 | 第35页 |
| ·本章小结 | 第35-36页 |
| 第四章 基于MC-HMM 源端检测DDoS 攻击 | 第36-57页 |
| ·引言 | 第36页 |
| ·DDoS 攻击源端检测方法的现状及问题 | 第36-38页 |
| ·隐马尔可夫模型(Hidden Markov Model) | 第38-45页 |
| ·基本参数和拓扑结构 | 第38-41页 |
| ·三个基本问题 | 第41页 |
| ·主要算法 | 第41-45页 |
| ·Multi-stream Combined HMM 模型(MC-HMM) | 第45-46页 |
| ·MC-HMM 模型及特点 | 第45-46页 |
| ·MC-HMM 模型描述 | 第46页 |
| ·多维观测特征抽取 | 第46-49页 |
| ·TCP 标志位 | 第47页 |
| ·IP 包头ID 字段 | 第47-48页 |
| ·S-D-P 特征 | 第48-49页 |
| ·攻击的检测和判定 | 第49-51页 |
| ·基于MC-HMM 检测的基本假设 | 第49页 |
| ·被检测序列的预处理 | 第49页 |
| ·攻击判定算法 | 第49-50页 |
| ·实时调整和更新阈值Threshold | 第50-51页 |
| ·MC-HMM 检测和判定流程 | 第51页 |
| ·实验 | 第51-56页 |
| ·MC-HMM 输出概率在正常和攻击情况下的比较实验 | 第52页 |
| ·误报率和漏报率的比较实验 | 第52-53页 |
| ·平均检测率比较实验 | 第53-54页 |
| ·训练和检测时间讨论 | 第54-56页 |
| ·本章小结 | 第56-57页 |
| 第五章 结论与进一步工作 | 第57-59页 |
| ·完成的工作 | 第57-58页 |
| ·进一步的工作 | 第58-59页 |
| 参考文献 | 第59-63页 |
| 攻读硕士学位期间完成的主要科研项目和发表的论文 | 第63-64页 |
| 摘要 | 第64-66页 |
| Abstract | 第66-68页 |
| 致谢 | 第68页 |
