本书面向高速网络中的海量流量，结合骨干网中非对称路由和网络流量加密的真实场景，介绍基于流量分析的高速网络态势感知方法。包括高速网络中慢速端口扫描检测、DDoS攻击检测、DoH隧道攻击检测、物联网设备识别、服务流量分类、服务器状态感知以及隐蔽通道流量识别。最后给出了防御DDoS攻击的系统实现方法。本书内容针对高速网络实时流量处理需求给出了可实际应用的技术方案，适用于高等院校、科研院所的教学和研究，对相关领域的开发人员也具有参考价值。

程光，男，东南大学教授、博导，东南大学网络空间安全学院执行院长，计算机网络和信息集成教育部重点实验室主任、国家网络空间国际治理研究基地(东南大学)主任、中国计算机学会互联网专委会副主任、江苏省网络空间安全学会理事长、中国指挥控制学会网络空间安全专委会副主任。2017年被中央网信办评为“网络安全优秀教师”，入选江苏省“青蓝工程”、“333工程”、“六大人才高峰”、“华英青年学者”、“华英学者”。2018年获得国家教学成果一等奖，2014年获得江苏省科学技水奖二等奖，2021年获得江苏省科学技术一等奖。在网络安全、流量大数据、网络空间冶理等研究领域承担国家省部级科研项目30项。在国内外顶级会议和期刊发表学术论文100余篇，发表SCI索引论文20余篇，出版专著7部。获得授权发明专利22项，已经成功转化5项专利。

第1章 绪论
1.1 选题背景及意义
1.2 面临的挑战
1.2.1 高速的网络链路
1.2.2 非对称路由
1.2.3 加密的网络流量
1.2.4 多样的网络攻击手段
1.3 关键技术
1.3.1 数据集的构建
1.3.2 高速数据处理技术
1.4 本章小结
第2章 高速网络中慢速端口扫描检测
2.1 端口扫描概述
2.1.1 基于扫描目标分类
2.1.2 基于扫描流量协议分类
2.1.3 基于扫描速率分类
2.2 常用端口扫描执行工具介绍
2.3 总体框架
2.4 特征提取方法
2.4.1 特征选择过程
2.4.2 基于Sketch的特征提取过程
2.5 机器学习模型训练与应用
2.5.1 模型训练
2.5.2 模型应用
2.6 慢速端口扫描检测实例
2.6.1 数据集介绍
2.6.2 评价指标介绍
2.6.3 抽样率选择
2.6.4 内存消耗
2.6.5 Sketch的估计准确性
2.6.6 抽样率对检测性能的影响
2.6.7 SDS的处理速度
2.6.8 SDS长时间监控网络流量的能力
2.7 本章小结
第3章 高速网络中DDoS攻击检测
3.1 DDoS泛洪攻击
3.1.1 UDP Flood攻击
3.1.2 SYN Flood攻击
3.2 DDoS攻击中的IP地址欺骗
3.3 DDoS攻击检测方法
3.3.1 总体框架
3.3.2 攻击特征选择
3.3.3 流量的不对称性
3.3.4 报文速率
3.3.5 端址分布
3.4 基于Skelch的DDoS攻击特征统计方法
3.4.1 Sketch结构说明
3.4.2 特征统计函数
……
第4章 多层次网络信息融合DDoS攻击检测
第5章 基于单向流特征的DOH隧道攻击检测研究
第6章 高速网络中物联网设备识别研究
第7章 高速网络中服务流量分类
第8章 服务器状态感知
第9章 Tor隐蔽通道流量检测
第10章 高速网络中自适应DDoS攻击防御方法
第11章 基于动态目标防御技术的DDoS攻击防御方法
参考文献

网络态势感知通过对数
据的分析获知网络运行状态
和安全态势，在网络发生异
常之前检测到事件并进行积
极的防御。全方位的态势感
知要求网络管理者能从多种
数据源获取数据，并得到网
络节点、终端甚至用户的配
合，但在实际运行时管理者
往往无法具备这些条件，导
致系统无法发挥作用。因此
本书专注于通过网络流量分
析对高速网络进行态势感知
。使用网络流量信息进行态
势感知只需要对网络的管理
权限，不要求端系统和用户
的配合，对网络管理者来说
更具有可行性。此外，通过
对网络流量分析进行的态势
感知，不会对网络运行状态
造成干扰，可以获得网络用
户和攻击者的真实状况。
本书旨在探讨基于流量
分析的高速网络实时态势感
知和防御技术及其应用，为
读者提供全面、系统的解决
方案，帮助他们更好地理解
高速网络中流量分析面临的
关键问题及解决方案，以及
可以使用的防御方法。本书
的方法注重对高速网络的实
时监测，以提高网络管理和
维护的效率。通过系统分析
各种网络流量的特点，深入
研究如何在高速网络上进行
实时态势感知。同时，本书
将帮助读者深入地理解网络
防御的原理与实现，并能够
在实践中灵活应用相关技术
，提高网络防御的效率和精
度，保障网络的安全和稳定
。
本书的技术方案使用真
实网络数据进行训练和测试
，所提方案具有较好的实际
参考意义。然而，本书涉及
的内容不可能涵盖所有已知
网络安全事件的解决方案，
随着网络技术的发展和新型
协议的不断出现，网络流量
特征会不断变化，相应分析
技术也需要不断深入改进，
同时也会出现新的研究问题
。因此，本书旨在为网络安
全研究者和相关领域开发人
员提供研究的思路，在推动
高速网络实时态势感知和防
御方面起到抛砖引玉的作用
。
第1章首先介绍了本书选
题背景及意义，然后着重介
绍了基于流量分析进行高速
网络态势感知面临的挑战。
第2章介绍了高速网络中
慢速端口扫描检测方法。首
先介绍了基于端口扫描特点
选取的流量特征，然后介绍
了对流量特征进行记录和快
速提取的方法，使用机器学
习训练出的分类模型可在高
速网络流量中识别出慢速扫
描，实验结果表明该方法能
够以可接受的内存消耗在高
速网络中检测持续时间超过
60天的慢速端口扫描。
第3章介绍了面向高速网
络中存在IP欺骗的DDoS攻
击进行细粒度检测的方法。
首先分析了DDoS攻击中存
在的IP地址欺骗现象，以及
DDoS攻击的流量特征，然
后介绍了特征统计方法和检
测方法，并用实验验证。实
验结果表明该方法在面对高
速网络中具有IP欺骗的
DDoS攻击时，可以不受IP
欺骗的影响，有效识别攻击
流量。
第4章针对DDoS扫段攻
击的特点，提出了基于多层
次网络信息融合的DDoS攻
击检测方法。对该方法的整
体架构设计、多层次DDoS
攻击检测模型的训练方法和
实时检测方法进行了详细的
介绍。实验结果表明，在仅
使用很小内存的情况下，该
方法能快速、准确地检测出
传统的DDoS泛洪攻击和新
型的DDoS扫段攻击，并且
具备良好的实时性能。
第5章介绍了基于单向流
特征的Do}{隧道攻击检测
方法。详细介绍了该方法的
整体设计、特征选择和模型
训练，并进行了实验验证，
结果表明该方法能在攻击者
使用不同的隧道攻击工具和
不同的DoH查询时间间隔的
情况下，仍能在主干网背景
流量中准确检测出DoH隧道
攻击。
第6章介绍了基于深度学
习的高速网络中物联网设备
识别方法，该方法利用物联
网设备独特的周期性流量传
输模式，基于时间粒度提取
可伸缩流速率作为特征。通
过搭建深度学习模型，充分
学习设备流量的时空特征，
实现优秀的分类性能。实验
结果表明，该方法在高速网
络场景下，能够对物联网设
备流量进行准确识别。
第7章介绍了针对高速网
络中流量服务分类方法，该
方法通过网络服务流的数据
包大小分布概率构建流量特
征，使用两阶段聚类算法
(Two-Stage Cluster
Algoithm，TSC)来对高速网
络流量的特征进行聚类。实
验结果表明，该方法可以应
用在高速网络的服务分类任
务中，也可以对异常流量进
行识别。
第8章针对现有网络中丢
包测量面临的问题，介绍了
服务器的丢包率感知方法。
该方法分析了流量中能够反
映丢包状态的特征，使用数
据流方法快速从抽样流量数
据中提取出反映丢包状态的
流量特征，然后利用机器学
习训练的分类模型构建了丢
包检测模型。实验结果表明
，该方法可以部署在软路由
上对网络中的丢包情况进行
准确实时的检测。
第9章在分析两类常用的
Tor混淆技术工作原理的基
础上，提出了识别Tor混淆
流量的方法。首先针对两类
混淆技术的通信过程进行了
分析，选择了可用的特征，
然后设计了数据结构用于对
流量进行快速处理并提取特
征，使用机器学习训练的分
类模型可以在高速网中Tor
流量极低的场景中准确识别
出Tor流量。
第10章分析了当前高速
网络中DDoS攻击防御方法
存在的问题，提出了一种细