杨家海，毕业于清华大学计算机系，获工学博士学位，现为清华大学网络科学与网络空间研究院长聘教授、博士生导师、网络应用及安全研究团队负责人。主要从事互联网体系结构、网络管理与测量、网络空间安全及态势感知等方面的教学和科研工作，先后承担了近30项国家重点科研项目；作为主力成员获6项省部级的科技进步奖和1项省部级技术发明奖；在国内外核心期刊及重要国际会议上发表论文200多篇；取得了30多个软件著作权登记及10多项国家发明专利；是中国计算机学会CCF和国际电气和电子工程师学会IEEE的高级会员；是多个国际重要学术期刊（SCI索引）的编委。1999-2001年在美国乔治梅森大学及贝尔实验室当访问学者。

第1章 引言
1.1 网络安全的重要性
1.1.1 网络安全问题日益突出
1.1.2 网络空间安全的重要意义
1.2 互联网与现代计算机网络
1.2.1 Internet的发展简史
1.2.2 Internet分层结构
1.2.3 TCP/IP协议簇
1.2.4 Internet协议簇的安全缺陷
1.3 互联网络的脆弱性
1.3.1 体系结构的因素
1.3.2 系统实现方面的因素
1.3.3 运行管理和维护的因素
1.3.4 补丁与补丁的局限性
1.4 拒绝服务攻击问题的严重性
1.5 拒绝服务攻击、网络异常及其检测
1.6 网络入侵检测与网络异常检测
1.7 本章小结
参考文献
第2章 拒绝服务攻击及产生的机理分析
2.1 拒绝服务攻击概述
2.2 拒绝服务攻击的分类及其原理
2.2.1 基本的攻击类型
2.2.2 根据利用网络漏洞分类
2.2.3 根据攻击源分布模式分类
2.2.4 根据攻击目标分类
2.2.5 面向不同协议层次的拒绝服务攻击
2.2.6 根据攻击增强技术分类
2.2.7 根据攻击流量速率的特性分类
2.2.8 根据攻击造成的影响分类
2.3 僵尸网络与拒绝服务攻击
2.3.1 僵尸网络的概念
2.3.2 僵尸网络的构建和扩张
2.3.3 僵尸网络的拓扑特性及通信协议
2.3.4 僵尸网络控制模型
2.3.5 僵尸网络的命令与控制系统
2.3.6 僵尸网络在DDoS攻击中的作用
2.4 IP伪造与拒绝服务攻击
2.4.1 IP欺骗与序列号预测
2.4.2 基于IP伪造的网络安全攻击
2.5 典型的拒绝服务攻击
2.5.1 基于漏洞的拒绝服务攻击
2.5.2 洪泛式拒绝服务攻击
2.5.3 反射放大型攻击
2.5.4 其他类型的攻击
2.6 DDoS攻击的一般步骤
2.6.1 搜集漏洞信息
2.6.2 构建和控制DDoS僵尸网络
2.6.3 实际攻击
2.7 本章小结
参考文献
第3章 常见的DDoS攻击及辅助攻击工具
3.1 攻击实施的基本步骤及对应工具概述
3.2 信息获取工具
3.2.1 网络设施测量工具
3.2.2 嗅探工具
3.2.3 网络扫描工具
3.3 攻击实施工具
3.3.1 木马工具
3.3.2 代码注入工具
3.3.3 分组伪造工具
3.3.4 DDoS攻击控制工具
3.4 本章小结
参考文献
第4章 异常检测的数学基础
4.1 网络流量的自相似性
4.2 概率论
4.2.1 随机变量和概率分布
4.2.2 随机向量
4.2.3 大数定理与中心极限定理
4.3 数理统计
4.3.1 最大似然估计与矩估计
4.3.2 置信区间
4.3.3 假设检验
4.4 随机过程
4.4.1 马尔可夫（Markov）过程
4.4.2 正态随机过程
4.4.3 独立增量过程
4.4.4 计数过程
4.4.5 泊松（Poisson）过程
4.5 信号处理技术
4.5.1 倒频谱
4.5.2 小波分析
4.6 机器学习
4.6.1 线性回归分析
4.6.2 费舍尔（Fisher）线性分类器
4.6.3 Logistic回归分类模型
4.6.4 BP网络
4.6.5 支持向量机
4.6.6 概率图模型
4.6.7 混合模型与EM算法
4.7 数据挖掘
4.7.1 决策树
4.7.2 朴素贝叶斯分类器
4.7.3 近邻分类器
4.7.4 关联分析
4.7.5 聚类分析
4.8 本章小结
参考文献
第5章 拒绝服务攻击检测
5.1 异常检测的基本思路与特征选择
5.2 基于贝叶斯思想的检测方法
5.2.1 基于朴素贝叶斯分类器的检测算法
5.2.2 基于贝叶斯网的检测算法
5.2.3 基于混合模型和EM算法的检测算法
5.3 基于近邻的检测算法
5.3.1 K近邻检测算法
5.3.2 基于密度的检测算法
5.3.3 其他近邻算法
5.4 基于回归拟合的检测算法
5.4.1 基于线性回归方程的检测算法
5.4.2 基于LMS滤波器的检测算法
5.5 基于聚类的检测算法
5.5.1 基于分划聚类的检测算法
5.5.2 基于层次聚类的检测算法
5.5.3 基于新型聚类的检测算法
5.6 基于关联分析的检测算法
5.7 基于神经网络的检测算法
5.8 基于支持向量机的检测算法
5.8.1 基于传统支持向量机的检测算法
5.8.2 基于单类支持向量机的检测算法
5.8.3 基于贝叶斯支持向量机的检测算法
5.9 基于决策树的检测算法
5.9.1 基于ID3决策树的检测算法
5.9.2 基于C4.5决策树的检测算法
5.9.3 基于CART决策树的检测算法
5.9.4 基于随机决策森林的检测算法
5.10 本章小结
参考文献
第6章 低速率拒绝服务攻击检测
6.1 概述
6.2 LDoS攻击原理
6.2.1 TCP/IP的拥塞控制机制及安全性分析
6.2.2 基于TCP拥塞控制机制的LDoS攻击
6.2.3 基于IP拥塞控制机制的LDoS攻击
6.2.4 目标BGP的LDoS攻击
6.3 LDoS与DDoS攻击的区别与联系
6.3.1 攻击模型比较
6.3.2 攻击流特性比较
6.4 LDoS

杨家海、安常青编著的《网络空间安全(拒绝服务攻击检测与防御)》在简单回顾了互联网发展历史、互联网体系结构及分层协议以后，从分析导致互联网先天脆弱性的系统性因素入手，系统而全面地介绍了网络异常检测和拒绝服务攻击检测研究领域涉及的各个方面的内容，包括拒绝服务攻击及产生的机理分析、常见的DDos攻击及辅助攻击工具、异常检测的数学基础、拒绝服务攻击检测、低速率拒绝服务攻击检测、拒绝服务攻击的防御、基于大数据技术的测量平台与检测系统等内容，并在本书最后总结了在网络空间安全方面目前面临的一些挑战，希望给网络空间安全研究的初学者提供一些选题的参考。全书尽力反映了近几年来拒绝服务攻击检测领域的最新研究成果并逐章提供了详尽的参考文献。
本书既可以作为计算机网络、网络空间安全等相关专业本科生及研究生的参考教材，也可供广大网络及网络运行管理技术的科研人员、网络工程技术人员及网络运行管理维护人员参考阅读。