本书第1章首先介绍了RoQ攻击的主要研究背景，对当前相关研究现状进行了总结、归类与分析。第2章对RoQ攻击的原理进行了详细介绍，对目前已提出的各种RoQ攻击方式进行了分类描述和建模。第3，4，5，6章结合其攻击特征及规律，分别对RoQ攻击的单点检测、协同检测、主动防御方法进行了探讨，介绍了一些检测和防范方法，并通过仿真模拟实验对这些防范方法的有效性进行了验证，对检测性能进行了分析。第7，8章对特定网络环境下RoQ攻击存在的可能性进行了讨论。第9章总结了全书的内容，并展望了未来技术的发展趋势。

降质服务(Reduction of Quality ，RoQ)攻击是近年来出现的一类新型攻击，与传统洪泛式拒绝服务攻击相比，RoQ攻击具有攻击效率高、难察觉和难检测等特点。RoQ攻击不像DoS攻击那样需要维持高速率的攻击流，而是利用目标系统中适应性控制机制本身所存在的安全漏洞，通过周期性地发送攻击脉冲，降低目标系统的运行效率。由于RoQ攻击的平均速率低，目标系统有可能性能被长时间地侵害而毫无察觉，因此RoQ攻击的隐蔽性更强，且难以用已有的方法进行防范。
RoQ攻击的威胁及应对技术研究将成为另一个重要研究课题与难点，及时检测和防范降质服务攻击是保证网络计算环境安全的重要前提。目前国内对于降质服务攻击的研究刚刚起步，本书将针对RoQ攻击，研究其攻击形成原理，归纳此类攻击的特征，并在此基础上研究检测和防范RoQ攻击的方法，为网络的可靠性和可信性提供安全保证机制。

拒绝服务（Denial of Service,DoS）攻击一直是Internet面临的最为严峻的威胁之一。它主要通过连续向攻击目标发送超出其处理能力的过量数据，消耗其有限的网络链路或操作系统资源，使之无法为合法用户提供有效服务。在过去的几年中，DoS攻击技术不断发展，造成的破坏性也越来越大。但近年来，出现了一类近似DoS攻击的新型攻击——降质服务（Reduction of Quality，RoQ）攻击。与传统DoS攻击相比，RoQ攻击的攻击效率更高、隐蔽性更强、检测难度更大、更具有威胁性。
　　传统的DoS攻击尽管破坏性很大，但是其洪泛式、高频率、完全拒绝服务等特征致使其与正常网络流量相比具有一种异常统计特性，这样对其进行检测相对比较简单。RoQ攻击与DoS攻击不同，其攻击目的不再是使目标系统完全丧失对正常请求的服务能力，而是降低目标系统对正常请求的服务质量。RoQ攻击效果虽然不及DoS攻击明显，但隐蔽性更强，目标系统可能长时间地被RoQ攻击侵害而毫无察觉。而且，RoQ攻击不再需要维持高速率攻击流来耗尽受害者端所有可用资源，而是利用网络或终端系统常见的自适应机制中存在的安全漏洞，通过间歇性地发送高强度攻击脉冲，降低受害者端的服务性能。RoQ攻击可以看做是在DoS攻击基础上的改进形式，与DoS攻击相比，RoQ攻击更加彻底地做到了有的放矢，因此攻击效率有了大幅度的提高，且更加有效地躲避了检测和防范。RoQ攻击的提出给攻击防范问题的研究带来了新的挑战。
　　RoQ攻击的威胁及应对技术研究将成为另一个重要研究课题与难点，及时检测和防范降质服务攻击是保证网络计算环境安全的重要目标。目前国内对于降质服务攻击的研究刚刚起步。本书针对RoQ攻击，分别从攻击原理、攻击特征分析、攻击检测、攻击防御等方面，结合武汉大学网络安全团队的多年研究积累，进行了全面介绍。
　　本书共分9章，各章的主要内容组织如下：
　　第1章为绪论。该章介绍了本书的主要研究背景及研究意义；对当前相关研究现状进行了总结、归类与分析；给出了本书的研究目标和研究内容。
　　第2章详细介绍了RoQ攻击原理，对目前已提出的各种RoQ攻击方式进行了分类描述和建模。与传统DoS持续性攻击方式不同，RoQ攻击在短暂时间段内发送脉冲式攻击流，攻击脉冲必须与系统的恢复时间同步，以达到低强度、高效能的攻击目的。因此，精确选择攻击脉冲发送时间对攻击效果来说非常重要。该章主要对各种RoQ攻击的目标系统及攻击同步方法进行研究，并通过在NS2平台上进行的仿真实验对各种RoQ攻击的效果进行了分析。
　　第3章结合RoQ的攻击特征及规律，对Internet正常网络流与RoQ攻击流的差异进行了分析研究。首先介绍了一种基于小波特征提取的RoQ攻击单点检测方法，并详细讨论从整体框架到各部件的设计与实现。然后在NS2上进行仿真实验，评估系统的检测性能。
　　第4章结合RoQ的攻击特征及规律，对Internet正常网络流与RoQ攻击流的差异进行了分析研究，介绍了一种基于支持向量机的RoQ攻击单点检测方法。检测系统对攻击流量进行时频双域特征分析，使用CUSUM和离散傅里叶变换的方法对网络流量进行特征提取，将攻击的检测归结为一个多分类问题。引入支持向量机来解决这一分类问题，通过将获取到的实时网络流量归入不同的类，来判断该网络流量中是否含有攻击成分。由于综合考虑了时频两域中的多个特征，所以不仅能够对多种类型的攻击（DoS攻击、周期固定的RoQ攻击、周期变化的 RoQ攻击）进行检测，而且保证了检测的准确率。NS2上模拟实验结果表明，该检测方法具有高检测率和低误警率，并且能检测出RoQ变种攻击，消耗计算资源少，具有良好的实用价值。
　　第5章对分布式RoQ攻击的检测方法进行研究。针对DRoQ攻击特点，介绍了一种位于中间网络的分布式协同检测方法DCRD（Distributed Collaborative RoQ Detection）。该章在单点小波流量特征提取的基础上，介绍了一种基于D-S证据理论的多点协同检测方法——通过各检测结点间的协同交互，组合各种特征证据对攻击进行综合判决。各检测结点之间采用分布式协同算法实现信息交互。仿真实验结果表明，DCRD能够以较高精确度对分布式RoQ攻击进行检测，并于靠近攻击源处对其进行响应，有效减小了攻击及防范机制本身对合法流量的影响。
　　第6章以针对内容自适应机制的RoQ攻击为例，研究了针对终端系统的RoQ攻击免疫方法。本章介绍了一种改进的内容自适应机制，针对传统的内容自适应机制对于RoQ攻击防御能力差的缺陷，将Q学习机制引入到内容自适应决策流程中。通过对攻击态势的实时感知，Q学习机制及时做出决策，对内容自适应机制的相应参数进行智能调整，实现了对RoQ攻击的免疫。本章最后通过实际网络实验对这一机制进行了验证。实验结果表明，所介绍的免疫机制能够有效地降低RoQ攻击对内容自适应机制决策的影响，从而保证其对外的服务质量。
　　第7章探索结构化P2P网络中RoQ攻击实现方式，通过周期性组织受控结点恶意退出，构造高搅动环境，大大地降低了系统的查询成功率，并增加了成功查询的时延。p2psim上的仿真实验结果表明了对攻击影响理论估计的有效性。同时，也讨论了对这种攻击的检测和防范。
　　第8章对无线网络中的RoQ攻击进行详细分析，同时探讨相应的检测与防范方法。考虑到Adhoc网络是目前应用最为广泛的无线网络，我们以其为例分析无线网络环境下的RoQ攻击。
　　第9章对本书进行总结，对RoQ攻击相关研究中有待解决的问题进行了思考，并展望了后续工作。
　　本书所介绍的研究工作是经过武汉大学计算机学院众多科研人员多年学习、研究和工程实践沉淀的成果。参与本研究工作的人员包括：曹强、韩奕、钟海、陈伟、董伟、刘建博等；另外，钟海在本书的校正、协助编辑整理、修改书稿等方面做了大量工作，在此对他们表示衷心的感谢。
　　本书是国内第一部专门针对RoQ攻击的研究著作，对相关领域的研究人员具有一定的借鉴意义和参考价值。本书的出版得到国家自然科学基金“低速率的拒绝服务攻击模型和防范研究”(2007,项目编号: 60642006)、国家自然科学基金“面向低速率拒绝服务攻击防范的安全适应性机制研究”(2008,项目编号：60773008)、国家自然科学基金可信软件重大研究计划项目“可信编译理论与实现方法研究” (2009,项目编号：90818018)和湖北省自然科学基金计划重点项目“可信计算的软件理论与关键技术研究”（2009，项目批准号：2008CDA007）等项目的资助，在此一并表示感谢。
　　降质服务攻击原理及其检测防范方法是当前处于科学前沿的论题，许多理论和思想还处于探索阶段，由于作者的水平和经验有限，错误和不妥之处在所难免，恳请读者给予批评指正，共同推进计算机网络安全研究的进步和发展。
作者
2011年4月于武汉

计算机\安全

降质服务(Reducation of Quality ，RoQ)攻击是近年来出现的一类新型攻击，与传统洪泛式拒绝服务攻击相比，RoQ攻击具有攻击效率高、难察觉和难检测等特点。RoQ攻击不像DoS攻击那样需要维持高速率的攻击流，而是利用目标系统中适应性控制机制本身所存在的安全漏洞，通过周期性地发送攻击脉冲，降低目标系统的运行效率。由于RoQ攻击的平均速率低，目标系统有可能性能被长时间地侵害而毫无察觉，因此RoQ攻击的隐蔽性更强，且难以用已有的方法进行防范。
　RoQ攻击的威胁及应对技术研究将成为另一个重要研究课题与难点，及时检测和防范降质服务攻击是保证网络计算环境安全的重要前提。目前国内对于降质服务攻击的研究刚刚起步，本书将针对RoQ攻击，研究其攻击形成原理，归纳此类攻击的特征，并在此基础上研究检测和防范RoQ攻击的方法，为网络的可靠性和可信性提供安全保证机制。

前言
第1章绪论
11研究背景及意义
12RoQ攻击相关研究现状
121攻击方法研究
122攻击检测防范方法研究
13研究目标及内容
第2章降质服务攻击原理及攻击建模
21引言
22降质服务攻击的基本原理
221针对网络资源的RoQ攻击
222针对终端系统的RoQ攻击
223降质服务攻击的其他实现形式
23仿真实验与效果分析
231针对TCP拥塞控制机制的RoQ攻击
232针对路由器主动队列管理机制的RoQ攻击
24本章小结
第3章一种基于小波分析的RoQ攻击单点检测方法
31入侵检测系统与网络流量分析
32基于小波特征提取的RoQ检测框架
33小波分析原理及实现算法
331小波分析的数学原理
332二进正交小波变换的实现算法：Mallat算法
333小波分析的时频性质
34RoQ攻击特征提取
35采用BP网络的综合诊断模块
351人工神经元模型
352神经网络与BP模型
353BP网络的学习算法
354BP网络设计的关键问题
36基于小波分析的攻击源追踪策略
361攻击数据包定位
362攻击源追踪
37仿真实验与检测系统性能分析
371NS简介
372Internet中RoQ攻击检测系统
373检测系统参数选取与性能测试
38本章小结
第4章一种基于支持向量机的RoQ攻击时频双域单点检测方法
41引言
42相关工作介绍
43RoQ攻击流特征分析
431攻击流特征分析
432包过程及其均值的定义
44基于CUSUM和DFT的RoQ攻击特征提取
441基于CUSUM的攻击流时域统计量分析
442基于DFT的攻击流频域特征分析
45基于支持向量机的RoQ攻击诊断方法
451支持向量机原理
452攻击诊断方法
46仿真实验结果与检测性能分析
461实验配置及参数设置
462攻击特征提取
463建立数据集
464检测性能分析
47本章小结
第5章基于DS证据理论的分布式RoQ攻击协同检测方法
51引言
52分布式RoQ攻击方法
53DRoQ分布式协同检测方法
531DCRD检测系统总体架构
532DRoQ攻击流特征本地提取
533基于DS证据理论的DRoQ攻击判决方法
534协同通信
54仿真实验结果分析
541基本概率分配函数参数的确定
542特征综合判决
55本章小结
第6章一种基于Q学习的RoQ攻击系统自免疫方法
61引言
62内容自适应机制原理及脆弱性分析
621内容自适应机制原理
622内容自适应机制RoQ脆弱性分析
63一种基于Q学习的改进内容自适应机制
631Q学习原理介绍
632改进的自适应机制及算法
64仿真实验与效果分析
641实验环境及参数配置介绍
642实验结果及其分析
65本章小结
第7章结构化P2P网络中的RoQ攻击及其防范
71P2P网络概述
72Chord及其他结构化P2P网络
721Chord——简单、精确的环形P2P网络
722其他结构化P2P网络
73结构化P2P网络的动态性和容错性
731结构化P2P网络的动态性
732结构化P2P网络的容错性
74结构化P2P网络中的RoQ攻击原理分析
741RoQ攻击的一般模型
742DHT中的RoQ攻击原理
743DHT中的RoQ攻击影响分析
75结构化P2P网络中的RoQ攻击防范策略
76结构化P2P网络中的RoQ攻击效能分析
761p2psim简介
762结构化P2P网络中的RoQ攻击效果评估
77本章小结
第8章Adhoc网络中的RoQ攻击及其防范
81Adhoc网络及其MAC接入协议
811CSMA/CA协议
812信道预约机制
82攻击分析
821攻击模型
822攻击形式
823攻击效果分析
83检测方法
831检测攻击方违反协议的行为
832确认RoQ攻击
84Adhoc网络中的RoQ攻击效果
841攻击周期和脉冲长度对攻击效果的影响
842攻击脉冲强度对攻击效果的影响
843攻击方的 CWMin、CWMax值对RoQ攻击流的影响
844攻击方位置对攻击效果的影响
85本章小结
第9章总结及展望
91总结
92展望
参考文献