分布式拒绝服务攻击(distributed denial of service attack,简称DDoS)是一种网络恶意行为,攻击者通过消耗攻击目标的资源,达到阻止目标(攻击对象)为合法用户提供服务目的。一般的DDoS攻击均是基于傀儡(僵尸)主机进行的。当参与DDoS攻击的主机规模达到一定程度之后,攻击者为了解决僵尸主机管理的问题,使用了相应的网络技术,即僵尸网络。僵尸网络内部需要使用特定的方式来维持通讯,心跳是一种常规的方式,因此本文的研究工作从心跳检测展开。首先研究了心跳流检测的方法,然后通过自行设计的一种心跳关联图对心跳网络间的关联关系进行了研究,在此基础上,提出了一个基于UDP心跳网络的主机恶意水平模型,并将其部署在CERNET南京主节点网络边界,进行了面向实测流量的测试。为了获取实际流量中的心跳流数据,论文首先建立了一个面向全局流量的通用报文数据流平台Violet。该平台对流经CERNET南京主节点网络边界的全流量数据进行采集,为流量分析工作提供定长的全流量报文数据流和基于特定规则过滤出的完整报文数据流两种数据源。随后,论文讨论了心跳网络的定义和应用层心跳的特征,认为其具有“小报文”“低频”“短间隔”“连续性”的特点。以此为基础,设计了一组检测规则,并将其实现在一个UDP心跳流检测算法中。将该算法部署在CERNET南京主节点网络边界实际运行,检测出了大量的心跳网络。之后,为了讨论主机属性在心跳网络间的传播关系,论文给出了一组心跳网络相关的定义,包括心跳网络,心跳网络间的关联,心跳关联图等。基于这些定义设计了一个心跳关联图构建算法,算法以心跳流检测结果为输入,可以给出网络中心跳主机间的关联关系。之后,根据同一个心跳网络中,成员主机的行为存在相关性的特点,基于心跳关联图,提出了一种基于心跳网络的主机属性传播算法,作为心跳关联图的一个应用,并讨论了主机属性传播算法所应具有的基本特性,包括“反身性”,“有穷性”,“数量倾向”和“质量倾向”等。最后,论文根据IDS提供的DDoS攻击信息,给出了一个主机恶意属性的定义,并提出了一种根据主机DDoS攻击行为,来评价主机初始恶意属性值的算法。论文还在PageRank算法的基础上,设计了一个面向心跳关联图的属性传播算法。通过将该算法应用在心跳关联图中,可以给出关联图中所有主机的恶意水平。为了检测算法在实际环境中的效果,论文以一个运行在CERNET南京主节点网络边界的IDS系统提供的DDoS攻击检测信息和在相同位置进行的UDP心跳流检测结果为数据源,对恶意水平模型进行了面向实际网络环境的检测。实验结果表明,该模型能较为准确的找到未被IDS定位到的DDoS恶意主机。