《下一代互联网DDoS防御关键技术研究》是依托天津理工大学，由王劲松担任项目负责人的面上项目。

拒绝服务攻击尤其是分布式拒绝服务攻击由于其攻击强度高、易伪造等特点已成为计算机网络最严重的安全威胁之一。本项目研究下一代互联网DDoS防御关键技术，主要内容如下：⑴研究Capabilities机制的完整性，包括研究防御DDoS攻击的Capabilities机制的框架、基于Capabilities机制与Filter机制的防御DDoS攻击的联合防御体系。⑵研究Capabilities机制的安全性与灵活性，包括如何防御Capabilities机制引入的DoC攻击、如何防御复杂的DDoS攻击（如：短时间的突发DDoS攻击）以及如何增强Capabilities机制灵活性以适应不同数据的传输。⑶研究Capabilities机制的效率、网络性能以及可扩展性，包括如何提高Capabilities机制的效率、设计有效的异常流量检测机制、合理的丢包策略以及应用控制学理论进行拥塞控制以提高网络性能。

随着计算机与网络技术的迅速发展，网络攻击问题也日益严重。网络攻击根据产生的后果一般可分为两类：一类是破坏、窃取型攻击，即非法入侵受害者系统直接 对受害者的软硬件进行破坏使其不能正常工作，或者盗取或修改受害者的重要信息(如：账号或密码等)；另一类是资源消耗型攻击，通过大量消耗受害者的资源(如：内存、处理能力、带宽等)使其无法正常工作。分布式拒绝服务(Distributed Denial of Service，DDoS)则是将这两种攻击结合起来，首先通过非法入侵大量其他主机已达到控制这些主机的目的，再利用这些受控主机组成僵尸网络对受害者进行资源消耗型攻击。在针对网络安全的各种威胁中，DDoS攻击已成为目前最严重的安全威胁之一。主要研究内容：项目组旨在研究在下一代互联网架构下的DDoS攻击与防御的关键技术。提出了防御DDoS 攻击的Capabilities 机制的框架，该框架包括3个重要组成部分：流量分类、执行策略以及Capabilities的管理。研究了Capabilities 机制在决策、管理和执行以及其实施的位置、时机和策略；研究了Capabilities策略部署位置的不同导致的防御DDoS 攻击的效果；采用轻量级的多级Capabilities 机制解决了方案在有效性与安全性之间的权衡问题；提出了分级的队列管理机制来防御针对攻击者通过大量的请求包淹没合法用户正常请求的攻击（即DoC攻击）；研究了Capabilities机制下流量控制机制与效率研究，在1个假设，3个定义的基础上，提出并严格证明了2个定理，以此说明项目组提出的解决方案的合理性与科学性；本项目研究的是网络和信息安全的核心问题，这既是国内外研究的热点同时也是难点，因此充满机遇和挑战，具有很强的理论意义和现实意义。项目执行过程正常顺利，取得了较好的研究成果：累计发表22篇，其中包括IEEE Transactions on Intelligent Transportation Systems、Mathematical Problems in Engineering 等国际期刊9篇，在COMPSAC2016等国际会议论文2篇，《通信学报》等中文核心期刊 7 篇；累计进入SCI检索6篇，进入EI检索9篇；申请受理发明专利2个。