| 摘要 | 第1-6页 |
| Abstract | 第6-8页 |
| 目录 | 第8-12页 |
| 第一部分 入侵检测技术的研究现状及相关问题 | 第12-28页 |
| 第1章 绪论 | 第13-18页 |
| ·课题研究的意义 | 第13-15页 |
| ·研究的主要内容和思路 | 第15页 |
| ·研究的创新之处 | 第15-17页 |
| ·论文结构 | 第17-18页 |
| 第2章 入侵检测技术的研究现状 | 第18-28页 |
| ·侵检测及IDS的定义 | 第18页 |
| ·理想的IDS | 第18-19页 |
| ·入侵检测的一般模型 | 第19-20页 |
| ·IDS的分类 | 第20-22页 |
| ·异常检测和滥用检测 | 第21-22页 |
| ·基于网络的检测与基于主机的检测 | 第22页 |
| ·常用的入侵检测技术 | 第22-24页 |
| ·统计方法 | 第22-23页 |
| ·专家系统 | 第23页 |
| ·神经网络 | 第23页 |
| ·状态转移分析 | 第23页 |
| ·petri网 | 第23-24页 |
| ·计算机免疫 | 第24页 |
| ·Agent | 第24页 |
| ·其他检测技术 | 第24页 |
| ·IDS的数字证据功能相关研究 | 第24-25页 |
| ·IDS的警报及其日志中的事件相关性技术的相关研究 | 第25-26页 |
| ·目前研究的热点和难点 | 第26-28页 |
| 第二部分 异常入侵检测模型研究 | 第28-71页 |
| 第3章 基于系统调用宏的马尔可夫链异常检测模型 | 第29-40页 |
| ·系统调用宏集合的自动生成算法 | 第30-32页 |
| ·第一部分的合成步骤 | 第31页 |
| ·第二部分的合成步骤 | 第31-32页 |
| ·系统调用宏的自动装配算法 | 第32-33页 |
| ·Macro MCM的异常入侵检测模型及实现 | 第33-35页 |
| ·收集审计数据 | 第33页 |
| ·自动生成系统调用宏 | 第33-34页 |
| ·计算状态初始概率向量Q和状态转移概率矩阵P | 第34-35页 |
| ·检测 | 第35页 |
| ·Macro、First-order和Second-order MCM的比较研究 | 第35-38页 |
| ·ROC曲线比较 | 第36-37页 |
| ·存储空间比较 | 第37-38页 |
| ·计算时间的比较 | 第38页 |
| ·讨论 | 第38-39页 |
| ·小结 | 第39-40页 |
| 第4章 基于二层马尔可夫链异常检测模型 | 第40-54页 |
| ·相关研究 | 第40-41页 |
| ·基于系统调用的IDS定义 | 第41-42页 |
| ·传统的马尔可夫随机过程检测模型 | 第42-43页 |
| ·两层马尔可夫链异常检测模型 | 第43-47页 |
| ·审计数据 | 第43页 |
| ·两层马尔可夫链 | 第43-44页 |
| ·正常行为轮廓 | 第44-46页 |
| ·检测异常 | 第46页 |
| ·分类错误 | 第46-47页 |
| ·原型系统和实验结果 | 第47-52页 |
| ·训练数据和测试数据 | 第47-48页 |
| ·识别请求 | 第48-49页 |
| ·学习wu-ftpd的正常行为轮廓 | 第49页 |
| ·多少训练迹数据才能足够 | 第49-50页 |
| ·选择合理的κ和ε | 第50-51页 |
| ·检测性能比较 | 第51-52页 |
| ·本章小结 | 第52-54页 |
| 第5章 基于系统调用分类的异常检测模型 | 第54-71页 |
| ·系统调用分类 | 第55-57页 |
| ·检测模型 | 第57-62页 |
| ·审计数据 | 第57页 |
| ·构建正常行为轮廓 | 第57-60页 |
| ·精炼规则数据库 | 第60-62页 |
| ·检测异常 | 第62页 |
| ·原型系统和实验结果 | 第62-67页 |
| ·迹数据 | 第62-63页 |
| ·创建一个健壮的规则数据库 | 第63-64页 |
| ·检测性能 | 第64-65页 |
| ·增量学习 | 第65-67页 |
| ·讨论 | 第67-69页 |
| ·检测模型对被保护进程的性能影响 | 第67页 |
| ·扩展性 | 第67-68页 |
| ·有大量用户的应用程序 | 第68页 |
| ·不足之处 | 第68-69页 |
| ·相关研究 | 第69-70页 |
| ·小结 | 第70-71页 |
| 第三部分 IDS的数字证据功能研究 | 第71-107页 |
| 第6章 数字证据中的密码学技术研究 | 第72-91页 |
| ·改进的Zhang加密方案 | 第72-79页 |
| ·Zhang加密方案 | 第72-74页 |
| ·对Zhang加密方案的一种攻击 | 第74-76页 |
| ·改进的方案 | 第76-78页 |
| ·性能分析 | 第78-79页 |
| ·身份认证技术 | 第79-84页 |
| ·背景 | 第80-81页 |
| ·新的身份鉴别协议 | 第81-82页 |
| ·完备性、公正性和零知识性 | 第82-84页 |
| ·数字签名技术 | 第84-90页 |
| ·数字签名 | 第85-86页 |
| ·多人数字签名 | 第86-87页 |
| ·(N,T)门限签名 | 第87-90页 |
| ·小结 | 第90-91页 |
| 第7章 基于IDS的可靠数字证据协议 | 第91-107页 |
| ·约定与符号 | 第92-93页 |
| ·SK协议安全日志构造规则 | 第93页 |
| ·系统组成 | 第93-94页 |
| ·数字证据的生成 | 第94-101页 |
| ·数字证据生成规则 | 第94-96页 |
| ·子密钥的生成 | 第96-99页 |
| ·加入一个新的证据记录 | 第99-100页 |
| ·创建数字证据文件 | 第100-101页 |
| ·关闭数字证据文件 | 第101页 |
| ·数字证据有效性验证 | 第101页 |
| ·数字证据的验证查询 | 第101-105页 |
| ·讨论 | 第105-106页 |
| ·小结 | 第106-107页 |
| 第四部分 IDS的警报及其日志相关性分析技术研究 | 第107-124页 |
| 第8章 次序关系在IDS警报及其日志分析中的应用 | 第108-124页 |
| ·IDS警报及其日志文件中事件之间的次序关系 | 第109-114页 |
| ·事件之间的关系 | 第110页 |
| ·历史事件集 | 第110-111页 |
| ·逻辑时钟 | 第111-114页 |
| ·事件关联性分析 | 第114-115页 |
| ·源关联 | 第114页 |
| ·目标关联 | 第114-115页 |
| ·时间关联 | 第115页 |
| ·事件文件的合并与拆分 | 第115-118页 |
| ·合并 | 第115-117页 |
| ·拆分 | 第117-118页 |
| ·因果关系分析 | 第118-120页 |
| ·潜因果关系 | 第118页 |
| ·准因果关系 | 第118页 |
| ·准因果关系的性质 | 第118-119页 |
| ·准因果关系的判定 | 第119-120页 |
| ·事件的抽象 | 第120-121页 |
| ·事件发生时间区间估计 | 第121-123页 |
| ·小结 | 第123-124页 |
| 第五部分 结论与展望 | 第124-128页 |
| 第9章 结论与展望 | 第125-128页 |
| ·本文的结论 | 第125-127页 |
| ·未来展望 | 第127-128页 |
| 参考文献 | 第128-139页 |
| 攻读博士学位期间发表的论文 | 第139-140页 |
| 致谢 | 第140页 |