| 摘要 | 第1-7页 |
| ABSTRACT | 第7-14页 |
| 第一章 绪论 | 第14-28页 |
| ·互联网的发展现状 | 第14-15页 |
| ·网络安全的发展现状 | 第15-16页 |
| ·网络安全检测技术 | 第16-20页 |
| ·僵尸网络的研究意义 | 第20-21页 |
| ·僵尸网络检测面临的问题 | 第21-22页 |
| ·论文研究内容和创新点 | 第22-25页 |
| ·蜜罐异常流量分析及实验统计模型 | 第22-23页 |
| ·僵尸网络指纹特征自动提取技术研究 | 第23页 |
| ·基于行为的僵尸网络检测算法研究 | 第23-24页 |
| ·基于流统计特征的僵尸网络检测技术研究 | 第24-25页 |
| ·论文结构 | 第25-28页 |
| 第二章 僵尸网络研究现状 | 第28-40页 |
| ·僵尸网络定义 | 第28页 |
| ·僵尸网络研究 | 第28-30页 |
| ·僵尸网络检测技术研究 | 第30-40页 |
| ·主动检测技术 | 第30-31页 |
| ·被动检测技术 | 第31-38页 |
| ·采样技术对僵尸网络异常检测的影响 | 第38-40页 |
| 第三章 蜜罐异常流量分析及实验统计模型 | 第40-59页 |
| ·概述 | 第40-41页 |
| ·基于蜜罐技术的异常数据采集和预处理 | 第41-43页 |
| ·数据采集方法 | 第41页 |
| ·蜜罐配置 | 第41页 |
| ·预处理 | 第41-42页 |
| ·网络流量分析系统 | 第42-43页 |
| ·异常流量数据分析和实验统计模型 | 第43-57页 |
| ·攻击类别 | 第43-44页 |
| ·攻击人数分析 | 第44-51页 |
| ·攻击者攻击频率分析 | 第51-53页 |
| ·各端口攻击频率情况分析 | 第53-54页 |
| ·IP出现的天数分布 | 第54-55页 |
| ·IP人数在各省的人数分布 | 第55页 |
| ·同一C网内的IP个数分布 | 第55-56页 |
| ·同一B网内的IP个数分布 | 第56-57页 |
| ·本章小结 | 第57-59页 |
| 第四章 僵尸网络指纹特征自动提取技术研究 | 第59-73页 |
| ·概述 | 第59页 |
| ·相关工作 | 第59-60页 |
| ·样本流量采集 | 第60-62页 |
| ·离线样本流量采集环境 | 第60-61页 |
| ·在线样本流量采集环境 | 第61-62页 |
| ·僵尸网络指纹特征自动提取算法原理 | 第62-63页 |
| ·僵尸网络指纹特征自动提取系统设计框架 | 第63-68页 |
| ·流特征提取模块 | 第63-64页 |
| ·K-means聚类模块 | 第64-66页 |
| ·Shingle提取算法模块 | 第66-67页 |
| ·Shingle拼接算法模块 | 第67-68页 |
| ·实验仿真 | 第68-71页 |
| ·实验数据获取 | 第68页 |
| ·实验结果 | 第68-69页 |
| ·改进后的Shingle选择算法的时间复杂度 | 第69-71页 |
| ·本章小结 | 第71-73页 |
| 第五章 基于行为的僵尸网络检测算法研究 | 第73-103页 |
| ·僵尸网络传播特性研究 | 第73-79页 |
| ·引言 | 第73-74页 |
| ·僵尸网络传播特性模型 | 第74-77页 |
| ·仿真 | 第77-79页 |
| ·小结 | 第79页 |
| ·高速网络中的扫描行为检测算法研究 | 第79-89页 |
| ·引言 | 第79-80页 |
| ·扫描检测算法 | 第80-83页 |
| ·采样技术 | 第83-85页 |
| ·数据采集 | 第85页 |
| ·基于选择性系统采样的多种扫描检测算法性能比较 | 第85-87页 |
| ·基于报文长度的选择性采样和系统采样对TRW扫描检测算法性能的影响 | 第87-88页 |
| ·小结 | 第88-89页 |
| ·基于多级分类器的僵尸网络检测技术研究 | 第89-103页 |
| ·引言 | 第89页 |
| ·数据采集 | 第89-91页 |
| ·多级分类器检测框架 | 第91-102页 |
| ·小结 | 第102-103页 |
| 第六章 基于流统计特征的僵尸网络检测技术研究 | 第103-114页 |
| ·概述 | 第103页 |
| ·数据采集 | 第103-105页 |
| ·IRC流量数据分析 | 第105-107页 |
| ·IRC端口流数分析 | 第105-106页 |
| ·IRC流量分析 | 第106-107页 |
| ·二级僵尸网络流量检测框架 | 第107-109页 |
| ·流统计特征分析 | 第109-110页 |
| ·基于二级僵尸网络检测结构的异常检测结果 | 第110-112页 |
| ·本章小结 | 第112-114页 |
| 第七章 高速网络僵尸网络检测系统原型 | 第114-119页 |
| ·系统模块功能 | 第115-116页 |
| ·基于下载行为的可疑IP提取模块研究 | 第116-117页 |
| ·基于报文深度检测(DPI)的第一级过滤器 | 第116-117页 |
| ·基于单流统计特征的第二级过滤器 | 第117页 |
| ·本章小结 | 第117-119页 |
| 结束语:总结与展望 | 第119-121页 |
| 参考文献 | 第121-129页 |
| 附录:缩写词说明 | 第129-131页 |
| 致谢 | 第131-132页 |
| 攻读学位期间发表的学术论文目录 | 第132页 |