| 摘要 | 第1-5页 |
| ABSTRACT | 第5-8页 |
| 1 绪论 | 第8-15页 |
| ·研究背景 | 第8-9页 |
| ·国内外研究现状 | 第9-12页 |
| ·研究内容和目标 | 第12-13页 |
| ·论文的组织 | 第13-15页 |
| 2 关联分析方法综述 | 第15-25页 |
| ·告警聚合方法 | 第15-17页 |
| ·告警相似度 | 第15-16页 |
| ·告警相异度 | 第16页 |
| ·聚类算法描述 | 第16-17页 |
| ·因果关系关联方法 | 第17-23页 |
| ·攻击的形式化描述 | 第18-19页 |
| ·攻击关联的定义和算法 | 第19-20页 |
| ·产生关联规则的算法 | 第20-21页 |
| ·使用关联规则 | 第21-22页 |
| ·生成高级告警 | 第22-23页 |
| ·交叉关联方法 | 第23-24页 |
| ·本章小结 | 第24-25页 |
| 3 系统设计 | 第25-43页 |
| ·SATA 系统的功能 | 第25页 |
| ·系统框架结构 | 第25-27页 |
| ·AGENT 功能模块 | 第27-38页 |
| ·Agent 模块的作用 | 第27-28页 |
| ·Agent 模块中各个文件的作用及其相互关系 | 第28-31页 |
| ·产生原始告警的探测器detector | 第31页 |
| ·配置文件 | 第31-33页 |
| ·几个典型的分析器(几个具体的Parser 模块) | 第33-36页 |
| ·几个典型Monitor 文件的说明 | 第36-38页 |
| ·CONTROL_FRAMEWORK 功能模块 | 第38-39页 |
| ·USER INTERFACE 功能模块 | 第39页 |
| ·SERVER 功能模块 | 第39-40页 |
| ·scheduler 线程 | 第40页 |
| ·server 线程 | 第40页 |
| ·organizer 线程 | 第40页 |
| ·各模块间的数据流向 | 第40-42页 |
| ·本章小结 | 第42-43页 |
| 4 告警严重度排序关联算法 | 第43-49页 |
| ·告警严重度排序(ALERTRANK)算法简介 | 第43页 |
| ·ALERTRANK 算法流程 | 第43-44页 |
| ·贝叶斯网络 | 第44-46页 |
| ·RELIABILITY 计算 | 第46页 |
| ·PRIORITY 计算 | 第46-48页 |
| ·ASSET 值设定 | 第48页 |
| ·本章小结 | 第48-49页 |
| 5 实验与测试 | 第49-58页 |
| ·实验环境 | 第49-50页 |
| ·实验数据 | 第50-52页 |
| ·实验结果 | 第52-56页 |
| ·真实攻击测试 | 第53-55页 |
| ·无用告警测试 | 第55-56页 |
| ·高威胁度告警与低威胁度告警测试 | 第56页 |
| ·实验结论 | 第56-58页 |
| 6 总结与展望 | 第58-60页 |
| ·总结 | 第58-59页 |
| ·展望 | 第59-60页 |
| 致谢 | 第60-61页 |
| 参考文献 | 第61-65页 |
| 附录1 攻读学位期间发表学术论文目录 | 第65页 |