| 摘要 | 第5-7页 |
| Abstract | 第7-8页 |
| 第1章 引言 | 第14-28页 |
| 1.1 僵尸网络介绍 | 第14-21页 |
| 1.1.1 僵尸网络的定义 | 第14-15页 |
| 1.1.2 僵尸网络的威胁 | 第15-18页 |
| 1.1.3 僵尸网络的演变和发展 | 第18-21页 |
| 1.2 国内外研究现状 | 第21-25页 |
| 1.2.1 国外研究现状 | 第21-24页 |
| 1.2.2 国内研究现状 | 第24-25页 |
| 1.3 本文研究内容 | 第25-26页 |
| 1.4 本文组织结构 | 第26-28页 |
| 第2章 相关背景知识介绍 | 第28-44页 |
| 2.1 僵尸网络的生命周期 | 第28-31页 |
| 2.1.1 僵尸网络的传播 | 第28-29页 |
| 2.1.2 僵尸网络的感染 | 第29-30页 |
| 2.1.3 僵尸网络的命令与控制 | 第30页 |
| 2.1.4 僵尸网络的攻击 | 第30-31页 |
| 2.2 IRC僵尸网络 | 第31-33页 |
| 2.2.1 IRC协议简介 | 第31页 |
| 2.2.2 IRC僵尸网络概述 | 第31-32页 |
| 2.2.3 典型的IRC僵尸网络 | 第32-33页 |
| 2.3 HTTP僵尸网络 | 第33-34页 |
| 2.4 P2P僵尸网络 | 第34-38页 |
| 2.4.1 P2P技术 | 第34-35页 |
| 2.4.2 P2P僵尸网络概述 | 第35-37页 |
| 2.4.3 典型的P2P僵尸网络 | 第37-38页 |
| 2.5 网络流量数据采集 | 第38-41页 |
| 2.5.1 网络流量采集技术简介 | 第38页 |
| 2.5.2 常用的网络流量采集技术 | 第38-39页 |
| 2.5.3 NetFlow技术介绍 | 第39-41页 |
| 2.6 数据流处理技术 | 第41-43页 |
| 2.6.1 数据流的定义和应用 | 第41-42页 |
| 2.6.2 网络流量数据流模型 | 第42-43页 |
| 2.7 本章小结 | 第43-44页 |
| 第3章 基于高相似性搜索的IRC僵尸网络在线检测技术 | 第44-60页 |
| 3.1 问题提出 | 第44-45页 |
| 3.2 离散傅立叶变换技术 | 第45-49页 |
| 3.2.1 离散傅立叶变换 | 第45-48页 |
| 3.2.2 离散傅立叶变换的性质 | 第48-49页 |
| 3.3 检测框架 | 第49-55页 |
| 3.3.1 预处理 | 第50页 |
| 3.3.2 网络流量特征数据流的构建 | 第50-51页 |
| 3.3.3 相似性度量 | 第51-52页 |
| 3.3.4 增量式离散傅立叶变换 | 第52-53页 |
| 3.3.5 僵尸网络拓扑分析 | 第53-55页 |
| 3.4 实验评估 | 第55-58页 |
| 3.4.1 数据集 | 第55页 |
| 3.4.2 精度评估 | 第55-56页 |
| 3.4.3 效率评估 | 第56-58页 |
| 3.5 本章小结 | 第58-60页 |
| 第4章 基于周期性和相似性分析的P2P僵尸网络在线检测技术 | 第60-80页 |
| 4.1 问题提出 | 第60-61页 |
| 4.2 相关技术介绍 | 第61-67页 |
| 4.2.1 周期性探测技术 | 第61-64页 |
| 4.2.2 聚类技术 | 第64-66页 |
| 4.2.3 通信数据流模型 | 第66-67页 |
| 4.3 周期性探测模块 | 第67-69页 |
| 4.4 增量式聚类模块 | 第69-71页 |
| 4.5 检测框架 | 第71-73页 |
| 4.6 实验评估 | 第73-77页 |
| 4.6.1 数据集 | 第73页 |
| 4.6.2 精度评估 | 第73-76页 |
| 4.6.3 效率评估 | 第76-77页 |
| 4.7 本章小结 | 第77-80页 |
| 第5章 基于主机行为异常的P2P僵尸网络在线检测技术 | 第80-92页 |
| 5.1 问题提出 | 第80-81页 |
| 5.2 相关技术介绍 | 第81-83页 |
| 5.2.1 假设检验技术 | 第81-82页 |
| 5.2.2 主机行为流模型 | 第82-83页 |
| 5.3 基于主机行为异常的检测框架 | 第83-86页 |
| 5.3.1 基于信息熵的网络异常检测 | 第83-85页 |
| 5.3.2 基于典型行为特征的假设检测 | 第85页 |
| 5.3.3 P2P僵尸主机的身份确认 | 第85-86页 |
| 5.3.4 检测步骤 | 第86页 |
| 5.4 实验评估 | 第86-91页 |
| 5.4.1 数据集 | 第86-87页 |
| 5.4.2 典型行为比重的平稳性测试 | 第87-88页 |
| 5.4.3 精度评测 | 第88-91页 |
| 5.5 本章小结 | 第91-92页 |
| 第6章 独立于协议类型的可疑僵尸网络在线检测技术 | 第92-114页 |
| 6.1 引言 | 第92-93页 |
| 6.1.1 问题提出 | 第92页 |
| 6.1.2 检测方法概述 | 第92-93页 |
| 6.2 相关技术介绍 | 第93-96页 |
| 6.2.1 分类方法概述 | 第93-95页 |
| 6.2.2 Fisher线性判别分析 | 第95-96页 |
| 6.3 增量式分类模块 | 第96-99页 |
| 6.3.1 网络流量数据的分类 | 第96-97页 |
| 6.3.2 增量式Fisher线性判别 | 第97-98页 |
| 6.3.3 决策规则的修正 | 第98-99页 |
| 6.4 动态聚类模块 | 第99-104页 |
| 6.4.1 特征流的相关性 | 第99-100页 |
| 6.4.2 自适应的动态聚类策略 | 第100-102页 |
| 6.4.3 可疑僵尸主机的确认 | 第102-104页 |
| 6.5 检测框架 | 第104-105页 |
| 6.6 实验评估 | 第105-112页 |
| 6.6.1 数据集 | 第105-108页 |
| 6.6.2 精度评估 | 第108-111页 |
| 6.6.3 效率评估 | 第111-112页 |
| 6.7 本章小结 | 第112-114页 |
| 第7章 结论 | 第114-116页 |
| 7.1 本文的主要贡献 | 第114-115页 |
| 7.2 未来工作 | 第115-116页 |
| 参考文献 | 第116-126页 |
| 致谢 | 第126-128页 |
| 攻读博士学位期间的论文项目情况 | 第128-130页 |
| 科研经历 | 第130-132页 |
| 作者简介 | 第132页 |
