| 摘要 | 第1-5页 |
| Abstract | 第5-12页 |
| 第1章 引言 | 第12-24页 |
| ·研究背景与意义 | 第12-19页 |
| ·Internet 安全现状 | 第12-13页 |
| ·蠕虫的历史与变化 | 第13-15页 |
| ·基于网络的入侵检测 | 第15-17页 |
| ·0-day 多态蠕虫 | 第17-19页 |
| ·相关工作 | 第19-21页 |
| ·论文的研究内容与贡献 | 第21-23页 |
| ·篇章结构 | 第23-24页 |
| 第2章 多态蠕虫的技术原理 | 第24-32页 |
| ·目标发现策略 | 第24-25页 |
| ·漏洞利用的原理 | 第25-28页 |
| ·传播技术 | 第28页 |
| ·多态技术 | 第28-32页 |
| 第3章 基于聚类的端口扫描检测与分析 | 第32-48页 |
| ·引言 | 第32-33页 |
| ·扫描向量模型 | 第33-36页 |
| ·基于中心的扫描向量聚类 | 第36-41页 |
| ·基本概念定义 | 第36-37页 |
| ·核心算法 | 第37-39页 |
| ·性能优化技术 | 第39-40页 |
| ·扫描模式的输出 | 第40-41页 |
| ·实验验证 | 第41-46页 |
| ·实验方案 | 第41页 |
| ·实验及结果分析 | 第41-46页 |
| ·本章小结 | 第46-48页 |
| 第4章 多态蠕虫的长度特征生成与检测 | 第48-88页 |
| ·引言 | 第48-52页 |
| ·蠕虫特征生成与检测概述 | 第48-51页 |
| ·长度特征生成的基本原理 | 第51-52页 |
| ·系统体系结构 | 第52-54页 |
| ·协议解析 | 第54页 |
| ·长度特征的定义和特征生成问题 | 第54-58页 |
| ·域层级模型 | 第54-57页 |
| ·长度特征的定义 | 第57页 |
| ·长度特征生成问题的定义 | 第57-58页 |
| ·长度特征的生成算法 | 第58-63页 |
| ·域的过滤 | 第59页 |
| ·特征长度优化 | 第59-61页 |
| ·特征删减 | 第61-63页 |
| ·抗攻击性分析 | 第63-71页 |
| ·长度特征的准确率下限 | 第63-69页 |
| ·对具体攻击的抵抗力分析 | 第69-71页 |
| ·长度特征的匹配 | 第71-75页 |
| ·正则表达式形式的长度特征 | 第71-74页 |
| ·部分协议解析 | 第74-75页 |
| ·实验验证 | 第75-86页 |
| ·实验方案 | 第75-79页 |
| ·特征的准确性 | 第79-81页 |
| ·算法各步骤的有效性 | 第81页 |
| ·样本集的规模要求 | 第81页 |
| ·时间和内存开销 | 第81-83页 |
| ·攻击下的性能 | 第83-84页 |
| ·L-RE 特征的性能 | 第84-86页 |
| ·对漏洞的覆盖率 | 第86页 |
| ·本章小结 | 第86-88页 |
| 第5章 多态shellcode 的可执行行为建模与检测 | 第88-134页 |
| ·引言 | 第88-91页 |
| ·多态shellcode 检测概述 | 第88-90页 |
| ·本章方法的基本思想 | 第90-91页 |
| ·多态shellcode 行为检测问题的定义 | 第91-98页 |
| ·关于多态shellcode 的假定 | 第91-94页 |
| ·关于执行上下文的定义 | 第94-95页 |
| ·问题的形式化定义 | 第95-98页 |
| ·行为描述模型 | 第98-108页 |
| ·行为模式的定义 | 第98-100页 |
| ·阳性行为模式与阴性行为模式 | 第100-108页 |
| ·基于动态模拟的检测算法 | 第108-125页 |
| ·监控下的两轮执行 | 第109-112页 |
| ·基于有限状态自动机的模式匹配 | 第112-113页 |
| ·执行约简策略 | 第113-125页 |
| ·实验验证 | 第125-132页 |
| ·实验方案 | 第126-127页 |
| ·准确性 | 第127-128页 |
| ·处理速度 | 第128-132页 |
| ·抗攻击性 | 第132页 |
| ·本章小结 | 第132-134页 |
| 第6章 结论与展望 | 第134-138页 |
| ·结论 | 第134-135页 |
| ·展望 | 第135-138页 |
| 参考文献 | 第138-148页 |
| 致谢 | 第148-149页 |
| 个人简历、在学期间发表的学术论文与研究成果 | 第149-150页 |