| 第一章 绪论 | 第1-14页 |
| ·引言 | 第7-8页 |
| ·入侵检测技术简介 | 第8-10页 |
| ·什么是入侵检测系统 | 第8-9页 |
| ·入侵检测系统的分类 | 第9-10页 |
| ·入侵检测的发展方向-智能化 | 第10-11页 |
| ·基于HMM的免疫系统 | 第11-12页 |
| ·短序列模型 | 第11-12页 |
| ·Markov模型 | 第12页 |
| ·其他研究 | 第12页 |
| ·课题来源以及本论文所做的主要工作 | 第12-14页 |
| 第二章 基于HMM的主机入侵检测--理论基础 | 第14-31页 |
| ·Linux系统的技术特点 | 第14-19页 |
| ·用户态、内核态和系统调用 | 第14-16页 |
| ·系统调用的执行过程和sys_call_table | 第16-17页 |
| ·LKM | 第17-18页 |
| ·监视并记录进程的系统调用序列 | 第18-19页 |
| ·马尔可夫模型(MM)和隐马尔可夫模型(HMM) | 第19-31页 |
| ·马尔可夫性与马尔可夫链 | 第19-20页 |
| ·隐马尔可夫模型原理 | 第20-31页 |
| 第三章 HMM算法的应用与改进 | 第31-40页 |
| ·HMM在入侵检测中的应用 | 第31-34页 |
| ·假设 | 第31页 |
| ·对系统调用序列建立HMM模型 | 第31-32页 |
| ·模型的训练 | 第32-33页 |
| ·检测 | 第33-34页 |
| ·入侵检测系统的需求和HMM算法的优缺点 | 第34-36页 |
| ·入侵检测系统对于速度的要求 | 第34-35页 |
| ·HMM算法的优点 | 第35页 |
| ·HMM算法的缺点 | 第35-36页 |
| ·模型的改进 | 第36-40页 |
| ·筛选模型数据,缩小模型范围 | 第36-39页 |
| ·检测算法 | 第39-40页 |
| 第四章 主机入侵检测系统的结构设计 | 第40-57页 |
| ·主机入侵检测系统的框架 | 第40-43页 |
| ·CIDF框架模型 | 第41-42页 |
| ·常见IDS的框架模型 | 第42页 |
| ·本文中HIDS的结构 | 第42-43页 |
| ·事件产生器模块详细设计 | 第43-52页 |
| ·截获系统调用 | 第43-45页 |
| ·确定调用系统调用的进程号 | 第45-47页 |
| ·对事件产生器的监控和保护 | 第47-49页 |
| ·记录进程的系统调用序列 | 第49-52页 |
| ·事件分析器模块详细设计 | 第52-56页 |
| ·从事件产生器获取新的事件 | 第52-53页 |
| ·利用HMM模型对系统调用序列进行判断 | 第53页 |
| ·把判断的结果传递给响应单元 | 第53-54页 |
| ·对事件分析器进程的隐藏与保护 | 第54-56页 |
| ·关于其他模块 | 第56-57页 |
| ·事件数据库 | 第56页 |
| ·响应单元 | 第56-57页 |
| 第五章 实验和总结 | 第57-62页 |
| ·基于HMM的主机入侵检测系统的实现 | 第57-58页 |
| ·对入侵检测系统的测试和评估 | 第58-60页 |
| ·入侵检测系统测试和评估概述 | 第58页 |
| ·入侵检测系统测试评估的步骤 | 第58页 |
| ·测试环境 | 第58-59页 |
| ·测试结果及系统评价 | 第59-60页 |
| ·总结和展望 | 第60-62页 |
| 参考文献 | 第62-65页 |
| 致谢 | 第65-66页 |