| 中文摘要 | 第1-8页 |
| 英文摘要 | 第8-9页 |
| 第一章 引言 | 第9-19页 |
| 1.1. 计算机网络安全研究现状 | 第9-10页 |
| 1.2. 入侵检测及其研究现状 | 第10-17页 |
| 1.2.1. 入侵和入侵检测 | 第10-15页 |
| 1.2.1.1. 入侵的定义和常用方法 | 第10-13页 |
| 1.2.1.2. 入侵检测的定义 | 第13-15页 |
| 1.2.2. 入侵检测的研究现状 | 第15-17页 |
| 1.3. 课题来源及论文贡献 | 第17页 |
| 1.4. 本文主要内容及结构安排 | 第17-19页 |
| 第二章 入侵检测研究 | 第19-38页 |
| 2.1. 入侵检测系统的一般工作流程 | 第19-23页 |
| 2.2. 入侵检测系统采取的策略 | 第23页 |
| 2.3. 入侵检测系统的分类 | 第23-26页 |
| 2.3.1. 事后审计追踪分析 | 第24页 |
| 2.3.2. 实时包分析 | 第24-25页 |
| 2.3.3. 实时行为监测 | 第25-26页 |
| 2.4. 入侵检测体系结构 | 第26-30页 |
| 2.4.1. 基于主机的入侵检测系统 | 第26-27页 |
| 2.4.2. 基于网络的入侵检测系统 | 第27-29页 |
| 2.4.3. 分布式入侵检测系统 | 第29-30页 |
| 2.5. 入侵检测技术 | 第30-33页 |
| 2.6. 入侵检测系统的发展趋势 | 第33-35页 |
| 2.6.1. 入侵技术的发展 | 第33-34页 |
| 2.6.2. 入侵检测系统的发展趋势 | 第34-35页 |
| 2.7. 入侵检测的有关协议和模型 | 第35-38页 |
| 第三章 模式匹配及其改进算法 | 第38-47页 |
| 3.1. 模式匹配 | 第38-39页 |
| 3.2. 两种常用的模式匹配算法 | 第39-43页 |
| 3.2.1. KMP(Knuth—Morris—Pratt)算法 | 第39-40页 |
| 3.2.2. BM(Boyer-Moore)算法 | 第40-43页 |
| 3.3. YBM改进算法 | 第43-47页 |
| 第四章 系统设计和实现 | 第47-79页 |
| 4.1. 系统设计 | 第47-50页 |
| 4.1.1. MIDS的整体结构 | 第47-48页 |
| 4.1.2. MIDS在网络拓扑中的位置 | 第48-49页 |
| 4.1.3. MIDS的工作流程 | 第49-50页 |
| 4.2. 数据包捕获和解析子系统的实现 | 第50-68页 |
| 4.2.1. 数据包的捕获 | 第50-54页 |
| 4.2.2. 数据包的解析 | 第54-68页 |
| 4.2.2.1. TCP/IP协议族的分层 | 第54-56页 |
| 4.2.2.2. 数据包的封装 | 第56-58页 |
| 4.2.2.3. 不同协议数据格式分析 | 第58-66页 |
| 4.2.2.4. 数据包解析的实现 | 第66-68页 |
| 4.3. 检测引擎的实现 | 第68-78页 |
| 4.3.1. 攻击模式(规则)的静态描述 | 第68-72页 |
| 4.3.1.1. 规则的建立与组织 | 第68-69页 |
| 4.3.1.2. 规则的分类处理 | 第69-70页 |
| 4.3.1.3. 规则的结构形式 | 第70-72页 |
| 4.3.2. 检测引擎的实现 | 第72-78页 |
| 4.3.2.1. 规则的动态组织 | 第72-76页 |
| 4.3.2.2. 数据包与规则的匹配 | 第76-78页 |
| 4.4. 日志和报警子系统的实现 | 第78-79页 |
| 第五章 系统性能测试 | 第79-84页 |
| 5.1. 整体性能测试 | 第79-81页 |
| 5.1.1. 吞吐量测试 | 第79页 |
| 5.1.2. 时延测试 | 第79页 |
| 5.1.3. 丢包率测试 | 第79-80页 |
| 5.1.4. 系统本身抗攻击能力测试 | 第80-81页 |
| 5.2. 算法改进测试 | 第81-84页 |
| 第六章 全文总结 | 第84-86页 |
| 参考文献 | 第86-87页 |
| 致谢 | 第87-88页 |