| 摘要 | 第4-5页 |
| ABSTRACT | 第5-6页 |
| 第一章 绪论 | 第12-20页 |
| 1.1 研究背景及意义 | 第12-13页 |
| 1.2 国内外研究现状 | 第13-16页 |
| 1.2.1 木马检测技术概述 | 第13-14页 |
| 1.2.2 木马网络流量检测技术研究现状 | 第14-16页 |
| 1.3 本文研究内容和主要成果 | 第16-18页 |
| 1.4 论文结构安排 | 第18-20页 |
| 第二章 木马网络会话检测模型 | 第20-36页 |
| 2.1 木马概述 | 第20-22页 |
| 2.1.1 木马概念和分类 | 第20-21页 |
| 2.1.2 木马通信类型 | 第21-22页 |
| 2.2 木马通信行为分析 | 第22-28页 |
| 2.2.1 通信过程 | 第22-24页 |
| 2.2.2 命令、控制和连接 | 第24-27页 |
| 2.2.3 心跳机制 | 第27-28页 |
| 2.3 木马与正常应用程序网络行为分类 | 第28-34页 |
| 2.3.1 网络流量分析主体 | 第28-30页 |
| 2.3.2 木马与正常应用网络流量序列分析 | 第30-33页 |
| 2.3.3 基于时间序列分析的木马网络会话检测模型 | 第33-34页 |
| 2.4 本章小结 | 第34-36页 |
| 第三章 基于频繁序列挖掘的心跳检测方法 | 第36-45页 |
| 3.1 心跳检测相关方法 | 第36-38页 |
| 3.1.1 基于变换分析的心跳检测 | 第36-37页 |
| 3.1.2 基于序列分析的心跳检测 | 第37-38页 |
| 3.2 基于频繁序列挖掘的心跳检测算法 | 第38-44页 |
| 3.2.1 经典模式挖掘算法适用性分析 | 第38-40页 |
| 3.2.2 优化的频繁序列挖掘的心跳检测算法 | 第40-44页 |
| 3.3 本章小结 | 第44-45页 |
| 第四章 基于朴素贝叶斯的切片序列分类方法 | 第45-53页 |
| 4.1 常见分类器 | 第45-49页 |
| 4.1.1 五种常见机器学习算法 | 第46-47页 |
| 4.1.2 算法对木马网络会话检测的适用性分析 | 第47-49页 |
| 4.2 基于朴素贝叶斯的切片序列分析方法 | 第49-52页 |
| 4.2.1 木马与正常应用流量序列统计分析 | 第49-50页 |
| 4.2.2 基于贝叶斯分类的外部控制流量检测方法 | 第50-51页 |
| 4.2.3 基于外部控制和数据泄露的木马网络流量检测方法 | 第51-52页 |
| 4.4 本章小结 | 第52-53页 |
| 第五章 基于时间序列的流量分析方法 | 第53-61页 |
| 5.1 流量模型 | 第53-54页 |
| 5.1.1 传统模型 | 第53-54页 |
| 5.1.2 新发展阶段 | 第54页 |
| 5.2 基于时间聚合的数据流切片分析方法 | 第54-60页 |
| 5.2.1 流量模型与网络流的时间序列 | 第54-56页 |
| 5.2.2 TCP流聚合和TCP流序还原 | 第56-58页 |
| 5.2.3 一种基于时间聚合的数据流切片算法 | 第58-60页 |
| 5.3 本章小结 | 第60-61页 |
| 第六章 系统设计与实现 | 第61-76页 |
| 6.1 总体设计 | 第61-62页 |
| 6.1.1 设计目标 | 第61页 |
| 6.1.2 系统架构 | 第61-62页 |
| 6.2 系统实现及关键技术 | 第62-67页 |
| 6.2.1 流量采集模块 | 第62-64页 |
| 6.2.2 重组切片模块 | 第64-65页 |
| 6.2.3 网络行为检测模块 | 第65-67页 |
| 6.2.4 高可疑流量存储模块 | 第67页 |
| 6.3 系统测试与结果分析 | 第67-75页 |
| 6.3.1 数据集和环境 | 第67-70页 |
| 6.3.2 测试结果与评估 | 第70-74页 |
| 6.3.3 误报和规避 | 第74-75页 |
| 6.4 本章小结 | 第75-76页 |
| 第七章 总结与展望 | 第76-78页 |
| 一、全文总结 | 第76-77页 |
| 二、下一步工作 | 第77-78页 |
| 致谢 | 第78-79页 |
| 参考文献 | 第79-83页 |
| 作者简历 | 第83页 |