| 摘要 | 第5-7页 |
| ABSTRACT | 第7-9页 |
| Chapter 1 Introduction | 第19-56页 |
| 1.1 Network Security Threats | 第19-20页 |
| 1.2 network monitoring | 第20-25页 |
| 1.2.1 The Reasons for Monitoring | 第20-21页 |
| 1.2.2 Monitoring within the operational cycle of network management | 第21-22页 |
| 1.2.3 Active vs. passive monitoring | 第22-23页 |
| 1.2.4 Sampling | 第23页 |
| 1.2.5 Netflow | 第23-25页 |
| 1.3 Network Security Situational Awareness NSSA | 第25-47页 |
| 1.3.1 The demand for new security tools | 第25-26页 |
| 1.3.2 Early proposals of applying SA in cyber security | 第26-27页 |
| 1.3.3 The functional definition of situational awareness | 第27-29页 |
| 1.3.4 The evolution of Situational Awareness | 第29-30页 |
| 1.3.5 The three levels of SA | 第30-31页 |
| 1.3.6 Requirements for situation assessment | 第31-32页 |
| 1.3.7 Cyber situation awareness | 第32-34页 |
| 1.3.8 Situation awareness and multi-sensor data fusion | 第34-38页 |
| 1.3.9 A review of previous works related to NSSA | 第38-47页 |
| 1.4 Research Scope and Significance | 第47-53页 |
| 1.4.1 The position of this research in NSSA Model | 第47-49页 |
| 1.4.2 Network Traffic Behavior | 第49-50页 |
| 1.4.3 Host Behavior Profiles and Role Classification | 第50-51页 |
| 1.4.4 Relationship Discovery | 第51-53页 |
| 1.5 Research Objectives | 第53-54页 |
| 1.6 Challenges | 第54-55页 |
| 1.7 Dissertation layout | 第55-56页 |
| Chapter 2 Profiling and Clustering IP Hosts Based on Traffic Behavior | 第56-84页 |
| 2.1 Introduction | 第56-57页 |
| 2.2 Background | 第57-65页 |
| 2.2.1 IP Profiling and Clustering | 第57-61页 |
| 2.2.2 Entropy | 第61-62页 |
| 2.2.3 Clustering | 第62-64页 |
| 2.2.4 Weka | 第64-65页 |
| 2.3 Data Sources | 第65-66页 |
| 2.4 Methodology | 第66-67页 |
| 2.5 Extraction of the most significant IP addresses | 第67-69页 |
| 2.6 Selection and extraction of communication pattern features | 第69-78页 |
| 2.7 Clustering AND Results discussion | 第78-81页 |
| 2.8 Semantics of some selected clusters | 第81-82页 |
| 2.8.1 Clients sending http requests | 第81页 |
| 2.8.2 P2P Traffic | 第81页 |
| 2.8.3 Scanning a single port | 第81-82页 |
| 2.8.4 Server traffic behavior | 第82页 |
| 2.9 Summary | 第82-84页 |
| Chapter 3 IP Relationship Discovery | 第84-102页 |
| 3.1 Introduction | 第84-88页 |
| 3.2 Background | 第88-92页 |
| 3.2.1 Communities detection | 第89-91页 |
| 3.2.2 Comparison with previous works | 第91-92页 |
| 3.3 The Proposed Methodology | 第92-100页 |
| 3.3.1 Split the observed IP addresses into inside and outside | 第93-94页 |
| 3.3.2 Construction of the bipartite graph | 第94-95页 |
| 3.3.3 One-mode projection | 第95-96页 |
| 3.3.4 Clustering | 第96-100页 |
| 3.4 Summary | 第100-102页 |
| Chapter 4 Practical Implementation & Evaluation | 第102-115页 |
| 4.1 Experiment Environment | 第102页 |
| 4.2 Experiment Results | 第102-105页 |
| 4.3 Discussion and Evaluation | 第105-114页 |
| 4.3.1 Modularity | 第105-107页 |
| 4.3.2 Inter-communities vs. Intra-communities Links | 第107-108页 |
| 4.3.3 Sizes of Communities | 第108-109页 |
| 4.3.4 Clusters stability | 第109-111页 |
| 4.3.5 Time complexity of the proposed approach | 第111-113页 |
| 4.3.6 Limitations and errors | 第113-114页 |
| 4.4 Summary | 第114-115页 |
| Chapter 5 Semantics Analysis of The Discovered clusters | 第115-126页 |
| 5.1 Dominant behavior of communities | 第115-117页 |
| 5.2 Closed groups | 第117-125页 |
| 5.2.1 Closed Group Example 1 | 第117-122页 |
| 5.2.2 Closed Group Example 2 | 第122-125页 |
| 5.3 Outliers | 第125页 |
| 5.4 Summary | 第125-126页 |
| Chapter 6 Final Conclusion and Future Prospects | 第126-128页 |
| References | 第128-144页 |
| List of publications | 第144-146页 |
| Acknowledgements | 第146-147页 |
| Biography | 第147页 |
