| 中文摘要 | 第1-7页 |
| 英文摘要 | 第7-8页 |
| 第一章 绪论 | 第8-13页 |
| §1.1 课题研究背景 | 第8页 |
| §1.2 Internet网络安全研究的现状和发展动态 | 第8-9页 |
| §1.3 入侵检测系统发展趋势及主要研究方向 | 第9-12页 |
| §1.4 本文的主要研究内容 | 第12-13页 |
| 第二章 入侵检测技术发展现状研究 | 第13-24页 |
| §2.1 入侵检测系统的分类 | 第13-15页 |
| 2.1.1 主机型入侵检测系统 | 第13页 |
| 2.1.2 网络型入侵检测系统 | 第13-14页 |
| 2.1.3 节点型网络入侵检测系统 | 第14页 |
| 2.1.4 应用型入侵检测系统 | 第14页 |
| 2.1.5 文件型入侵检测系统 | 第14-15页 |
| §2.2 入侵检测技术 | 第15-17页 |
| 2.2.1 异常检测技术 | 第15-16页 |
| 2.2.2 滥用检测技术 | 第16-17页 |
| §2.3 通用入侵检测框架(CIDF)与入侵检测工作组(IDWG)的介绍 | 第17-19页 |
| 2.3.1 通用入侵检测框架(CIDF) | 第17-18页 |
| 2.3.2 入侵检测工作组(IDWG) | 第18-19页 |
| 2.3.3 CIDF与IDWG的比较 | 第19页 |
| §2.4 著名的分布式入侵检测系统的体系结构 | 第19-24页 |
| 2.4.1 EMRALD | 第20-21页 |
| 2.4.2 AAFID | 第21-24页 |
| 第三章 基于多代理的分布式入侵检测体系结构研究 | 第24-40页 |
| §3.1 多代理的分布式入侵检测的必要性 | 第24-26页 |
| 3.1.1 攻击技术的发展 | 第24页 |
| 3.1.2 现有IDS系统存在的问题 | 第24-25页 |
| 3.1.3 发展的方向 | 第25-26页 |
| §3.2 MADIDS的整体结构 | 第26-30页 |
| 3.2.1 功能代理(Function Agent-FA) | 第27页 |
| 3.2.2 通信代理(Communication Agent-CA) | 第27-28页 |
| 3.2.3 状态检查代理(Status Check Agent-SCA) | 第28-29页 |
| 3.2.4 本地分析代理(Local Analyzer Agent-LAA) | 第29页 |
| 3.2.5 域分析代理(Domain Analyzer Agent-DAA) | 第29-30页 |
| 3.2.6 消息代理(Message Agent-MA) | 第30页 |
| 3.2.7 用户界面代理(User Interface Agent-UIA) | 第30页 |
| §3.3 代理的基本结构 | 第30-33页 |
| 3.3.1 功能代理 | 第31页 |
| 3.3.2 本地分析代理 | 第31-32页 |
| 3.3.3 域分析代理 | 第32-33页 |
| §3.4 代理的通信机制 | 第33-34页 |
| §3.5 代理的协作机制 | 第34-38页 |
| 3.5.1 协作按照内容的划分 | 第34-35页 |
| 3.5.2 协作按照地域的划分 | 第35-38页 |
| §3.6 基于多代理的分布式入侵检测模型的优点 | 第38-40页 |
| 第四章 高效入侵特征匹配算法的研究 | 第40-47页 |
| §4.1 snort中基于单模式匹配的算法中存在的问题 | 第40-42页 |
| 4.1.1 snort入侵检测系统的介绍 | 第40-41页 |
| 4.1.2 snort规则匹配算法 | 第41页 |
| 4.1.3 snort规则匹配算法的性能分析 | 第41-42页 |
| §4.2 基于多模式的匹配算法 | 第42-47页 |
| 4.2.1 四字符的散列模式树算法 | 第42-44页 |
| 4.2.2 选择四字符模式树的算法效率分析 | 第44-45页 |
| 4.2.3 性能分析 | 第45-47页 |
| 第五章 网络入侵检测通用特征库的研究 | 第47-55页 |
| §5.1 入侵特征库的意义 | 第47页 |
| §5.2 入侵特征描述—规则 | 第47-49页 |
| 5.2.1 规则头 | 第47-48页 |
| 5.2.2 规则选项 | 第48-49页 |
| §5.3 规则库设计的关键技术点 | 第49-51页 |
| 5.3.1 对象和策略 | 第49-50页 |
| 5.3.2 可信度 | 第50页 |
| 5.3.3 通用性 | 第50-51页 |
| §5.4 规则库的结构和功能简介 | 第51-55页 |
| 5.4.1 基础库 | 第52-53页 |
| 5.4.2 规则管理 | 第53页 |
| 5.4.3 对象和策略管理 | 第53-54页 |
| 5.4.4 规则库升级和优化 | 第54-55页 |
| 第六章 代理的实现技术研究 | 第55-64页 |
| §6.1 网络型功能代理(NFA)的实现技术 | 第55-62页 |
| 6.1.1 网络型功能代理(NFA)体系结构 | 第55页 |
| 6.1.2 报文捕获和过滤 | 第55-60页 |
| 6.1.3 协议解码 | 第60-61页 |
| 6.1.4 攻击分析技术 | 第61页 |
| 6.1.5 LAA功能 | 第61页 |
| 6.1.6 响应部分 | 第61-62页 |
| §6.2 通信代理(CA)的实现技术 | 第62-64页 |
| 6.2.1 通信代理(CA)的功能需求 | 第62页 |
| 6.2.2 通信代理的实现关键技术 | 第62-63页 |
| 6.2.3 参考体系结构 | 第63-64页 |
| 第七章 基于代理的网络型入侵检测原型系统的设计与实现 | 第64-71页 |
| §7.1 系统概述 | 第64页 |
| §7.2 基于代理的网络入侵检测系统的开发与测试环境 | 第64-65页 |
| 7.2.1 测试环境 | 第64页 |
| 7.2.2 开发软件环境 | 第64-65页 |
| §7.3 中心服务器的设计与实现 | 第65-67页 |
| §7.4 Linux下代理(Agent)的设计与实现 | 第67页 |
| §7.5 系统部署 | 第67-71页 |
| 7.5.1 放在防火墙之外 | 第68页 |
| 7.5.2 检测器在防火墙内 | 第68-69页 |
| 7.5.3 防火墙内外都有检测器 | 第69页 |
| 7.5.4 检测器的其他位置 | 第69页 |
| 7.5.5 交换式网络环境下的系统部署 | 第69-71页 |
| 结束语 | 第71-72页 |
| 致谢 | 第72-73页 |
| 参考文献 | 第73-74页 |
