| 第一章 绪论 | 第1-19页 |
| ·课题背景 | 第7-8页 |
| ·入侵检测和入侵检测系统(IDS)的概念 | 第8-11页 |
| ·入侵检测系统的分类 | 第11-12页 |
| ·根据数据的来源分类 | 第11页 |
| ·根据数据分析方法分类 | 第11-12页 |
| ·根据时效性分类 | 第12页 |
| ·常用的入侵检测方法 | 第12-17页 |
| ·统计异常检测方法 | 第12-13页 |
| ·基于贝叶斯推理的异常检测方法 | 第13-14页 |
| ·基于神经网络的异常检测方法 | 第14-15页 |
| ·基于专家系统误用入侵检测方法 | 第15页 |
| ·基于条件概率误用入侵检测方法 | 第15-16页 |
| ·基于免疫系统的入侵检测方法 | 第16页 |
| ·基于数据挖掘的入侵检测方法 | 第16-17页 |
| ·基于状态转换的入侵检测方法 | 第17页 |
| ·入侵检测系统的发展方向 | 第17-18页 |
| ·分布式入侵检测与通用入侵检测架构 | 第17页 |
| ·智能化的入侵检测 | 第17-18页 |
| ·与其它的网络安全技术相结合 | 第18页 |
| ·宽带高速网络的实时入侵检测技术 | 第18页 |
| ·小结 | 第18-19页 |
| 第二章 数据挖掘与入侵检测 | 第19-28页 |
| ·引言 | 第19页 |
| ·数据挖掘技术 | 第19-22页 |
| ·数据挖掘的概念 | 第19-20页 |
| ·数据挖掘过程 | 第20-21页 |
| ·数据挖掘的目标和方法 | 第21-22页 |
| ·数据挖掘技术在入侵检测中的应用 | 第22-25页 |
| ·基于数据挖掘的入侵检测系统的特点 | 第22-23页 |
| ·运用数据挖掘技术构建入侵检测引擎的过程 | 第23-24页 |
| ·可用于入侵检测领域的数据挖掘算法 | 第24-25页 |
| ·本文的研究重点 | 第25-27页 |
| ·研究内容 | 第25-27页 |
| ·本研究的主要难点 | 第27页 |
| ·小结 | 第27-28页 |
| 第三章 网络数据集的处理 | 第28-49页 |
| ·传输层协议简介 | 第28-32页 |
| ·传输控制协议(TCP) | 第28-31页 |
| ·用户数据报协议(UDP) | 第31-32页 |
| ·TCPDUMP及其输出格式 | 第32-34页 |
| ·TCPDUMP简介 | 第32-33页 |
| ·TCPDUMP的数据输出格式 | 第33-34页 |
| ·TCPDUMP原始输出数据的处理框架 | 第34-36页 |
| ·TCPDUMP原始输出数据的处理全过程 | 第36-48页 |
| ·TCPDUMP原始输出文件的分解 | 第36-37页 |
| ·TCP报文段的分解处理 | 第37-40页 |
| ·处理TCP报文块形成连接记录 | 第40-48页 |
| ·小结 | 第48-49页 |
| 第四章 异常检测分类模型 | 第49-67页 |
| ·实验数据集 | 第49-51页 |
| ·数据分类技术及Ripper算法 | 第51-53页 |
| ·使用基本属性构造分类模型 | 第53-58页 |
| ·扩展属性的构造 | 第58-61页 |
| ·使用扩展属性构建分类模型 | 第61-65页 |
| ·工作总结 | 第65-66页 |
| ·小结 | 第66-67页 |
| 第五章 今后的工作 | 第67-69页 |
| 参考文献 | 第69-74页 |
| 附录1 TCP报文段处理过程中各输出结果 | 第74-82页 |
| 1 按传输层协议对TCPDUMP原始输出文件分解的输出结果 | 第74-75页 |
| 2 按目标服务类型划分TCP报文的输出结果 | 第75-76页 |
| 3 形成TCP报文块的输出结果 | 第76-77页 |
| 4 形成TCP连接记录的输出结果 | 第77-78页 |
| 5 按时间先后排序后的输出结果 | 第78-79页 |
| 6 构建统计特征属性后的输出结果 | 第79-80页 |
| 7 为Ripper程序输入要求而进行格式转化的输出结果 | 第80-82页 |
| 附录2 Ripper算法names文件示例 | 第82-83页 |
| 附录3 Ripper算法生成的规则文件示例 | 第83-84页 |
| 致谢 | 第84-85页 |
| 攻读学位期间发表的学术论文 | 第85页 |