| 第一章 引言 | 第1-10页 |
| ·研究背景 | 第8-9页 |
| ·论文结构 | 第9-10页 |
| 第二章 审计轨迹分析:问题和方法 | 第10-14页 |
| ·入侵检测工具的目标和技术 | 第10页 |
| ·基于审计信息的入侵检测 | 第10-11页 |
| ·攻击场景的复杂性和多样性 | 第11-12页 |
| ·数据量和选取问题 | 第12-13页 |
| ·复用:一般性和通用性 | 第13页 |
| ·用户界面 | 第13-14页 |
| 第三章 RUSSEL在SecLinux上的应用 | 第14-26页 |
| ·扩展的ASAX体系结构 | 第14-15页 |
| ·RUSSEL的简介 | 第15-19页 |
| ·简单示例 | 第15-19页 |
| ·示例A:简单选取 | 第16-17页 |
| ·示例B:记录序列的选取 | 第17-18页 |
| ·示例C:多重分析程序 | 第18-19页 |
| ·基本概念 | 第19-20页 |
| ·被分析的文件 | 第19页 |
| ·当前记录 | 第19页 |
| ·当前环境 | 第19页 |
| ·数据类型 | 第19页 |
| ·RUSSEL的词法和语法 | 第19-20页 |
| ·扩展RUSSEL的特点 | 第20-22页 |
| ·通用 | 第20页 |
| ·强大 | 第20-21页 |
| ·效率 | 第21-22页 |
| ·SecLinux规则示例 | 第22-26页 |
| ·示例A:检测外部渗透 | 第22页 |
| ·示例B:检测滥用权利的用户的渗透 | 第22-23页 |
| ·示例C:检测伪装者的内部渗透 | 第23-24页 |
| ·示例D:检测可疑的场景 | 第24-26页 |
| 第四章 格式转换器的设计与实现 | 第26-32页 |
| ·标准化审计数据格式(Normalized Audit Data Format) | 第26-27页 |
| ·详述NADF文件格式 | 第26页 |
| ·NADF记录的对齐 | 第26-27页 |
| ·审计数据描述文件 | 第27-28页 |
| ·格式转换器(Format Adaptor)的实现 | 第28页 |
| ·SecLinux3.0的格式转换器 | 第28-32页 |
| ·审计数据结构 | 第29页 |
| ·操作函数表 | 第29-32页 |
| ·读取操作 | 第29-30页 |
| ·转换操作 | 第30-32页 |
| 第五章 分析器的实现 | 第32-51页 |
| ·内部代码结构 | 第32-34页 |
| ·数据表示 | 第32-34页 |
| ·审计数据表示 | 第32-33页 |
| ·数值列表的表示 | 第33页 |
| ·局部环境的表示 | 第33页 |
| ·规则集的表示 | 第33-34页 |
| ·单元表示法和抽象机器语言 | 第34-35页 |
| ·简单表达式 | 第34页 |
| ·复合表达式 | 第34-35页 |
| ·抽象机器指令集 | 第35-38页 |
| ·算数指令 | 第35-36页 |
| ·关系比较指令 | 第36页 |
| ·赋值 | 第36页 |
| ·审计数据存在测试 | 第36页 |
| ·规则激活 | 第36-38页 |
| ·用户自定义例程调用 | 第38-45页 |
| ·库描述文件 | 第38-39页 |
| ·参数 | 第39-41页 |
| ·解析实现 | 第41-45页 |
| ·库描述文件解析入口 | 第41页 |
| ·解析库描述文件 | 第41-42页 |
| ·解析一个例程描述符 | 第42页 |
| ·添加目标模块到模块列表中 | 第42页 |
| ·解析例程类型和名称 | 第42-43页 |
| ·参数解析入口 | 第43页 |
| ·分类参数解析 | 第43-44页 |
| ·变长参数解析 | 第44页 |
| ·定长参数解析 | 第44页 |
| ·解析一个参数描述符 | 第44-45页 |
| ·规则内部代码示例 | 第45-46页 |
| ·抽象机器指令的声明 | 第46-48页 |
| ·主要的全局数据结构 | 第48-51页 |
| ·规则描述符表 | 第48-49页 |
| ·当前记录表 | 第49页 |
| ·标准库函数表 | 第49-50页 |
| ·名称映射表 | 第50-51页 |
| 第六章 总结与提高 | 第51-54页 |
| ·工作总结 | 第51页 |
| ·进一步的提高 | 第51-54页 |
| 参考文献 | 第54-56页 |
| 附录 | 第56-59页 |
| 发表文章目录 | 第59-60页 |
| 致谢 | 第60页 |