基于蜜罐日志分析的主动防御研究和实现
| 摘要 | 第1-5页 |
| ABSTRACT | 第5-10页 |
| 图片目录 | 第10-12页 |
| 表格目录 | 第12-13页 |
| 第一章 绪论 | 第13-18页 |
| ·研究背景与意义 | 第13-14页 |
| ·国内外研究现状与水平 | 第14-16页 |
| ·主动防御的概念及必要性分析 | 第14-15页 |
| ·数据挖掘的概念 | 第15页 |
| ·蜜罐日志分析的国内外研究现状 | 第15-16页 |
| ·本论文的研究内容、主要工作 | 第16-17页 |
| ·全文章节安排 | 第17-18页 |
| 第二章 主动防御与蜜罐技术 | 第18-28页 |
| ·主动防御技术体系 | 第18-20页 |
| ·入侵防护技术 | 第18页 |
| ·入侵检测技术 | 第18-19页 |
| ·入侵预测技术 | 第19页 |
| ·入侵响应技术 | 第19-20页 |
| ·蜜罐的基本功能及组成 | 第20-23页 |
| ·蜜罐的定义 | 第20页 |
| ·蜜罐的基本组件 | 第20-22页 |
| ·蜜罐的功能模块 | 第22页 |
| ·蜜罐在网络安全中的作用 | 第22-23页 |
| ·蜜罐的配置模式 | 第23页 |
| ·蜜罐的行为监测和日志记录 | 第23-26页 |
| ·确定安全防护的基线 | 第24-25页 |
| ·行为监测 | 第25页 |
| ·日志记录 | 第25页 |
| ·报警 | 第25-26页 |
| ·对蜜罐日志进行分析的优点 | 第26-27页 |
| ·本章小结 | 第27-28页 |
| 第三章 网络入侵行为特征与日志关联分析 | 第28-35页 |
| ·威胁事件的定义及分类 | 第28-29页 |
| ·典型网络攻击行为的特征分析和日志关联记录 | 第29-32页 |
| ·字典攻击 | 第29页 |
| ·未经授权执行程序或命令 | 第29-30页 |
| ·权限升级 | 第30页 |
| ·利用CGI 漏洞 | 第30-31页 |
| ·DoS 和DDoS | 第31页 |
| ·计算机病毒和蠕虫 | 第31-32页 |
| ·后门或远程控制程序 | 第32页 |
| ·HLAS 使用的攻击检测方法 | 第32-34页 |
| ·自顶向底方法(攻击→日志) | 第33-34页 |
| ·自底向顶方法(日志→攻击) | 第34页 |
| ·本章小结 | 第34-35页 |
| 第四章 蜜罐日志分析系统(HLAS)的总体设计 | 第35-49页 |
| ·HLAS 中的日志文件及其格式 | 第35-45页 |
| ·EVT 日志 | 第35-36页 |
| ·W3C 日志 | 第36-37页 |
| ·Syslog 日志 | 第37-41页 |
| ·TCPDump 日志 | 第41页 |
| ·Snort 日志 | 第41-42页 |
| ·NetFlow 日志 | 第42-43页 |
| ·WELF 日志 | 第43-45页 |
| ·蜜罐日志分析系统(HLAS)的设计目标 | 第45页 |
| ·蜜罐日志分析系统(HLAS)的整体设计 | 第45-47页 |
| ·数据库表结构的设计 | 第47-48页 |
| ·本章小结 | 第48-49页 |
| 第五章 蜜罐日志分析系统(HLAS)的具体实现 | 第49-68页 |
| ·日志数据捕获模块的实现 | 第49-52页 |
| ·Windows 系统日志的捕获 | 第49页 |
| ·Linux 系统日志的捕获 | 第49-50页 |
| ·网络流量日志的捕获 | 第50-51页 |
| ·防火墙日志的捕获 | 第51-52页 |
| ·IDS 日志的捕获 | 第52页 |
| ·日志远程存储模块的实现 | 第52-56页 |
| ·以文件形式的远程存储 | 第53-55页 |
| ·以数据库表形式的远程存储 | 第55-56页 |
| ·攻击检测模块的实现 | 第56-61页 |
| ·基于关联规则数据挖掘算法的攻击检测 | 第57-58页 |
| ·基于序列模式数据挖掘算法的攻击检测 | 第58-59页 |
| ·基于简单攻击特征的攻击检测 | 第59页 |
| ·攻击检测模块的具体实现过程 | 第59-61页 |
| ·日志审计模块的实现 | 第61-64页 |
| ·日志审计模块基本流程 | 第61-62页 |
| ·日志审计模块的具体实现过程 | 第62-64页 |
| ·日志保护模块的实现 | 第64页 |
| ·日志审计模板模块 | 第64-66页 |
| ·本章小结 | 第66-68页 |
| 第六章 蜜罐日志分析系统(HLAS)相关试验 | 第68-79页 |
| ·基于蜜罐日志分析的攻击检测试验 | 第68-73页 |
| ·基于系统日志分析的蛮力攻击检测试验 | 第68-69页 |
| ·基于IIS 日志分析的SQL 注入攻击检测试验 | 第69-71页 |
| ·基于IIS 日志分析的ASP 攻击检测试验 | 第71-73页 |
| ·蜜罐日志审计实例 | 第73-78页 |
| ·系统日志审计试验 | 第73-76页 |
| ·防火墙流量日志审计试验 | 第76-78页 |
| ·本章小结 | 第78-79页 |
| 第七章 全文总结及进一步的展望 | 第79-81页 |
| ·全文总结 | 第79-80页 |
| ·下一步展望 | 第80-81页 |
| 附录 | 第81-84页 |
| 附录A Struts-config.xml | 第81-83页 |
| 附录B Hibernate.cfg.xml | 第83-84页 |
| 参考文献 | 第84-87页 |
| 致谢 | 第87-89页 |
| 攻读硕士学位期间已经录用的论文 | 第89-91页 |
