| 摘要 | 第1-8页 |
| Abstract | 第8-10页 |
| 第一章 引言 | 第10-20页 |
| §1.1 网络安全及入侵检测 | 第10-17页 |
| §1.1.1 网络安全的目标 | 第10-12页 |
| §1.1.2 传统网络安全技术 | 第12-13页 |
| §1.1.3 研究入侵检测的必要性 | 第13-15页 |
| §1.1.4 入侵检测相关概念及术语 | 第15-17页 |
| §1.2 主要研究内容和创新点 | 第17-18页 |
| §1.3 论文章节安排 | 第18-20页 |
| 第二章 相关工作 | 第20-33页 |
| §2.1 异常检测 | 第20-23页 |
| §2.1.1 基于统计方法的异常检测 | 第20-21页 |
| §2.1.2 基于贝叶斯推理的异常检测 | 第21-22页 |
| §2.1.3 基于神经网络的异常检测 | 第22页 |
| §2.1.4 基于数据挖掘的异常检测 | 第22-23页 |
| §2.1.5 基于免疫学的异常检测 | 第23页 |
| §2.2 误用检测 | 第23-25页 |
| §2.2.1 基于专家系统的误用检测 | 第24页 |
| §2.2.2 基于条件概率的误用检测 | 第24页 |
| §2.2.3 基于状态转移分析的误用检测 | 第24-25页 |
| §2.2.4 基于模型误用的误用检测 | 第25页 |
| §2.3 分布式入侵检测系统结构分析 | 第25-29页 |
| §2.3.1 集中式 | 第25-26页 |
| §2.3.2 层次化 | 第26-28页 |
| §2.3.3 完全分布式 | 第28-29页 |
| §2.4 入侵描述语言 | 第29-32页 |
| §2.5 本章小结 | 第32-33页 |
| 第三章 基本检测事件的规范化 | 第33-45页 |
| §3.1 基本检测事件规范化的需求分析 | 第33-34页 |
| §3.2 基本检测事件数据模型 | 第34-36页 |
| §3.3 基于XML的基本检测事件规范 | 第36-43页 |
| §3.3.1 Detect_Event类 | 第37页 |
| §3.3.2 Sensor_Event类 | 第37-38页 |
| §3.3.3 Sensor类 | 第38-39页 |
| §3.3.4 Packet类 | 第39-41页 |
| §3.3.5 SubIDS_Event类 | 第41-43页 |
| §3.4 基本检测事件范例 | 第43-44页 |
| §3.5 本章小结 | 第44-45页 |
| 第四章 分布式多步骤入侵场景建模及其描述 | 第45-59页 |
| §4.1 分布式多步骤入侵场景建模 | 第46-48页 |
| §4.1.1 检测子任务 | 第46-47页 |
| §4.1.2 检测子任务序列 | 第47页 |
| §4.1.3 约束条件的组合 | 第47-48页 |
| §4.2 分布式多步骤入侵模型的抽象描述 | 第48-53页 |
| §4.2.1 检测子任务的抽象语法 | 第48-51页 |
| §4.2.2 分布式多步骤入侵模型描述的抽象语法 | 第51页 |
| §4.2.3 分布式多步骤入侵模型的一个抽象描述例子 | 第51-53页 |
| §4.3 分布式多步骤入侵特征语言 | 第53-57页 |
| §4.4 本章小结 | 第57-59页 |
| 第五章 用于检测的DMISL扩展有限状态机 | 第59-68页 |
| §5.1 DEFSM核心结构的构建 | 第60-65页 |
| §5.2 DEFSM中状态输出的变量 | 第65-67页 |
| §5.2.1 到达每个状态前已赋值过的变量集合 | 第65-66页 |
| §5.2.2 动态约束的重定位 | 第66-67页 |
| §5.2.3 转移的输出变量集合计算 | 第67页 |
| §5.3 本章小结 | 第67-68页 |
| 第六章 DACIDS体系结构及分布式协同检测算法 | 第68-76页 |
| §6.1 协同关联节点 | 第68-71页 |
| §6.1.1 本地检测组件 | 第69-70页 |
| §6.1.2 协同关联分析器 | 第70-71页 |
| §6.2 目录服务 | 第71-72页 |
| §6.3 管理器 | 第72页 |
| §6.4 协同检测 | 第72-74页 |
| §6.5 事件同步 | 第74-75页 |
| §6.6 本章小结 | 第75-76页 |
| 第七章 基于特征的网络子IDS性能改进 | 第76-86页 |
| §7.1 AC状态机匹配算法 | 第76-80页 |
| §7.1.1 模式匹配定义 | 第76页 |
| §7.1.2 BM算法 | 第76-77页 |
| §7.1.3 AC状态机匹配算法 | 第77-78页 |
| §7.1.4 Ac状态机匹配算法在特征检测子模块中的使用 | 第78-79页 |
| §7.1.5 实验比较 | 第79-80页 |
| §7.2 利用URL Cache提升网络入侵检测子系统性能 | 第80-85页 |
| §7.2.1 NIDS的Web特征规则 | 第80-81页 |
| §7.2.2 Snort中的Web入侵检测 | 第81-82页 |
| §7.2.3 URL Cache思想 | 第82-83页 |
| §7.2.3 算法设计 | 第83-84页 |
| §7.2.4 性能评估 | 第84-85页 |
| §7.3 本章小结 | 第85-86页 |
| 第八章 告警融合 | 第86-94页 |
| §8.1 入侵行为模式(IAP) | 第86-88页 |
| §8.2 使用入侵行为模式进行告警融合 | 第88-89页 |
| §8.2.1 减少告警数量 | 第88页 |
| §8.2.2 用于虚警处理 | 第88-89页 |
| §8.3 入侵行为模式匹配算法 | 第89-91页 |
| §8.3.1 扩展有限状态机的生成 | 第89-90页 |
| §8.3.2 模式匹配算法 | 第90-91页 |
| §8.3.3 关于算法的说明 | 第91页 |
| §8.4 告警融合模块 | 第91-93页 |
| §8.5 本章小结 | 第93-94页 |
| 第九章 总结与展望 | 第94-96页 |
| §9.1 本文研究内容总结 | 第94-95页 |
| §9.2 进一步研究工作的展望 | 第95-96页 |
| 致谢 | 第96-97页 |
| 参考文献 | 第97-104页 |
| 攻读博士期间发表的论文 | 第104页 |
| 攻读博士期间的译著 | 第104页 |
