| 摘要 | 第4-6页 |
| ABSTRACT | 第6-8页 |
| 第一章 绪论 | 第11-37页 |
| 1.1 选题背景和研究意义 | 第11-19页 |
| 1.1.1 网络安全发展概述 | 第11-13页 |
| 1.1.2 APT攻击检测方法概述 | 第13-16页 |
| 1.1.3 APT背景下的威胁评估方法概述 | 第16-19页 |
| 1.2 研究现状和背景知识 | 第19-32页 |
| 1.2.1 APT攻击检测研究现状和背景知识 | 第20-28页 |
| 1.2.2 基于模型的威胁评估研究现状和背景知识 | 第28-32页 |
| 1.3 本文研究的思路 | 第32-34页 |
| 1.4 本文研究内容及主要贡献 | 第34-35页 |
| 1.5 本文的组织结构 | 第35-36页 |
| 1.6 本章小结 | 第36-37页 |
| 第二章 基于攻击图的大规模告警并行关联分析研究 | 第37-56页 |
| 2.1 引言 | 第37-38页 |
| 2.2 基于攻击图的多源告警关联分析 | 第38-42页 |
| 2.2.1 基于攻击图的告警映射 | 第38-39页 |
| 2.2.2 基于攻击图的多源关联分析 | 第39-42页 |
| 2.3 基于攻击图的告警处理并行化 | 第42-47页 |
| 2.3.1 AG-PAP:基于攻击图的并行告警处理系统结构 | 第42-43页 |
| 2.3.2 AG-PM:基于攻击图的并行告警映射 | 第43-44页 |
| 2.3.3 AG-GAS:基于攻击图的并行告警关联分析 | 第44-47页 |
| 2.4 分析与实验验证 | 第47-55页 |
| 2.4.1 分析效果实验 | 第47-52页 |
| 2.4.2 分布式性能分析 | 第52-55页 |
| 2.5 本章小结 | 第55-56页 |
| 第三章 基于访问行为和时间序列挖掘的流异常检测研究 | 第56-87页 |
| 3.1 引言 | 第56-57页 |
| 3.2 模型和背景 | 第57-67页 |
| 3.2.1 服务端应用发现和访问流转换 | 第58-62页 |
| 3.2.2 聚合访问流特征提取 | 第62-65页 |
| 3.2.3 PSOLGA算法 | 第65-67页 |
| 3.3 访问模型与异常检测 | 第67-74页 |
| 3.3.1 访问行为模型 | 第67-68页 |
| 3.3.2 基于访问行为模型的异常检测 | 第68-69页 |
| 3.3.3 级联时序访问模型 | 第69-73页 |
| 3.3.4 基于级联时序访问模型的异常检测 | 第73-74页 |
| 3.4 分析与实验验证 | 第74-85页 |
| 3.4.1 PSOLGA算法效果实验 | 第74-78页 |
| 3.4.2 基于访问流行为的异常检测实验 | 第78-84页 |
| 3.4.3 基于级联时序访问模型的异常检测实验 | 第84-85页 |
| 3.5 本章小结 | 第85-87页 |
| 第四章 基于攻击图的多步攻击的威胁评估研究 | 第87-105页 |
| 4.1 引言 | 第87-88页 |
| 4.2 问题描述 | 第88-89页 |
| 4.3 相关定义 | 第89-93页 |
| 4.3.1 单节点威胁值定义 | 第89-90页 |
| 4.3.2 双向威胁距离定义 | 第90-93页 |
| 4.4 基于攻击图的双向威胁评估算法 | 第93-97页 |
| 4.4.1 初始威胁距离算法 | 第93-95页 |
| 4.4.2 目标威胁距离算法 | 第95-97页 |
| 4.4.3 算法复杂度分析 | 第97页 |
| 4.5 攻击序列威胁评估 | 第97-99页 |
| 4.6 分析与实验验证 | 第99-104页 |
| 4.7 本章小结 | 第104-105页 |
| 第五章 总结与展望 | 第105-108页 |
| 5.1 论文研究工作总结 | 第105-106页 |
| 5.2 未来研究展望 | 第106-108页 |
| 参考文献 | 第108-119页 |
| 致谢 | 第119-121页 |
| 攻读博士学位期间发表的论文 | 第121页 |
