| 摘要 | 第11-12页 |
| Abstract | 第12页 |
| 1 绪论 | 第13-16页 |
| 1.1 研究背景 | 第13页 |
| 1.2 研究内容 | 第13-14页 |
| 1.3 研究现状 | 第14页 |
| 1.4 研究意义 | 第14-16页 |
| 2 相关技术简介 | 第16-19页 |
| 2.1 采集技术 | 第16页 |
| 2.2 分布式技术 | 第16页 |
| 2.3 ETL技术 | 第16-17页 |
| 2.4 数据处理技术 | 第17页 |
| 2.5 全文检索技术 | 第17页 |
| 2.6 数据仓库技术 | 第17页 |
| 2.7 实时数据处理技术 | 第17-18页 |
| 2.8 机器学习技术 | 第18-19页 |
| 3 系统总体架构设计 | 第19-24页 |
| 3.1 总体设计与实现思路 | 第19-20页 |
| 3.2 系统功能框架设计与实现 | 第20页 |
| 3.3 概述 | 第20页 |
| 3.4 开放能力的意义 | 第20-24页 |
| 3.4.1 系统架构设计与实现 | 第21-23页 |
| 3.4.2 系统架构设计与实现解耦性 | 第23-24页 |
| 4 异常行为精确感知模块设计与实现 | 第24-33页 |
| 4.1 异常行为精确感知概述 | 第24页 |
| 4.2 异常行为精确感知关键理论和技术概述 | 第24-25页 |
| 4.2.1 基于异常行为的数据采集和分析 | 第24-25页 |
| 4.2.2 基于资产健康度的风险值计算 | 第25页 |
| 4.2.3 基于异常行为的实时定位和智能感知 | 第25页 |
| 4.2.4 基于异常行为的动态交互和可视化 | 第25页 |
| 4.3 异常行为精确感知设计 | 第25-27页 |
| 4.3.1 数据采集及处理 | 第26页 |
| 4.3.2 异常行为及计算 | 第26-27页 |
| 4.3.3 风险感知可视化 | 第27页 |
| 4.4 异常行为精确感知实现 | 第27-33页 |
| 4.4.1 风险要素模型 | 第27-28页 |
| 4.4.2 安全需求分析数据获取过程 | 第28页 |
| 4.4.3 异常行为分析与安全防护措施分析过程 | 第28-29页 |
| 4.4.4 脆弱性分析过程 | 第29页 |
| 4.4.5 风险计算过程 | 第29页 |
| 4.4.6 异常行为的展现 | 第29-33页 |
| 5 异常行为检测分析模块设计与实现 | 第33-47页 |
| 5.1 异常行为检测分析概述 | 第33页 |
| 5.2 异常行为检测分析理论和技术概述 | 第33-37页 |
| 5.2.1 安全异常行为机读格式 | 第33-34页 |
| 5.2.2 网络爬虫技术 | 第34页 |
| 5.2.3 自然语言处理技术 | 第34页 |
| 5.2.4 异常行为分析技术 | 第34-37页 |
| 5.3 异常行为检测分析设计 | 第37-38页 |
| 5.4 异常行为检测分析实现 | 第38-44页 |
| 5.4.1 安全异常行为门户 | 第38-40页 |
| 5.4.2 外部异常行为采集 | 第40页 |
| 5.4.3 内部异常行为信息采集 | 第40-42页 |
| 5.4.4 安全异常行为分析 | 第42-43页 |
| 5.4.5 安全异常行为库 | 第43-44页 |
| 5.5 应用实例 | 第44-47页 |
| 5.5.1 案例一:内外结合、快速消除软件漏洞造成的安全隐患 | 第44-46页 |
| 5.5.2 案例二:通过安全异常行为实现恶意网络的攻击防御 | 第46-47页 |
| 6 异常行为攻击路径溯源模块设计与实现 | 第47-59页 |
| 6.1 异常行为攻击路径溯源概述 | 第47页 |
| 6.2 异常行为攻击路径溯源关键理论和技术概述 | 第47-50页 |
| 6.2.1 APT攻击推演 | 第47-48页 |
| 6.2.2 杀伤链模型 | 第48-49页 |
| 6.2.3 网络拓扑还原技术 | 第49-50页 |
| 6.2.4 基于攻击图的网络异常行为计算 | 第50页 |
| 6.2.5 主机攻击图的网络安全性 | 第50页 |
| 6.2.6 基于规划方法的最小攻击图生成与分析 | 第50页 |
| 6.3 异常行为攻击路径溯源设计 | 第50-52页 |
| 6.3.1 攻击过程溯源框架 | 第51-52页 |
| 6.3.2 攻击网络溯源框架 | 第52页 |
| 6.4 异常行为攻击路径溯源实现 | 第52-55页 |
| 6.4.1 还原网络拓扑 | 第53页 |
| 6.4.2 安全事件告警获取 | 第53-55页 |
| 6.5 应用案例 | 第55-59页 |
| 7 异常行为感知计算模块设计与实现 | 第59-88页 |
| 7.1 异常行为感知计算模块概述 | 第59页 |
| 7.2 异常行为感知计算模块关键理论和技术概述 | 第59-65页 |
| 7.2.1 数据挖掘CRISP-DM方法 | 第59-60页 |
| 7.2.2 数据挖掘步骤 | 第60-61页 |
| 7.2.3 画像技术 | 第61页 |
| 7.2.4 聚类分析 | 第61-64页 |
| 7.2.5 关联分析 | 第64页 |
| 7.2.6 时间数据挖掘 | 第64-65页 |
| 7.3 异常行为感知计算模块设计 | 第65-68页 |
| 7.4 异常行为感知计算模块实现 | 第68-71页 |
| 7.4.1 数据来源 | 第68-69页 |
| 7.4.2 数据准备 | 第69-70页 |
| 7.4.3 数据分析 | 第70页 |
| 7.4.4 统计分析 | 第70页 |
| 7.4.5 统计指标 | 第70-71页 |
| 7.5 应用案例 | 第71-88页 |
| 7.5.1 画像图谱 | 第71页 |
| 7.5.2 人员画像 | 第71-75页 |
| 7.5.3 终端画像 | 第75-78页 |
| 7.5.4 业务系统异常访问行为 | 第78-82页 |
| 7.5.5 异常邮件识别 | 第82-88页 |
| 8 基于大数据的网络异常行为检测系统测试 | 第88-105页 |
| 8.1 系统测试概述 | 第88-90页 |
| 8.1.1 测试组网方案说明 | 第88页 |
| 8.1.2 设备配置方案说明 | 第88-89页 |
| 8.1.3 服务器功能说明 | 第89-90页 |
| 8.2 系统功能测试 | 第90-94页 |
| 8.2.1 测试模型 | 第90-91页 |
| 8.2.2 功能测试结果 | 第91-94页 |
| 8.3 系统性能测试 | 第94-104页 |
| 8.3.1 测试预期 | 第94-95页 |
| 8.3.2 基准测试 | 第95-101页 |
| 8.3.3 负载测试 | 第101-102页 |
| 8.3.4 稳定性测试 | 第102-104页 |
| 8.4 本章小结 | 第104-105页 |
| 小结 | 第105-106页 |
| 参考文献 | 第106-109页 |
| 致谢 | 第109-110页 |