入侵檢測技術(shù)

出版說明
前言
第1章 入侵檢測基礎(chǔ)知識
1.1 入侵檢測的產(chǎn)生與發(fā)展
1.1.1 早期研究
1.1.2 主機(jī)IDS研究
1.1.3 網(wǎng)絡(luò)IDS研究
1.1.4 主機(jī)和網(wǎng)絡(luò)入侵檢測的集成
1.2 入侵檢測的基本概念
1.2.1 入侵檢測的概念
1.2.2 入侵檢測的作用
1.2.3 研究入侵檢測的必要性
1.3 練習(xí)題
第2章 入侵檢測系統(tǒng)
2.1 入侵檢測系統(tǒng)的基本模型
2.1.1 通用入侵檢測模型
2.1.2 IDM模型
2.1.3 SNMP－IDSM模型
2.2 入侵檢測系統(tǒng)的工作模式
2.3 入侵檢測系統(tǒng)的分類
2.4 入侵檢測系統(tǒng)的數(shù)據(jù)源
2.4.1 基于主機(jī)的數(shù)據(jù)源
2.4.2 基于網(wǎng)絡(luò)的數(shù)據(jù)源
2.4.3 應(yīng)用程序日志文件
2.4.4 其他入侵檢測系統(tǒng)的報(bào)警信息
2.5 入侵檢測系統(tǒng)的部署
2.6 練習(xí)題
第3章 入侵檢測技術(shù)
3.1 入侵檢測的過程
3.1.1 信息收集
3.1.2 信息分析
3.1.3 告警與響應(yīng)
3.2 入侵分析的概念
3.2.1 入侵分析的定義
3.2.2 入侵分析的目的
3.2.3 入侵分析需要考慮的因素
3.3 入侵分析的模型
3.3.1 構(gòu)建分析器
3.3.2 對現(xiàn)場數(shù)據(jù)進(jìn)行分析
3.3.3 反饋和提煉
3.4 入侵分析方法
3.4.1 誤用檢測
3.4.2 異常檢測
3.4.3 可代替的檢測方案
3.5 告警與響應(yīng)
3.5.1 對響應(yīng)的需求
3.5.2 響應(yīng)的類型
3.5.3 調(diào)查期間掩蓋跟蹤
3.5.4 按策略配置響應(yīng)
3.6 入侵追蹤
3.6.1 通信過程的記錄設(shè)定
3.6.2 查找記錄
3.6.3 地理位置的追蹤
3.6.4 來電顯示
3.6.5 使用IP地址和域名
3.6.6 Web欺騙的攻擊和策略
3.7 練習(xí)題
第4章 入侵檢測系統(tǒng)的性能指標(biāo)和評估標(biāo)準(zhǔn)
4.1 影響入侵檢測系統(tǒng)性能的參數(shù)
4.2 評價(jià)檢測算法性能的測度
4.3 評價(jià)入侵檢測系統(tǒng)性能的標(biāo)準(zhǔn)
4.4 網(wǎng)絡(luò)入侵檢測系統(tǒng)測試評估
4.5 測試評估內(nèi)容
4.5.1 功能性測試
4.5.2 性能測試
4.5.3 產(chǎn)品可用性測試
4.6 測試環(huán)境和測試軟件
4.6.1 測試環(huán)境
4.6.2 測試軟件
4.7 用戶評估標(biāo)準(zhǔn)
4.8 入侵檢測評估現(xiàn)狀
4.8.1 離線評估方案
4.8.2 實(shí)時(shí)評估方案
4.9 練習(xí)題
第5章 主要入侵檢測系統(tǒng)分析及入侵檢測的標(biāo)準(zhǔn)化工作
5.1 國外主要入侵檢測系統(tǒng)簡介
5.1.1 RealSecure
5.1.2 Cisco公司的Cisco Secure IDS
5.1.3 AAFID
5.2 國內(nèi)主要入侵檢測系統(tǒng)簡介
5.2.1 “天眼”網(wǎng)絡(luò)入侵檢測系統(tǒng)
5.2.2 “天闐”黑客入侵檢測系統(tǒng)
5.2.3 “冰之眼”網(wǎng)絡(luò)入侵檢測系統(tǒng)
5.2.4 ERCIST-IDS網(wǎng)絡(luò)入侵檢測系統(tǒng)
5.3 入侵檢測的標(biāo)準(zhǔn)化工作
5.3.1 CIDF的標(biāo)準(zhǔn)化工作
5.3.2 IDWG的標(biāo)準(zhǔn)化
5.3.3 標(biāo)準(zhǔn)化工作總結(jié)
5.4 練習(xí)題
第6章 入侵檢測系統(tǒng)的實(shí)現(xiàn)
6.1 系統(tǒng)的體系結(jié)構(gòu)
6.1.1 現(xiàn)有入侵檢測系統(tǒng)的局限性
6.1.2 Agent在IDS中的作用
6.1.3 系統(tǒng)的體系結(jié)構(gòu)
6.1.4 系統(tǒng)策略
6.1.5 關(guān)鍵技術(shù)分析
6.2 主機(jī)Agent的設(shè)計(jì)和實(shí)現(xiàn)
6.2.1 Linux安全性分析
6.2.2 設(shè)計(jì)思路
6.2.3 主機(jī)Agent的結(jié)構(gòu)
6.2.4 主機(jī)Agent的具體實(shí)現(xiàn)
6.3 分析Agent的設(shè)計(jì)和實(shí)現(xiàn)
6.3.1 分析Agent的結(jié)構(gòu)
6.3.2 具體實(shí)現(xiàn)
6.4 中心Agent的設(shè)計(jì)和實(shí)現(xiàn)
6.4.1 中心Agent的結(jié)構(gòu)
6.4.2 具體實(shí)現(xiàn)
6.5 Agent之間通信的設(shè)計(jì)和實(shí)現(xiàn)
6.5.1 告警審計(jì)數(shù)據(jù)的傳送
6.5.2 控制信息的傳送
6.6 練習(xí)題
第7章 Snort分析
7.1 Snort的安裝與配置
7.1.1 Snort簡介
7.1.2 底層庫的安裝與配置
7.1.3 Snort的安裝
7.1.4 Snort的配置
7.1.5 其他應(yīng)用支撐的安裝與配置
7.2 Snort的使用
7.2.1 Libpcap的命令行
7.2.2 Snort的命令行
7.2.3 高性能的配置方式
7.3 Snort的規(guī)則
7.3.1 規(guī)則的語法
7.3.2 常用攻擊手段對應(yīng)規(guī)則舉例
7.3.3 規(guī)則的設(shè)計(jì)
7.4 Snort總體結(jié)構(gòu)分析
7.4.1 Snort的模塊結(jié)構(gòu)
7.4.2 插件機(jī)制
7.4.3 libpcap應(yīng)用的流程
7.4.4 Snort的總體流程
7.4.5 入侵檢測流程
7.5 練習(xí)題
第8章 入侵檢測的發(fā)展趨勢
8.1 入侵檢測技術(shù)現(xiàn)狀分析
8.2 目前的技術(shù)趨勢
8.2.1 大規(guī)模網(wǎng)絡(luò)的問題
8.2.2 網(wǎng)絡(luò)結(jié)構(gòu)的變化
8.2.3 網(wǎng)絡(luò)復(fù)雜化的思考
8.2.4 高速網(wǎng)絡(luò)的挑戰(zhàn)
8.2.5 無線網(wǎng)絡(luò)的進(jìn)步
8.2.6 分布式計(jì)算
8.2.7 入侵復(fù)雜化
8.2.8 多種分析方法并存的局面
8.3 未來的安全趨勢
8.3.1 管理
8.3.2 保護(hù)隱私安全
8.3.3 加密
8.3.4 可靠傳輸信任管理
8.4 入侵檢測的前景
8.4.1 入侵檢測的能力
8.4.2 高度的分布式結(jié)構(gòu)
8.4.3 廣泛的信息源
8.4.4 硬件防護(hù)
8.4.5 高效的安全眼務(wù)
8.5 練習(xí)題
參考文獻(xiàn)
附錄 選擇題答案