入侵檢測技術(shù)

第1章　入侵檢測概述
1.1　網(wǎng)絡(luò)安全基本概念　
1.1.1　網(wǎng)絡(luò)安全的實質(zhì)　
1.1.2　網(wǎng)絡(luò)系統(tǒng)的安全對策與入侵檢測　
1.1.3　網(wǎng)絡(luò)安全的P2DR模型與入侵檢測　
1.2　入侵檢測的產(chǎn)生與發(fā)展　
1.2.1　早期研究　
1.2.2　主機IDS研究　
1.2.3　網(wǎng)絡(luò)IDS研究　
1.2.4　主機和網(wǎng)絡(luò)IDS的集成　
1.3　入侵檢測的基本概念　
1.3.1　入侵檢測的概念　
1.3.2　入侵檢測的作用　
1.3.3　研究入侵檢測的必要性　
習(xí)題　
第2章　入侵方法與手段　
2.1　網(wǎng)絡(luò)入侵　
2.1.1　什么是網(wǎng)絡(luò)入侵　
2.1.2　網(wǎng)絡(luò)入侵的一般流程　
2.1.3　典型網(wǎng)絡(luò)入侵方法分析　
2.2　漏洞掃描　
2.2.1　掃描器簡介　
2.2.2　秘密掃描　
2.2.3　OS Fingerprint技術(shù)　
2.3　口令破解　
2.3.1　Windows口令文件的格式及安全機制　
2.3.2　UNIX口令文件的格式及安全機制　
2.3.3　破解原理及典型工具　
2.4　拒絕服務(wù)攻擊　
2.4.1　拒絕服務(wù)攻擊的原理　
2.4.2　典型拒絕服務(wù)攻擊的手段　
2.5　分布式拒絕服務(wù)攻擊　
2.6　緩沖區(qū)溢出攻擊　
2.6.1　堆棧的基本原理　
2.6.2　一個簡單的例子　
2.7　格式化字符串攻擊　
2.8　跨站腳本攻擊　
2.9　SQL Injection攻擊　
習(xí)題　
第3章　入侵檢測系統(tǒng)　
3.1　入侵檢測系統(tǒng)的基本模型　
3.1.1　通用入侵檢測模型（Denning模型）　
3.1.2　層次化入侵檢測模型（IDM）　
3.1.3　管理式入侵檢測模型（SNMP-IDSM）　
3.2　入侵檢測系統(tǒng)的工作模式　
3.3　入侵檢測系統(tǒng)的分類　
3.3.1　根據(jù)目標(biāo)系統(tǒng)的類型分類　
3.3.2　根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源分類　
3.3.3　根據(jù)入侵檢測分析方法分類　
3.3.4　根據(jù)檢測系統(tǒng)對入侵攻擊的響應(yīng)方式分類　
3.3.5　根據(jù)系統(tǒng)各個模塊運行的分布方式分類　
3.4 入侵檢測系統(tǒng)的構(gòu)架　
3.4.1　管理者　
3.4.2　代理　
3.5　入侵檢測系統(tǒng)的部署　
3.5.1　網(wǎng)絡(luò)中沒有部署防火墻時　
3.5.2　網(wǎng)絡(luò)中部署防火墻時　
習(xí)題　
第4章　入侵檢測流程　
4.1　入侵檢測的過程　
4.1.1　信息收集　
4.1.2　信息分析　
4.1.3　告警與響應(yīng)　
4.2　入侵檢測系統(tǒng)的數(shù)據(jù)源　
4.2.1　基于主機的數(shù)據(jù)源　
4.2.2　基于網(wǎng)絡(luò)的數(shù)據(jù)源　
4.2.3　應(yīng)用程序日志文件　
4.2.4　其他入侵檢測系統(tǒng)的報警信息　
4.2.5　其他網(wǎng)絡(luò)設(shè)備和安全產(chǎn)品的信息　
4.3　入侵分析的概念　
4.3.1　入侵分析的定義　
4.3.2　入侵分析的目的　
4.3.3　入侵分析應(yīng)考慮的因素　
4.4　入侵分析的模型　
4.4.1　構(gòu)建分析器　
4.4.2　分析數(shù)據(jù)　
4.4.3　反饋和更新　
4.5　入侵檢測的分析方法　
4.5.1　誤用檢測　
4.5.2　異常檢測　
4.5.3　其他檢測方法　
4.6　告警與響應(yīng)　
4.6.1　對響應(yīng)的需求　
4.6.2　響應(yīng)的類型　
4.6.3　按策略配置響應(yīng)　
4.6.4　聯(lián)動響應(yīng)機制　
習(xí)題　
第5章　基于主機的入侵檢測技術(shù)　
5.1　審計數(shù)據(jù)的獲取　
5.1.1　系統(tǒng)日志與審計信息　
5.1.2　數(shù)據(jù)獲取系統(tǒng)結(jié)構(gòu)設(shè)計　
5.2　審計數(shù)據(jù)的預(yù)處理　
5.3　基于統(tǒng)計模型的入侵檢測技術(shù)　
5.4　基于專家系統(tǒng)的入侵檢測技術(shù)　
5.5　基于狀態(tài)轉(zhuǎn)移分析的入侵檢測技術(shù)　
5.6　基于完整性檢查的入侵檢測技術(shù)　
5.7　基于智能體的入侵檢測技術(shù)　
5.8　系統(tǒng)配置分析技術(shù)　
5.9　檢測實例分析　
習(xí)題　
第6章　基于網(wǎng)絡(luò)的入侵檢測技術(shù)　
6.1　分層協(xié)議模型與TCP/IP協(xié)議簇　
6.1.1　TCP/IP協(xié)議模型　
6.1.2　TCP/IP報文格式　
6.2　網(wǎng)絡(luò)數(shù)據(jù)包的捕獲　
6.2.1　局域網(wǎng)和網(wǎng)絡(luò)設(shè)備的工作原理　
6.2.2　Sniffer介紹　
6.2.3　共享和交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲　
6.3　包捕獲機制與BPF模型　
6.3.1　包捕獲機制　
6.3.2　BPF模型　
6.4　基于Libpcap庫的數(shù)據(jù)捕獲技術(shù)　
6.4.1　Libpcap介紹　
6.4.2　Windows平臺下的Winpcap庫　
6.5　檢測引擎的設(shè)計　
6.5.1　模式匹配技術(shù)　
6.5.2　協(xié)議分析技術(shù)　
6.6　網(wǎng)絡(luò)入侵特征實例分析　
6.6.1　特征(Signature)的基本概念　
6.6.2　典型特征——報頭值　
6.6.3　候選特征　
6.6.4　最佳特征　
6.6.5　通用特征　
6.6.6　報頭值關(guān)鍵元素　
6.7　檢測實例分析　
6.7.1　數(shù)據(jù)包捕獲　
6.7.2　端口掃描的檢測　
6.7.3　拒絕服務(wù)攻擊的檢測　
習(xí)題　
第7章　入侵檢測系統(tǒng)的標(biāo)準(zhǔn)與評估　
7.1　入侵檢測的標(biāo)準(zhǔn)化工作　
7.1.1　CIDF　
7.1.2　IDMEF　
7.1.3　標(biāo)準(zhǔn)化工作總結(jié)　
7.2　入侵檢測系統(tǒng)的性能指標(biāo)　
7.2.1　評價入侵檢測系統(tǒng)性能的標(biāo)準(zhǔn)　
7.2.2　影響入侵檢測系統(tǒng)性能的參數(shù)　
7.2.3　評價檢測算法性能的測度　
7.3　網(wǎng)絡(luò)入侵檢測系統(tǒng)測試評估　
7.4　測試評估內(nèi)容　
7.4.1　功能性測試　
7.4.2　性能測試　
7.4.3　產(chǎn)品可用性測試　
7.5　測試環(huán)境和測試軟件　
7.5.1　測試環(huán)境　
7.5.2　測試軟件　
7.6　用戶評估標(biāo)準(zhǔn)　
7.7　入侵檢測評估方案　
7.7.1　離線評估方案　
7.7.2　實時評估方案　
習(xí)題　
第8章　Snort分析　
8.1　Snort的安裝與配置　
8.1.1　Snort簡介　
8.1.2　底層庫的安裝與配置　
8.1.3　Snort的安裝　
8.1.4　Snort的配置　
8.1.5　其他應(yīng)用支撐的安裝與配置　
8.2　Snort總體結(jié)構(gòu)分析　
8.2.1　Snort的模塊結(jié)構(gòu)　
8.2.2　插件機制　
8.2.3　Libpcap應(yīng)用的流程　
8.2.4　Snort的總體流程　
8.2.5　入侵檢測流程　
8.3　Snort的使用　
8.3.1　Libpcap的命令行　
8.3.2　Snort的命令行　
8.3.3　高性能的配置方式　
8.4　Snort的規(guī)則　
8.4.1　規(guī)則的結(jié)構(gòu)　
8.4.2　規(guī)則的語法　
8.4.3　預(yù)處理程序　
8.4.4　輸出插件　
8.4.5　常用攻擊手段對應(yīng)規(guī)則舉例　
8.4.6　規(guī)則的設(shè)計　
8.5　使用Snort構(gòu)建入侵檢測系統(tǒng)實例　
習(xí)題　
第9章　入侵檢測的發(fā)展趨勢　
9.1　入侵檢測技術(shù)現(xiàn)狀分析　
9.2　目前的技術(shù)分析　
9.3　入侵檢測的先進技術(shù)　
9.4　入侵檢測的前景　
9.4.1　入侵檢測的能力　
9.4.2　高度的分布式結(jié)構(gòu)　
9.4.3　廣泛的信息源　
9.4.4　硬件防護　
9.4.5　高效的安全服務(wù)　
9.4.6　IPv6對入侵檢測的影響　
習(xí)題　
附錄　主要入侵檢測系統(tǒng)介紹與分析　
附1　國外主要入侵檢測系統(tǒng)簡介　
附2　國內(nèi)主要入侵檢測系統(tǒng)簡介　
參考文獻