入侵檢測(cè)

第1章 入侵檢測(cè)系統(tǒng)的歷史
1.1 審計(jì)：入侵檢測(cè)的舞臺(tái)
1.1.1 金融審計(jì)和安全審計(jì)的區(qū)別
1.1.2 作為管理工具的審計(jì)
1.1.3 EDP審計(jì)和早期的計(jì)算機(jī)安全
1.1.4 計(jì)算機(jī)安全和審計(jì)的軍事模型
1.2 入侵檢測(cè)的誕生
1.2.1 Anderson和精簡(jiǎn)審計(jì)問(wèn)題
1.2.2 Denning，Neumann和IDES
1.2.3 80年代的入侵檢測(cè)系統(tǒng)熱
1.2.4 基于主機(jī)和網(wǎng)絡(luò)入侵檢測(cè)的集成
1.2.5 商業(yè)產(chǎn)品的出現(xiàn)
1.3 本章小結(jié)
第2章 概念和定義
2.1 入侵檢測(cè)簡(jiǎn)介
2.2 安全概念
2.2.1 計(jì)算機(jī)和網(wǎng)絡(luò)安全的文化視角
2.2.2 計(jì)算機(jī)安全的實(shí)際定義
2.2.3 計(jì)算機(jī)安全的形式定義
2.2.4 信任
2.2.5 威脅
2.2.6 脆弱性
2.2.7 安全策略
2.2.8 系統(tǒng)安全基礎(chǔ)設(shè)施中的其它要素
2.2.9 安全問(wèn)題是怎樣發(fā)生的
2.3 入侵檢測(cè)概念
2.3.1 體系結(jié)構(gòu)
2.3.2 監(jiān)測(cè)策略
2.3.3 分析類型
2.3.4 時(shí)間性
2.3.5 檢測(cè)目標(biāo)
2.3.6 控制問(wèn)題
2.3.7 確定入侵檢測(cè)的策略
2.4 本章小結(jié)
第3章 信息源
3.1 本章的組織
3.1.1 哪個(gè)信息源是正確的信息源
3.1.2 一直存在的問(wèn)題
3.2 基于主機(jī)的信息源
3.2.1 操作系統(tǒng)審計(jì)蹤跡
3.2.2 構(gòu)造審計(jì)蹤跡的方法
3.2.3 商業(yè)審計(jì)系統(tǒng)的問(wèn)題
3.2.4 操作系統(tǒng)審計(jì)蹤跡的正反面
3.2.5 審計(jì)蹤跡的內(nèi)容
3.2.6 審計(jì)精簡(jiǎn)
3.2.7 系統(tǒng)日志
3.2.8 應(yīng)用信息
3.2.9 基于目標(biāo)的監(jiān)測(cè)
3.3 基于網(wǎng)絡(luò)的信息源
3.3.1 為什么采用網(wǎng)絡(luò)源
3.3.2 網(wǎng)絡(luò)包
3.3.3 TCP/IP網(wǎng)絡(luò)
3.3.4 包俘獲
3.3.5 網(wǎng)絡(luò)設(shè)備
3.3.6 帶外（Out-of-Band）信息源
3.4 來(lái)自其它安全產(chǎn)品的信息
3.4.1 一個(gè)安全產(chǎn)品數(shù)據(jù)源的例子
3.4.2 分析之前的信息組織
3.4.3 作為數(shù)據(jù)源的其它系統(tǒng)部分
3.5 本章小結(jié)
第4章 分析方案
4.1 入侵的思考
4.1.1 定義分析
4.1.2 目標(biāo)
4.1.3 支持目標(biāo)
4.1.4 檢測(cè)入侵
4.2 一個(gè)入侵分析模型
4.2.1 構(gòu)建分析器
4.2.2 執(zhí)行分析
4.2.3 反饋和提煉
4.3 方法
4.3.1 誤用檢測(cè)
4.3.2 異常檢測(cè)
4.3.3 可代替的檢測(cè)方案
4.4 本章小結(jié)
第5章 響應(yīng)
5.1 對(duì)響應(yīng)的需求
5.1.1 操作環(huán)境
5.1.2 系統(tǒng)目標(biāo)和優(yōu)先權(quán)
5.1.3 規(guī)則的或法令的需求
5.1.4 把專業(yè)技術(shù)傳授給用戶
5.2 響應(yīng)的類型
5.2.1 主動(dòng)響應(yīng)
5.2.2 被動(dòng)響應(yīng)
5.3 調(diào)查期間掩蓋跟蹤
5.3.1 對(duì)響應(yīng)部件自動(dòng)防故障裝置的考慮
5.3.2 處理錯(cuò)誤告警
5.3.3 存檔和報(bào)告
5.4 按策略配置響應(yīng)
5.4.1 立即或緊急行動(dòng)
5.4.2 適時(shí)行動(dòng)
5.4.3 本地的長(zhǎng)期行動(dòng)
5.4.4 全局的長(zhǎng)期行動(dòng)
5.5 本章小結(jié)
第6章 脆弱性分析：一個(gè)特殊范例
6.1 脆弱性分析
6.1.1 脆弱性分析的基本原理
6.1.2 COPS——一個(gè)脆弱性分析的范例
6.1.3 問(wèn)題與考慮
6.2 證書(shū)式（Credentialed）方法
6.2.1 證書(shū)式方法的定義
6.2.2 為證書(shū)式方法確定主題
6.2.3 證書(shū)式方法的策略和優(yōu)化
6.3 非證書(shū)式（noncredentialed）方法
6.3.1 大量證書(shū)式（noncredentialed）方法的定義
6.3.2 非證書(shū)式脆弱性分析的方法
6.3.3 使用攻擊程序的測(cè)試
6.3.4 推斷方法
6.3.5 一個(gè)歷史的注記
6.3.6 SATAN的結(jié)構(gòu)
6.3.7 自動(dòng)防故障特性
6.3.8 與SATAN有關(guān)的問(wèn)題
6.4 口令破解
6.4.1 實(shí)施操作的概念與原理
6.4.2 作為脆弱性分析的口令破解器
6.5 脆弱性分析的優(yōu)點(diǎn)與缺點(diǎn)
6.5.1 證書(shū)式分析技術(shù)的優(yōu)點(diǎn)
6.5.2 非證書(shū)式分析技術(shù)的優(yōu)點(diǎn)
6.5.3 不利因素
6.6 本章小結(jié)
第7章 技術(shù)性問(wèn)題
7.1 可擴(kuò)展性
7.1.1 基于時(shí)間上的擴(kuò)展
7.1.2 基于空間上的擴(kuò)展
7.1.3 例子研究——GrIDS
7.2 可管理性
7.2.1 網(wǎng)絡(luò)管理
7.2.2 傳感器的控制
7.2.3 對(duì)調(diào)查研究的支持
7.2.4 性能裝載
7.3 可靠性
7.3.1 信息來(lái)源的可靠性
7.3.2 分析引擎的可靠性
7.3.3 響應(yīng)裝置的可靠性
7.3.4 通信鏈接的可靠性
7.4 分析問(wèn)題
7.4.1 基于人工智能的檢測(cè)器的訓(xùn)練集
7.4.2 異常事件檢測(cè)中的錯(cuò)誤肯定和錯(cuò)誤否定
7.4.3 趨勢(shì)分析
7.4.4 策略的編寫(xiě)
7.5 互操作性
7.5.1 CIDF/CRISIS的努力
7.5.2 審計(jì)蹤跡標(biāo)準(zhǔn)
7.6 集成性
7.7 用戶接口
7.8 本章小結(jié)
第8章 認(rèn)識(shí)現(xiàn)實(shí)世界的挑戰(zhàn)
8.1 安全性問(wèn)題的根本
8.1.1 設(shè)計(jì)和開(kāi)發(fā)中的問(wèn)題
8.1.2 管理的問(wèn)題
8.1.3 信任的問(wèn)題
8.2 在一位黑客的眼中
8.2.1 確定攻擊目標(biāo)
8.2.2 勘探性連接
8.2.3 獲取訪問(wèn)權(quán)限
8.2.4 實(shí)施攻擊
8.3 安全和傳統(tǒng)工程
8.3.1 傳統(tǒng)工程
8.3.2 安全工程
8.3.3 整理的規(guī)則
8.4 入侵檢測(cè)系統(tǒng)的規(guī)則
8.5 本章小結(jié)
第9章 法律問(wèn)題
9.1 對(duì)付討厭的法律
9.1.1 法律系統(tǒng)
9.1.2 立法
9.1.3 民事訴訟/民事侵權(quán)法律
9.1.4 在計(jì)算機(jī)網(wǎng)絡(luò)中運(yùn)用法律的復(fù)雜性
9.2 證據(jù)規(guī)則
9.2.1 證據(jù)的種類
9.2.2 證據(jù)的可用性
9.2.3 限制和例外
9.2.4 處理證據(jù)的規(guī)定
9.2.5 適用于系統(tǒng)記錄和審計(jì)
9.3 與監(jiān)視行為有關(guān)的法律
9.3.1 當(dāng)一個(gè)系統(tǒng)管理員監(jiān)視一個(gè)系統(tǒng)時(shí)
9.3.2 當(dāng)法律執(zhí)行代理監(jiān)視一個(gè)系統(tǒng)時(shí)
9.3.3 監(jiān)視通知單
9.4 我們從實(shí)例中學(xué)到了什么
9.4.1 Mitnick案例
9.4.2 羅馬實(shí)驗(yàn)室事件
9.4.3 教訓(xùn)
9.5 本章小結(jié)
第10章 作為用戶
10.1 確定你的要求
10.1.1 你的系統(tǒng)環(huán)境
10.1.2 目標(biāo)和結(jié)果
10.1.3 回顧你的策略
10.1.4 要求和限制
10.2 了解產(chǎn)品
10.2.1 了解問(wèn)題空間
10.2.2 產(chǎn)品是否可升級(jí)
10.2.3 如何進(jìn)行測(cè)試
10.2.4 本產(chǎn)品是一個(gè)工具還是一種應(yīng)用
10.2.5 響亮口號(hào)和聰明才智
10.2.6 推測(cè)產(chǎn)品的壽命
10.2.7 培訓(xùn)支持
10.2.8 產(chǎn)品目標(biāo)的先后次序
10.2.9 產(chǎn)品差異
10.3 使策略與配置匹配
10.3.1 策略轉(zhuǎn)變?yōu)橐?guī)則
10.3.2 真實(shí)世界的主體與客體
10.3.3 監(jiān)視策略與安全策略
10.3.4 測(cè)試聲明
10.4 顯示時(shí)間、事故處理和調(diào)查
10.4.1 偵察員的榮譽(yù)
10.4.2 最佳操作
10.4.3 當(dāng)氣球升上天空
10.4.4 法律執(zhí)行
10.4.5 期望
10.4.6 破壞控制
10.4.7 應(yīng)付政治迫害
10.5 本章小結(jié)
第11章 作為策略專家
11.1 建立安全方案
11.1.1 搜集信息
11.1.2 組織要實(shí)現(xiàn)什么目標(biāo)
11.1.3 安全怎樣適應(yīng)全部的商業(yè)目標(biāo)
11.1.4 信息安全應(yīng)該嵌入到企業(yè)的風(fēng)險(xiǎn)管理程序的什么地方
11.1.5 保護(hù)系統(tǒng)我們需要做些什么
11.1.6 尋找盟友
11.1.7 克服管理上的阻力
11.2 定義IDS需求
11.2.1 再談安全目標(biāo)
11.2.2 威脅是什么
11.2.3 我們的局限是什么
11.2.4 關(guān)于引進(jìn)入侵檢測(cè)和系統(tǒng)監(jiān)測(cè)的幾點(diǎn)考慮
11.3 天花亂墜的廣告宣傳與實(shí)際的解決方案
11.3.1 什么樣的產(chǎn)品最適合你
11.3.2 安裝這一產(chǎn)品將有多么痛苦
11.3.3 運(yùn)行這個(gè)產(chǎn)品將有多么痛苦
11.3.4 員工的期望是什么
11.3.5 誰(shuí)是這個(gè)產(chǎn)品的夢(mèng)幻用戶
11.4 在原有的安全系統(tǒng)環(huán)境中集成新的安全特性
11.4.1 評(píng)估現(xiàn)在系統(tǒng)
11.4.2 平衡安全投資
11.4.3 處理“濕件”（Wetware）——系統(tǒng)中與人相關(guān)的因素
11.4.4 處理沖突
11.5 處理企業(yè)變動(dòng)的影響
11.5.1 合并和獲取
11.5.2 戰(zhàn)略伙伴
11.5.3 全球化
11.5.4 擴(kuò)張與縮減
11.5.5 從私有到公開(kāi)
11.6 本章小結(jié)
第12章 作為設(shè)計(jì)者考慮
12.1 需求
12.1.1 好的和極好的入侵檢測(cè)
12.1.2 達(dá)到安全的不同途徑
12.1.3 策略
12.2 安全設(shè)計(jì)原則
12.2.1 機(jī)制的經(jīng)濟(jì)性
12.2.2 可靠缺省
12.2.3 完全調(diào)節(jié)
12.2.4 開(kāi)放設(shè)計(jì)
12.2.5 特權(quán)分割
12.2.6 最小權(quán)限
12.2.7 最小通用機(jī)制
12.2.8 心理上可接受性
12.3 在設(shè)計(jì)過(guò)程中生存下來(lái)
12.3.1 建立優(yōu)先級(jí)
12.3.2 關(guān)于威脅者
12.3.3 打破和維持平衡
12.4 產(chǎn)品定位
12.4.1 衡量成功
12.4.2 虛假的起點(diǎn)
12.4.3 測(cè)試方法
12.4.4 測(cè)試網(wǎng)絡(luò)入侵檢測(cè)的性能
12.5 來(lái)自前輩們的建議
12.5.1 使用好的工程實(shí)現(xiàn)
12.5.2 安全的傳感器
12.5.3 注意正確地重新組裝
12.5.4 不要低估硬件需求
12.5.5 不要期望可信的統(tǒng)計(jì)數(shù)據(jù)源
12.5.6 考慮對(duì)策
12.5.7 不支持辯論
12.5.8 支持現(xiàn)代安全特點(diǎn)
12.6 本章小結(jié)
第13章 將來(lái)的需要
13.1 將來(lái)的社會(huì)趨勢(shì)
13.1.1 地球村和全球市場(chǎng)
13.1.2 隱私是一個(gè)經(jīng)濟(jì)驅(qū)動(dòng)力
13.1.3 不同的戰(zhàn)爭(zhēng)
13.1.4 主權(quán)
13.2 將來(lái)的技術(shù)趨勢(shì)
13.2.1 網(wǎng)絡(luò)結(jié)構(gòu)的變化
13.2.2 開(kāi)放源碼軟件
13.2.3 無(wú)線網(wǎng)絡(luò)的進(jìn)步
13.2.4 分布式計(jì)算
13.3 未來(lái)的安全趨勢(shì)
13.3.1 管理
13.3.2 保護(hù)隱私安全
13.3.3 信息質(zhì)量與訪問(wèn)控制
13.3.4 加密、加密，到處都加密
13.3.5 邊界侵蝕
13.3.6 可靠傳輸與信息管理
13.4 入侵檢測(cè)的前景
13.4.1 能力
13.4.2 高度分布式結(jié)構(gòu)
13.4.3 安全管理的911
13.4.4 普遍信息源
13.4.5 硬件防護(hù)
13.4.6 重點(diǎn)在于服務(wù)，而不在于產(chǎn)品
13.5 本章小結(jié)
術(shù)語(yǔ)表