入侵檢測技術

第1章　入侵檢測概述
1.1　網(wǎng)絡安全基本概念　
1.1.1　網(wǎng)絡安全的實質　
1.1.2　網(wǎng)絡系統(tǒng)的安全對策與入侵檢測　
1.1.3　網(wǎng)絡安全的P2DR模型與入侵檢測　
1.2　入侵檢測的產生與發(fā)展　
1.2.1　早期研究　
1.2.2　主機IDS研究　
1.2.3　網(wǎng)絡IDS研究　
1.2.4　主機和網(wǎng)絡IDS的集成　
1.3　入侵檢測的基本概念　
1.3.1　入侵檢測的概念　
1.3.2　入侵檢測的作用　
1.3.3　研究入侵檢測的必要性　
習題　
第2章　入侵方法與手段　
2.1　網(wǎng)絡入侵　
2.1.1　什么是網(wǎng)絡入侵　
2.1.2　網(wǎng)絡入侵的一般流程　
2.1.3　典型網(wǎng)絡入侵方法分析　
2.2　漏洞掃描　
2.2.1　掃描器簡介　
2.2.2　秘密掃描　
2.2.3　OS Fingerprint技術　
2.3　口令破解　
2.3.1　Windows口令文件的格式及安全機制　
2.3.2　UNIX口令文件的格式及安全機制　
2.3.3　破解原理及典型工具　
2.4　拒絕服務攻擊　
2.4.1　拒絕服務攻擊的原理　
2.4.2　典型拒絕服務攻擊的手段　
2.5　分布式拒絕服務攻擊　
2.6　緩沖區(qū)溢出攻擊　
2.6.1　堆棧的基本原理　
2.6.2　一個簡單的例子　
2.7　格式化字符串攻擊　
2.8　跨站腳本攻擊　
2.9　SQL Injection攻擊　
習題　
第3章　入侵檢測系統(tǒng)　
3.1　入侵檢測系統(tǒng)的基本模型　
3.1.1　通用入侵檢測模型（Denning模型）　
3.1.2　層次化入侵檢測模型（IDM）　
3.1.3　管理式入侵檢測模型（SNMP-IDSM）　
3.2　入侵檢測系統(tǒng)的工作模式　
3.3　入侵檢測系統(tǒng)的分類　
3.3.1　根據(jù)目標系統(tǒng)的類型分類　
3.3.2　根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源分類　
3.3.3　根據(jù)入侵檢測分析方法分類　
3.3.4　根據(jù)檢測系統(tǒng)對入侵攻擊的響應方式分類　
3.3.5　根據(jù)系統(tǒng)各個模塊運行的分布方式分類　
3.4 入侵檢測系統(tǒng)的構架　
3.4.1　管理者　
3.4.2　代理　
3.5　入侵檢測系統(tǒng)的部署　
3.5.1　網(wǎng)絡中沒有部署防火墻時　
3.5.2　網(wǎng)絡中部署防火墻時　
習題　
第4章　入侵檢測流程　
4.1　入侵檢測的過程　
4.1.1　信息收集　
4.1.2　信息分析　
4.1.3　告警與響應　
4.2　入侵檢測系統(tǒng)的數(shù)據(jù)源　
4.2.1　基于主機的數(shù)據(jù)源　
4.2.2　基于網(wǎng)絡的數(shù)據(jù)源　
4.2.3　應用程序日志文件　
4.2.4　其他入侵檢測系統(tǒng)的報警信息　
4.2.5　其他網(wǎng)絡設備和安全產品的信息　
4.3　入侵分析的概念　
4.3.1　入侵分析的定義　
4.3.2　入侵分析的目的　
4.3.3　入侵分析應考慮的因素　
4.4　入侵分析的模型　
4.4.1　構建分析器　
4.4.2　分析數(shù)據(jù)　
4.4.3　反饋和更新　
4.5　入侵檢測的分析方法　
4.5.1　誤用檢測　
4.5.2　異常檢測　
4.5.3　其他檢測方法　
4.6　告警與響應　
4.6.1　對響應的需求　
4.6.2　響應的類型　
4.6.3　按策略配置響應　
4.6.4　聯(lián)動響應機制　
習題　
第5章　基于主機的入侵檢測技術　
5.1　審計數(shù)據(jù)的獲取　
5.1.1　系統(tǒng)日志與審計信息　
5.1.2　數(shù)據(jù)獲取系統(tǒng)結構設計　
5.2　審計數(shù)據(jù)的預處理　
5.3　基于統(tǒng)計模型的入侵檢測技術　
5.4　基于專家系統(tǒng)的入侵檢測技術　
5.5　基于狀態(tài)轉移分析的入侵檢測技術　
5.6　基于完整性檢查的入侵檢測技術　
5.7　基于智能體的入侵檢測技術　
5.8　系統(tǒng)配置分析技術　
5.9　檢測實例分析　
習題　
第6章　基于網(wǎng)絡的入侵檢測技術　
6.1　分層協(xié)議模型與TCP/IP協(xié)議簇　
6.1.1　TCP/IP協(xié)議模型　
6.1.2　TCP/IP報文格式　
6.2　網(wǎng)絡數(shù)據(jù)包的捕獲　
6.2.1　局域網(wǎng)和網(wǎng)絡設備的工作原理　
6.2.2　Sniffer介紹　
6.2.3　共享和交換網(wǎng)絡環(huán)境下的數(shù)據(jù)捕獲　
6.3　包捕獲機制與BPF模型　
6.3.1　包捕獲機制　
6.3.2　BPF模型　
6.4　基于Libpcap庫的數(shù)據(jù)捕獲技術　
6.4.1　Libpcap介紹　
6.4.2　Windows平臺下的Winpcap庫　
6.5　檢測引擎的設計　
6.5.1　模式匹配技術　
6.5.2　協(xié)議分析技術　
6.6　網(wǎng)絡入侵特征實例分析　
6.6.1　特征(Signature)的基本概念　
6.6.2　典型特征——報頭值　
6.6.3　候選特征　
6.6.4　最佳特征　
6.6.5　通用特征　
6.6.6　報頭值關鍵元素　
6.7　檢測實例分析　
6.7.1　數(shù)據(jù)包捕獲　
6.7.2　端口掃描的檢測　
6.7.3　拒絕服務攻擊的檢測　
習題　
第7章　入侵檢測系統(tǒng)的標準與評估　
7.1　入侵檢測的標準化工作　
7.1.1　CIDF　
7.1.2　IDMEF　
7.1.3　標準化工作總結　
7.2　入侵檢測系統(tǒng)的性能指標　
7.2.1　評價入侵檢測系統(tǒng)性能的標準　
7.2.2　影響入侵檢測系統(tǒng)性能的參數(shù)　
7.2.3　評價檢測算法性能的測度　
7.3　網(wǎng)絡入侵檢測系統(tǒng)測試評估　
7.4　測試評估內容　
7.4.1　功能性測試　
7.4.2　性能測試　
7.4.3　產品可用性測試　
7.5　測試環(huán)境和測試軟件　
7.5.1　測試環(huán)境　
7.5.2　測試軟件　
7.6　用戶評估標準　
7.7　入侵檢測評估方案　
7.7.1　離線評估方案　
7.7.2　實時評估方案　
習題　
第8章　Snort分析　
8.1　Snort的安裝與配置　
8.1.1　Snort簡介　
8.1.2　底層庫的安裝與配置　
8.1.3　Snort的安裝　
8.1.4　Snort的配置　
8.1.5　其他應用支撐的安裝與配置　
8.2　Snort總體結構分析　
8.2.1　Snort的模塊結構　
8.2.2　插件機制　
8.2.3　Libpcap應用的流程　
8.2.4　Snort的總體流程　
8.2.5　入侵檢測流程　
8.3　Snort的使用　
8.3.1　Libpcap的命令行　
8.3.2　Snort的命令行　
8.3.3　高性能的配置方式　
8.4　Snort的規(guī)則　
8.4.1　規(guī)則的結構　
8.4.2　規(guī)則的語法　
8.4.3　預處理程序　
8.4.4　輸出插件　
8.4.5　常用攻擊手段對應規(guī)則舉例　
8.4.6　規(guī)則的設計　
8.5　使用Snort構建入侵檢測系統(tǒng)實例　
習題　
第9章　入侵檢測的發(fā)展趨勢　
9.1　入侵檢測技術現(xiàn)狀分析　
9.2　目前的技術分析　
9.3　入侵檢測的先進技術　
9.4　入侵檢測的前景　
9.4.1　入侵檢測的能力　
9.4.2　高度的分布式結構　
9.4.3　廣泛的信息源　
9.4.4　硬件防護　
9.4.5　高效的安全服務　
9.4.6　IPv6對入侵檢測的影響　
習題　
附錄　主要入侵檢測系統(tǒng)介紹與分析　
附1　國外主要入侵檢測系統(tǒng)簡介　
附2　國內主要入侵檢測系統(tǒng)簡介　
參考文獻