入侵檢測技術導論

出版説明

前言

第1章 概述

1.1 主要入侵攻擊手段簡介

1.1.1 黑客入侵的步驟

1.1.2 黑客攻擊的原理和方法

1.2 入侵檢測與P2DR安全模型

1.3 入侵檢測技術分類

1.3.1 主機、網絡和分佈式入侵檢測

1.3.2 濫用和異常入侵檢測

1.4 入侵檢測系統的CIDF模型

1.4.1 CIDF的體系結構

1.4.2 CIDF的通信機制

1.4.3 CIDF語言

1.4.4 CIDF的API接口

1.5 入侵檢測系統的管理、評測問題

1.6 相關的法律問題

第2章 UNIX/Linux系統介紹

2.1 UNIX系統簡介

2.2 日益流行的Unix操作系統

2.3 Linux文件系統

2.3.1 Linux文件結構

2.3.2 Linux文件系統管理

第3章 審計機制及文件格式

3.1 UNIX操作系統

3.1.1 UNIX操作系統的日誌分類

3.1.2 連接時間日誌生成機制及文件格式

3.1.3 進程日誌生成機制及文件格式

3.1.4 syslog日誌工具機制及文件格式

3.2 Windows 2000操作系統

3.2.1 Windows 2000操作系統日誌分類

3.2.2 事件日誌文件格式

第4章 RPC(遠程過程調用)

4.1 RPC的產生及特點

4.1.1 RPC概述

4.1.2 RPC的原理和實現機制

4.2 RPC的數據表示格式

4.2.1 XDR的工作原理

4.2.2 XDR流

4.2.3 XDR過濾器

4.3 RPC協議

4.3.1 RPC信息協議

4.3.2 RPC鑑別協議

4.3.3 端口映射器程序協議

4.4 RPC的程序設計

4.5 RPC語言編譯器(rpcgen)

第5章 IDES/NIDES系統實例

5.1 引言

5.2 IDES設計模型

5.3 審計數據

5.4 鄰域接口

5.4.1 IDES審計記錄生成器(Agen)

5.4.2 審計記錄池(arpool)

5.4.3 IDES審計記錄的格式設計

5.4.4 與IDES處理單元的連接

5.5 統計異常檢測器

5.5.1 入侵檢測測量值

5.5.2 統計分析算法

5.6 IDES專家系統

5.6.1 PBEST概述

5.6.2 PBEST的基本語法

5.6.3 進一步的語法介紹

5.7 IDES用户接口

5.8 進一步的發展：NIDES系統

5.8.1 系統結構概述

5.8.2 系統設計描述

第6章 STAT——基於狀態轉移分析的系統

6.1 系統簡介

6.2 總體架構設計

6.2.1 預處理器

6.2.2 知識庫

6.2.3 推理引擎

6.2.4 決策引擎

6.3 審計記錄預處理器

6.3.1 BSM審計記錄格式

6.3.2 STAT審計記錄格式

6.3.3 對BSM審計記錄的過濾操作

6.3.4 預處理器模塊的算法流程

6.4 系統知識庫

6.4.1 事實庫(Fact-Base)

6.4.2 規則庫(Rule-Base)

6.5 推理引擎

6.6 決策引擎

第7章網絡協議族介紹

7.1 分層協議模型

7.1.1 通信協議

7.1.2 計算機網絡協議的分層模型

7.1.3 協議的分層原理

7.1.4 分層協議開放系統的通信機制

7.2 開放系統互連參考模型OSI/ISO

7.3 TCP/IP參考模型

7.4 TCP/IP協議

7.4.1 網絡接口層協議

7.4.2 ARP協議和RARP協議

7.4.3 IP協議

7.4.4 ICMP協議

7.4.5 TCP協議

7.4.6 UDP協議

第8章 數據流捕獲技術

8.1 基本的網絡數據截獲機制

8.1.1 利用以太網絡的廣播特性進行截獲

8.1.2 基於路由器的網絡數據截獲技術

8.2 BPF過濾機制分析

8.2.1 BPF模型概述

8.2.2 BPF過濾虛擬機設計

8.3 基於Libpcap庫的通用數據捕獲技術

8.3.1 Libpcap庫函數介紹

8.3.2 Windows平台下的Winpcap庫

第9章 檢測引擎設計

9.1 NFR的N-code語言

9.2 Bro事件檢測引擎

9.3 協議分析加命令解析的檢測引擎設計

第10章 Snort系統分析

10.1 系統架構分析

10.2 重要的全局數據結構

10.2.1 Packet數據結構

10.2.2 PV數據結構

10.3 協議解析器組件

10.4 規則檢測組件

10.4.1 構造規則鏈表Parse RulesFile()和ParseRule()

10.4.2 構建快速規則匹配引擎fpCreateFastPacketDetection()

10.4.3 快速檢測接口函數fpEvalPacket()

10.5 預處理器

10.5.1 預處理模塊的基本架構

10.5.2 Spp_bo模塊

10.5.3 Spp_arpspoof模塊

10.5.4 Spp_Http Decode模塊

10.5.5 Spp_frag2模塊

10.5.6 Spp_stream4模塊

10.6 輸出插件

10.6.1 概述

10.6.2 輸出插件的初始化

10.6.3 輸出插件的調用

第11章 AAFID分佈式系統

11.1 AAFID系統簡介

11.1.1 基本情況

11.1.2 系統結構

11.2 AAFID的代理與過濾器

11.2.1 AAFID代理簡介

11.2.2 代理的編寫

11.2.3 簡單代理編寫實例

11.2.4 AAFID的過濾器

11.3 AAFID總體結構分析

11.3.1 AAFID的總體結構

11.3.2 AAFID的總體流程

11.4 關鍵模塊剖析

11.4.1 基礎功能模塊

11.4.2 其他模塊

第12章 入侵檢測的不對稱模型

12.1 基本模型與不對稱指數

12.2 入侵檢測的不對稱性

12.3 不對稱模型與信息論

第13章 基於神經網絡的入侵檢測技術

13.1 概述

13.2 基本檢測算法描述

13.3 關鍵詞表的選擇

13.4 量化參數對檢測性能的影響

13.5 BP網絡與徑向基函數(RBF)網絡

13.6 檢測性能與不對稱指數

第14章 智能化入侵檢測系統的設計

14.1 系統總體模塊結構

14.2 數據包截獲和規則檢測模塊

14.3 特徵矢量生成器與網絡會話模塊

14.4 ANN檢測引擎設計

附錄 入侵檢測技術FAQ

^[1] 

這是一本介紹入侵檢測技術的入門書籍。在本書的第12-14章中,作者闡述了獨立工作的成果。其中包括入侵檢測不對稱模型的引入、基於神經網絡的入侵檢測技術以及智能化入侵檢測系統的架構設計等。本書適用於計算機和信息安全專業的高校教師和研究生以及廣大網絡安全工程技術人員參考之用。[編輯推薦]入門檢測技術隨着整體信息安全技術的發展而不斷前行,更多的人投入到該領域內的研究工作並取得了一定的成果。更多新的理論運用到入侵檢測的研究領域,同時在具體產品或系統的開發上,也取得了很大進步。但是,應該看到的是,在總體迅速發展的背景下,核心技術和創新能力的發展並不樂觀。作者寫此書的目的就是希望更多的人通過本書入門,能夠在此基礎上做出更多具有原創性的工作。