入侵檢測技術(shù)

第1章　入侵檢測概述
1.1　入侵檢測簡介
1.1.1　入侵的定義
1.1.2　入侵檢測的概念
1.1.3　入侵檢測的發(fā)展歷史
1.1.4　入侵檢測系統(tǒng)的作用
1.2　入侵檢測系統(tǒng)在信息安全中的地位
1.2.1　P2DR2安全模型與入侵檢測系統(tǒng)的關(guān)系
1.2.2　傳統(tǒng)安全技術(shù)的局限性
1.3　入侵檢測系統(tǒng)的基本原理與工作模式
1.3.1　入侵檢測系統(tǒng)的基本原理
1.3.2　入侵檢測系統(tǒng)的基本工作模式
1.4　入侵檢測系統(tǒng)的分類
1.4.1　根據(jù)檢測技術(shù)分類
1.4.2　根據(jù)數(shù)據(jù)來源分類
1.4.3　根據(jù)體系結(jié)構(gòu)分類
1.4.4　根據(jù)入侵檢測的時(shí)效性分類
1.5　常用人侵檢測方法
思考題

第2章　常見的入侵方法與手段
2.1　信息系統(tǒng)的漏洞
2.1.1　漏洞的概念
2.1.2　漏洞的具體表現(xiàn)
2.1.3　漏洞的分類
2.2　信息系統(tǒng)面臨的威脅
2.3　攻擊概述
2.3.1　黑客
2.3.2　攻擊的概念與分類
2.3.3　攻擊的一般流程
2.4　典型的攻擊技術(shù)與方法
2.4.1　預(yù)攻擊探測
2.4.2　口令破解攻擊
2.4.3　緩沖區(qū)溢出攻擊
2.4.4　欺騙攻擊
2.4.5　拒絕服務(wù)攻擊
2.4.6　數(shù)據(jù)庫攻擊
2.4.7　木馬攻擊
思考題
第3章　入侵檢測系統(tǒng)模型
3.1　入侵檢測系統(tǒng)模型概述
3.2　信息收集
3.2.1　信息收集概述
3.2.2　信息的來源
3.2.3　信息的標(biāo)準(zhǔn)化
3.3　信息分析
3.3.1　模式匹配
3.3.2　統(tǒng)計(jì)分析
3.3.3　完整性分析
3.3.4　數(shù)據(jù)分析機(jī)制
3.4　報(bào)警與響應(yīng)
3.4.1　被動響應(yīng)與主動響應(yīng)
3.4.2　主動響應(yīng)在商業(yè)上的應(yīng)用
3.4.3　“蜜罐”技術(shù)
3.4.4　“蜜網(wǎng)”技術(shù)
思考題
第4章　誤用與異常入侵檢測系統(tǒng)
4.1　誤用入侵檢測系統(tǒng)
4.1.1　誤用入侵檢測概述
4.1.2　誤用入侵檢測系統(tǒng)的類型
4.1.3　誤用入侵檢測方法
4.1.4　誤用入侵檢測系統(tǒng)的缺陷
4.2　異常入侵檢測
4.2.1　異常入侵檢測概述
4.2.2　異常入侵檢測方法
思考題
第5章　模式串匹配與入侵檢測
5.1　模式串匹配算法概述
5.2　模式串匹配技術(shù)及其在入侵檢測中的應(yīng)用
5.3　模式串匹配算法研究現(xiàn)狀
5.3.1　精確模式串匹配算法
5.3.2　近似模式串匹配算法
5.4　精確模式串匹配算法概述
5.4.1　單模式串匹配算法
5.4.2　最簡單的單模式串匹配算法——蠻力法
5.4.3　KMP算法
5.4.4　Boyer-Moore算法
5.4.5　BOM算法
5.4.6　多模式串匹配算法
5.4.7　最簡單的多模式串匹配算法——蠻力法
5.4.8　Aho-Corasick算法
5.4.9　Wu-Manber算法
5.4.10　SBOM算法
5.5　不同串匹配算法性能對比
5.5.1　實(shí)驗(yàn)環(huán)境描述
5.5.2　關(guān)鍵詞高頻出現(xiàn)時(shí)的測試
5.5.3　關(guān)鍵詞低頻出現(xiàn)時(shí)的測試
5.6　串匹配算法的一些改進(jìn)
思考題
第6章　基于主機(jī)的入侵檢測系統(tǒng)
6.1　基于主機(jī)的入侵檢測系統(tǒng)概述
6.2　獲取審計(jì)數(shù)據(jù)
6.2.1　獲取Windows的審計(jì)數(shù)據(jù)
6.2.2　獲取UNIX的審計(jì)數(shù)據(jù)
6.3　基于主機(jī)的入侵檢測系統(tǒng)模型
6.3.1　一種基于主機(jī)的入侵檢測系統(tǒng)結(jié)構(gòu)
6.3.2　入侵特征選取
6.3.3　入侵特征預(yù)處理
6.4　基于主機(jī)的入侵檢測系統(tǒng)的優(yōu)缺點(diǎn)
6.4.1　基于主機(jī)的入侵檢測系統(tǒng)的優(yōu)點(diǎn)
6.4.2　基于主機(jī)的入侵檢測系統(tǒng)的缺點(diǎn)
思考題
第7章　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)
7.1　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)概述
7.2　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型
7.2.1　一種基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)構(gòu)
7.2.2　網(wǎng)絡(luò)層
7.2.3　主體層
7.2.4　分析層
7.2.5　管理層
7.3　包捕獲技術(shù)
7.3.1　winPcap簡介
7.3.2　包捕獲原理
7.3.3　windoWs下包捕獲程序的結(jié)構(gòu)
7.3.4　windoWs下捕獲包的主要源代碼
7.4　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)缺點(diǎn)
7.4.1　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)點(diǎn)
7.4.2　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的缺點(diǎn)
思考題
第8章　典型的入侵檢測技術(shù)
8.1　概述
8.2　基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)
8.2.1　基于神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型
8.2.2　系統(tǒng)功能描述
8.2.3　系統(tǒng)數(shù)據(jù)捕獲及預(yù)處理實(shí)現(xiàn)
8.2.4　神經(jīng)網(wǎng)絡(luò)分類模塊實(shí)現(xiàn)
8.3　基于遺傳算法的入侵檢測技術(shù)
8.3.1　遺傳算法簡介
8.3.2　遺傳算法在入侵檢測系統(tǒng)中的應(yīng)用
8.4　基于數(shù)據(jù)挖掘的入侵檢測技術(shù)
8.4.1　數(shù)據(jù)挖掘概述
8.4.2　數(shù)據(jù)挖掘算法
8.4.3　入侵檢測系統(tǒng)中的特定數(shù)據(jù)挖掘算法
8.5　基于數(shù)據(jù)融合的入侵檢測技術(shù)
8.5.1　基于數(shù)據(jù)融合的入侵檢測系統(tǒng)介紹
8.5.2　基于警報(bào)融合的入侵檢測系統(tǒng)
8.6　基于免疫的入侵檢測技術(shù)
8.7　基于協(xié)議分析的入侵檢測技術(shù)
8.7.1　基于協(xié)議分析的入侵檢測技術(shù)概述
8.7.2　一種基于馬爾可夫鏈的協(xié)議分析入侵檢測系統(tǒng)模型
8.8　基于入侵容忍的入侵檢測技術(shù)
8.8.1　基于入侵容忍的入侵檢測技術(shù)概述
8.8.2　基于入侵容忍的入侵檢測系統(tǒng)模型
8.8.3　基于多級門限的入侵容忍安全方案
思考題
第9章　基于主體的分布式入侵檢測系統(tǒng)
9.1　基于主體的分布式入侵檢測系統(tǒng)的應(yīng)用背景
9.2　基于主體的分布式入侵檢測系統(tǒng)的結(jié)構(gòu)
9.2.1　分布式入侵檢測系統(tǒng)的特征
9.2.2　分布式入侵檢測系統(tǒng)的體系結(jié)構(gòu)
9.2.3　分布式入侵檢測體系結(jié)構(gòu)的優(yōu)點(diǎn)
9.2.4　多主體系統(tǒng)簡介
9.2.5　主體簡介
9.3　入侵檢測系統(tǒng)中的主體實(shí)現(xiàn)技術(shù)
9.3.1　中心主體
9.3.2　分析主體
9.3.3　主機(jī)主體和網(wǎng)絡(luò)主體
9.4　主體之間的通信
9.4.1　知識查詢和操縱語言
9.4.2　消息示例
9.4.3　KQML/OWL消息的封裝與解析過程
9.5　分布式入侵檢測系統(tǒng)自身的安全問題
思考題
第10章　入侵檢測系統(tǒng)的相關(guān)標(biāo)準(zhǔn)與評估
10.1　入侵檢測的標(biāo)準(zhǔn)化工作
10.1.1　入侵檢測工作組
10.1.2　公共入侵檢測框架
10.1.3　國內(nèi)入侵檢測系統(tǒng)標(biāo)準(zhǔn)
10.2　入侵檢測系統(tǒng)的性能指標(biāo)
10.2.1　性能指標(biāo)簡介
10.2.2　影響性能指標(biāo)的因素
10.3　入侵檢測系統(tǒng)的測試與評估
10.3.1　入侵檢測系統(tǒng)的測試步驟
10.3.2　評估入侵檢測系統(tǒng)的性能指標(biāo)
思考題
第11章　典型的入侵檢測系統(tǒng)
11.1　典型入侵檢測系統(tǒng)介紹
11.1.1　DIDS
11.1.2　CSM
11.1.3　EMERALD
11.1.4　AAFID
11.1.5　NetSTAT
11.1.6　GRIDS
11.1.7　IDA
11.1.8　MAIDS
11.2　總結(jié)和分析
思考題
第12章　典型的入侵檢測產(chǎn)品
12.1　入侵檢測產(chǎn)品概述
12.2　典型的入侵檢測產(chǎn)品
12.2.1　NetRanger
12.2.2　CyberCop
12.2.3　LinkTrust
12.2.4　Dragon Sensor
12.2.5　RealSecure
12.2.6　Kane Security Monitor
12.2.7　OmniGuard/Intruder Alert
12.2.8　SessionWall-3
12.2.9　天闐
12.2.10　天眼
12.2.11　冰之眼
12.3　入侵檢測產(chǎn)品選購要點(diǎn)
思考題
第13章　使用Snort進(jìn)行入侵檢測
13.1　Snort概述
13.1.1　Snort的工作模式
13.1.2　Snort入侵檢測概述
13.1.3　Snort入侵檢測的特點(diǎn)
13.2　Snort的體系結(jié)構(gòu)
13.3　Snort的規(guī)則
13.3.1　Snort的規(guī)則基礎(chǔ)
13.3.2　Snort的規(guī)則頭
13.3.3　規(guī)則選項(xiàng)
13.3.4　預(yù)處理器
13.3.5　輸出模塊
13.3.6　建立好的Snort規(guī)則
思考題
第14章　入侵檢測技術(shù)的發(fā)展
14.1　現(xiàn)有入侵檢測技術(shù)的局限性
14.2　入侵檢測技術(shù)的發(fā)展方向
14.2.1　入侵技術(shù)的發(fā)展
14.2.2　入侵檢測技術(shù)的發(fā)展
14.2.3　入侵檢測新技術(shù)
14.3　入侵防御系統(tǒng)
14.3.1　IPS的概念
14.3.2　IPS的功能與特點(diǎn)
14.3.3　IPS的優(yōu)勢與局限性
14.3.4　IPS的未來發(fā)展方向
14.4　入侵管理系統(tǒng)
14.4.1　IMS對IDS的擴(kuò)充
14.4.2　入侵管理系統(tǒng)對應(yīng)急響應(yīng)的支撐
思考題
附錄A　入侵檢測常見英語詞匯及翻譯
附錄B　在Windows下采用Snort配置入侵檢測系統(tǒng)
參考文獻(xiàn)