入侵检测技术PDF电子书下载

第1章 入侵检测概述 1

入侵检测简介 1

入侵的定义 1

入侵检测的概念 2

入侵检测的发展历史 2

入侵检测系统的作用 4

入侵检测系统在信息安全中的地位 4

P2DR2安全模型与入侵检测系统的关系 4

传统安全技术的局限性 5

入侵检测系统的基本原理与工作模式 6

入侵检测系统的基本原理 6

入侵检测系统的基本工作模式 7

入侵检测系统的分类 8

根据检测技术分类 8

根据数据来源分类 9

根据体系结构分类 10

根据入侵检测的时效性分类 11

常用入侵检测方法 11

思考题 12

第2章 常见的入侵方法与手段 13

信息系统的漏洞 13

漏洞的概念 13

漏洞的具体表现 14

漏洞的分类 15

信息系统面临的威胁 21

攻击概述 22

黑客 22

攻击的概念与分类 22

攻击的一般流程 23

典型的攻击技术与方法 24

预攻击探测 24

口令破解攻击 28

缓冲区溢出攻击 30

欺骗攻击 31

拒绝服务攻击 33

数据库攻击 37

木马攻击 39

思考题 40

第3章 入侵检测系统模型 41

入侵检测系统模型概述 41

信息收集 42

信息收集概述 43

信息的来源 43

信息的标准化 44

信息分析 49

模式匹配 49

统计分析 49

完整性分析 50

数据分析机制 50

报警与响应 51

被动响应与主动响应 51

主动响应在商业上的应用 53

“蜜罐”技术 53

“蜜网”技术 57

思考题 57

第4章 误用与异常入侵检测系统 59

误用入侵检测系统 59

误用入侵检测概述 59

误用入侵检测系统的类型 60

误用入侵检测方法 61

误用入侵检测系统的缺陷 63

异常入侵检测 63

异常入侵检测概述 63

异常入侵检测方法 65

思考题 69

第5章 模式串匹配与入侵检测 70

模式串匹配算法概述 70

模式串匹配技术及其在入侵检测中的应用 71

模式串匹配算法研究现状 72

精确模式串匹配算法 72

近似模式串匹配算法 73

精确模式串匹配算法概述 73

单模式串匹配算法 73

最简单的单模式串匹配算法——蛮力法 73

KMP算法 74

Boyer-Moore算法 76

BOM算法 78

多模式串匹配算法 81

最简单的多模式串匹配算法——蛮力法 82

Aho-Corasick算法 82

Wu-Manber算法 84

SBOM算法 87

不同串匹配算法性能对比 89

实验环境描述 90

关键词高频出现时的测试 90

关键词低频出现时的测试 91

串匹配算法的一些改进 91

思考题 92

第6章 基于主机的入侵检测系统 93

基于主机的入侵检测系统概述 93

获取审计数据 93

获取Windows的审计数据 94

获取UNIX的审计数据 98

基于主机的入侵检测系统模型 100

一种基于主机的入侵检测系统结构 100

入侵特征选取 101

入侵特征预处理 102

基于主机的入侵检测系统的优缺点 103

基于主机的入侵检测系统的优点 103

基于主机的入侵检测系统的缺点 103

思考题 104

第7章 基于网络的入侵检测系统 105

基于网络的入侵检测系统概述 105

基于网络的入侵检测系统模型 106

一种基于网络的入侵检测系统结构 106

网络层 107

主体层 108

分析层 108

管理层 109

包捕获技术 109

WinPcap简介 110

包捕获原理 111

Windows下包捕获程序的结构 112

Windows下捕获包的主要源代码 113

基于网络的入侵检测系统的优缺点 117

基于网络的入侵检测系统的优点 117

基于网络的入侵检测系统的缺点 118

思考题 118

第8章 典型的入侵检测技术 119

概述 119

基于神经网络的入侵检测技术 119

基于神经网络的入侵检测系统模型 119

系统功能描述 120

系统数据捕获及预处理实现 120

神经网络分类模块实现 121

基于遗传算法的入侵检测技术 121

遗传算法简介 122

遗传算法在入侵检测系统中的应用 123

基于数据挖掘的入侵检测技术 126

数据挖掘概述 126

数据挖掘算法 127

入侵检测系统中的特定数据挖掘算法 127

基于数据融合的入侵检测技术 128

基于数据融合的入侵检测系统介绍 128

基于警报融合的入侵检测系统 129

基于免疫的入侵检测技术 130

基于协议分析的入侵检测技术 131

基于协议分析的入侵检测技术概述 131

一种基于马尔可夫链的协议分析入侵检测系统模型 132

基于入侵容忍的入侵检测技术 136

基于入侵容忍的入侵检测技术概述 136

基于入侵容忍的入侵检测系统模型 137

基于多级门限的入侵容忍安全方案 138

思考题 139

第9章 基于主体的分布式入侵检测系统 140

基于主体的分布式入侵检测系统的应用背景 140

基于主体的分布式入侵检测系统的结构 141

分布式入侵检测系统的特征 141

分布式入侵检测系统的体系结构 141

分布式入侵检测体系结构的优点 145

多主体系统简介 145

主体简介 147

入侵检测系统中的主体实现技术 149

中心主体 149

分析主体 151

主机主体和网络主体 153

主体之间的通信 153

知识查询和操纵语言 154

消息示例 155

KQML/OWL消息的封装与解析过程 157

分布式入侵检测系统自身的安全问题 157

思考题 158

第10章 入侵检测系统的相关标准与评估 159

入侵检测的标准化工作 159

入侵检测工作组 159

公共入侵检测框架 163

国内入侵检测系统标准 166

入侵检测系统的性能指标 167

性能指标简介 167

影响性能指标的因素 168

入侵检测系统的测试与评估 170

入侵检测系统的测试步骤 170

评估入侵检测系统的性能指标 170

思考题 172

第11章 典型的入侵检测系统 173

典型入侵检测系统介绍 173

DIDS 173

CSM 173

EMERALD 174

AAFID 174

NetSTAT 176

GrIDS 177

IDA 178

MAIDS 179

总结和分析 179

思考题 180

第12章 典型的入侵检测产品 181

入侵检测产品概述 181

典型的入侵检测产品 182

NetRanger 182

CyberCop 183

LinkTrust 184

DragonSensor 184

RealSecure 184

Kane Security Monitor 185

OmniGuard/IntruderAlert 185

SessionWall-3 185

天阗 187

天眼 188

冰之眼 188

入侵检测产品选购要点 188

思考题 190

第13章 使用Snort进行入侵检测 191

Snort概述 191

Snort的工作模式 191

Snort入侵检测概述 193

Snort入侵检测的特点 193

Snort的体系结构 194

Snort的规则 196

Snort的规则基础 196

Snort的规则头 198

规则选项 200

预处理器 201

输出模块 201

建立好的Snort规则 201

思考题 202

第14章 入侵检测技术的发展 203

现有入侵检测技术的局限性 203

入侵检测技术的发展方向 204

入侵技术的发展 204

入侵检测技术的发展 205

入侵检测新技术 206

入侵防御系统 207

IPS的概念 208

IPS的功能与特点 208

IPS的优势与局限性 209

IPS的未来发展方向 210

入侵管理系统 210

IMS对IDS的扩充 210

入侵管理系统对应急响应的支撑 212

思考题 212

附录A 入侵检测常见英语词汇及翻译 213

附录B 在Windows下采用Snort配置入侵检测系统 217

参考文献 233