入侵检测系统及实例剖析PDF电子书下载

第1章 入侵检测相关基本概念 2

1.l 网络安全基本概念 2

1.1.l 网络安全的基本观点 2

l.1.2 PDR模型 3

1.1.3 入侵检测：在PDR模型中的位置与作用 5

1.2 我们面对的威胁 5

1.2.l 攻击来自何方 5

1.2.2 如何攻击 6

1.3.l 概念 8

1.3 什么是入侵检测 8

1.3.2 入侵检测系统的基本结构 9

l.4 入侵检测的分类方法学 9

第2章 基于异常的入侵检测系统 12

2.l 基于异常的入侵检测 12

2.2 基于统计学方法的异常检测系统 13

2.2.1 NIDES的总体结构 14

2.2.2 NIDES使用的算法 14

2.3 使用其他的方法进行基于异常的人侵检测 16

2.4 总结 16

3.l 基本原理 18

3.1.l 基于误用的入侵检测系统的基本概念 18

第3章 基于误用的入侵检测系统 18

3.1.2 误用检测系统的类型 19

3.2 误用检测专家系统 20

3.3 模型推理检测系统 21

3.4 模式匹配检测系统 21

3.4.l 模式匹配原理 22

3.4.2 模式匹配系统的特点 25

3.4.3 模式匹配系统具体的实现问题 25

3.5 误用检测与异常检测的比较 25

4.1.1 NFR公司的NID 27

4.l 主要商用入侵检测系统简介 27

第4章 标准及主要入侵检测系统分析 27

4.1.2 ISS公司的RealSecure 28

4.l.3 NAI公司的CyberCop Intrusion Protection 28

4.l.4 Cisco公司的Cisco Secure IDS 29

4.2 主要非商用系统简介 29

4.2.1 SRI的NIDES 29

4.2.2 SRI的EMERALD 30

4.2.3 CERIAS的ESP 30

4.2.4 其他一些系统 30

4.3 入侵检测的标准化工作 31

4.3.1 CIDF的标准化工作 31

4.3.2 IDWG的标准化 36

4.3.3 标准化工作总结 39

第5章 Snort的安装、配置与使用 42

5.l 接触Snort 42

5.1.1 Snort简介 42

5.1.2 如何获取Snort 45

5.2 底层库的安装与配置 45

5.2.1 Snort所需的底层库 45

5.2.2 底层库的安装 46

5.3 Snort的安装与配置详解 48

5.3.1 Snort的安装 48

5.3.3 其他应用支撑的安装与配置 49

5.3.2 Snort的配置 49

5.4 Snort使用详解 50

5.4.1 Libpcap的命令行 50

5.4.2 Snort的命令行 51

5.4.3 高性能的配置方式 53

第6章 Snort的规则 54

6.l 规则的语法 54

6.1.l 规则文件的语法 55

6.1.2 规则头 56

6.1.3 规则选项 58

6.1.4 预处理器 60

6.1.5 输出模块 62

6.2 常用攻击手段对应的规则举例 64

6.3 如何设计自己的规则 66

第7章 AAFID的安装、配置与使用 68

7.l 接触 AAFID 68

7.1.1 AAFID简介 68

7.1.2 如何获取 AAFID 71

7.2 Perl的安装 71

7.2.1 Perl的安装 71

7.2.2 所需Perl模块的安装 72

7.3.2 AAFID的配置 73

7.3 AAFID的安装与配置 73

7.3.1 AAFID的安装 73

7.4 AAFID使用详解 75

7.4.1 AAFID命令行的使用方式 75

7.4.2 AAFID的图形界面使用方式 80

第8章 AAFID的代理与过滤器 82

8.1 AAFID的规则：没有规则 82

8.1.1 AAFID系统的代理 82

8.l.2 AAFID系统的过滤器. 84

8.2 代理的编写 85

8.2.l 编写代理的基本步骤 85

8.2.2 简单代理编写实例 86

8.3 过滤器的编写 90

8.3.l 一般原则 90

8.3.2 实例说明 93

第9章 Snort总体结构分析 100

9.l 总体结构 100

9.1.1 Snort的模块结构 100

9.l.2 Snort的源代码布局 101

9.1.3 插件机制 104

9.2.2 Snort的总体流程 106

9.2.l 通常libpcap应用的流程 106

9.2 Snort的总体流程 106

9.2.3 入侵检测流程 107

第10章 Snort关键模块剖析 110

10.l 主控模块 110

10.1.l 主控流程分析 110

10.1.2 插件管理分析 112

10.1.3 全局变量 114

10.2 规则模块 117

10.2.1 Snort规则语法树的生成 117

10.2.2 Snort规则检测的实现 131

10.3.l 数据结构分析 137

10.3 解码模块 137

10.3.2 函数分析 139

10.4 处理模块 144

10.4.l 处理模块的内容 144

10.4.2 处理模块的基本架构 145

10.4.3 处理模块详细介绍 148

10.5 预处理模块 156

10.5.l 预处理模块的内容 156

10.5.2 预处理模块的基本架构 157

10.5.3 预处理模块详细介绍 159

10.6.l 输出模块的内容 173

10.6 输出模块 173

10.6.2 输出模块的基本架构 174

10.6.3 输出模块详细介绍 178

10.7 日志模块 182

10.7.l 日志模块的内容 182

10.7.2 日志模块详细介绍 183

10.8 辅助模块 194

10.8.l 辅助模块的内容 195

10.8.2 辅助模块功能分析 195

第11章 AAFID总体结构分析 198

11.1 AAFID的总体结构 198

11.1.1 AAFID系统源代码简单说明 198

11.1.2 AAFID系统的类层次结构 200

11.1.3 AAFID系统主要模块 202

11.2 AAFID的总体流程 203

11.2.1 AAFID系统的事件机制 203

11.2.2 AAFID系统中实体的运行模式 204

11.2.3 AAFID系统的典型流程 207

第12章 AAFID关键模块剖析 208

12.l 基础功能模块 208

12.l.1 Entity类 208

12.1.2 ControllerEntity类 222

12.1.3 Filter类 226

12.1.4 Agent类 230

12.2 过滤功能模块 232

12.3 代理功能模块 233

12.4 监视器模块 235

12.4.l 连接处理 235

12.4.2 实体请求处理 239

12.4.3 实体管理 239

12.5 收发器模块 240

12.6 运行管理模块 240

12.6.l 事件处理 241

12.7.l 格式定义及标准消息 248

12.7 消息处理模块 248

12.6.2 启动器 248

12.7.2 消息处理函数 250

12.8 日志管理模块 251

12.8.l 主题管理Topics.pm 251

12.8.2 日志管理Log.pm 251

12.9 通信处理模块 252

12.9.l 输出功能 252

12.9.2 输入功能 253

12.10 配置管理模块 254

12.10.1 Tags.pm 254

12.9.3 辅助功能 254

12.10.2 Config.pm 255

12.11 图形界面模块 256

12.12 辅助模块 257

12.12.l 通用功能Common类 257

12.12.2 常量管理Constants类 258

12.12.3 队列管理FiniteQueue类与NumQueue类 258

12.12.4 系统相关性管理System类 260

后记 261

附录A 术语 265

附录B 函数及结构索引 269

附录C 参考文献 276