入侵检测实用手册PDF电子书下载

第1章 介绍 1

1.1 安全vs商业 1

1.2 什么是入侵检测 3

1.3 基于网络的入侵检测与基于主机的入侵检测 5

1.4 入侵检测系统剖析 6

1.5 入侵检测过程剖析 8

1.6 传统审计vs入侵检测 10

1.7 误用检测概述 11

1.8 总结 15

第2章 历史回顾 16

2.1 大事记 16

2.2 早期系统 17

2.3 早期性能比较 19

2.4 历史教训 21

2.5 总结 22

第3章 基于网络的入侵检测系统 24

3.1 引言 24

3.2 基于网络的检测 24

3.3 结构 26

3.4 分布式网络节点结构 27

3.5 网络入侵检测引擎 28

3.6 操作观念 30

3.7 基于网络的入侵检测的好处 32

3.8 基于网络的技术面临的挑战 33

3.9 总结 35

第4章 基于主机的入侵检测系统 37

4.1 引言 37

4.2 基于主机的检测 37

4.3 结构 40

4.4 操作观念 44

4.5 策略管理 45

4.6 基于主机的入侵检测的好处 52

4.7 基于主机的技术面临的挑战 55

4.8 总结 57

第5章 检测技巧及技术 58

5.1 引言 58

5.2 网络入侵检测机制 58

5.3 基于主机的标志 60

5.4 复合(网络及主机)标志 65

5.5 标志检测机制 67

5.6 其他技术 68

5.7 人工智能(人工神经网络) 70

5.8 总结 71

第6章 入侵检测神话 72

6.1 引言 72

6.2 神话之一：网络入侵检测神话 73

6.3 神话之二：误警神话 79

6.4 神话之三：自动异常检测神话 81

6.5 神话之四：实时需求神话 84

6.6 神话之五：在防火墙内部就等于内部人员威胁检测 88

6.7 神话之六：自动响应神话 89

6.8 神话之七：人工智能神话 92

6.9 总结 94

第7章 有效使用 96

7.1 检测外部人员误用(黑客) 96

7.2 检测内部人员误用 98

7.3 攻击预测(长期攻击) 100

7.4 监视 101

7.5 策略遵从性监控 102

7.6 毁坏情况评估 102

7.7 总结 102

第8章 入侵检测中的行为数据辨析 104

8.1 引言 104

8.2 行为数据辨析的好处 104

8.3 数据挖掘 105

8.4 行为数据辨析在现实世界中的实例 106

8.5 数据挖掘技术 108

8.6 行为数据辨析指导实例 113

8.7 总结 118

第9章 操作使用 120

9.1 引言 120

9.2 后台操作 121

9.3 按需操作 122

9.4 预定操作 122

9.5 实时操作 123

9.6 全天监控 123

9.7 事件响应 124

9.8 总结 126

第10章 入侵检测项目生命周期 127

10.1 引言 127

10.2 项目阶段 127

10.3 资源估计 128

10.4 计算业主的总体花费 129

10.5 项目计划/需求分析 131

10.6 购买 131

10.7 试点阶段 131

10.8 部署阶段 132

10.9 调整 134

10.10 部署问题 135

10.11 策略管理 136

10.12 维护 136

10.13 总结 137

第11章 论证入侵检测 138

11.1 入侵检测在安全中的重要性 138

11.2 威胁简介 140

11.3 量化风险 144

11.4 投资收益 146

11.5 总结 152

第12章 需求定义 153

12.1 引言 153

12.2 开发需求文档 154

12.3 你的入侵检测的目标是什么？ 154

12.4 检测需求 156

12.5 响应需求 158

12.6 资源分类 158

12.7 操作需求 160

12.8 平台范围需求 162

12.9 审计源需求 162

12.10 性能需求 163

12.11 可伸缩性需求 165

12.12 起诉需求 165

12.13 毁坏情况评估需求 165

12.14 总结 165

第13章 工具选择及购买过程 167

13.1 引言 167

13.2 选择及评估过程 167

13.3 定义需求 168

13.4 进行研究 168

13.5 请求信息 171

13.6 确定选择准则 171

13.7 进行评估 174

13.8 请求建议 174

13.9 试点过程 176

13.10 与介绍人交谈 177

13.11 至理名言 177

13.12 总结 177

第14章 商用入侵检测工具 179

14.1 引言 179

14.2 针对网络(TCP/IP)的产品 179

14.3 B1ackICE/ICEcap——Network ICE 180

14.4 针对主机的产品 187

14.5 混合系统 196

14.6 总结 201

第15章 法律问题 202

15.1 引言 202

15.2 法律实施/刑事诉讼 203

15.3 民事诉讼 204

15.4 合理注意标准 206

15.5 证据问题 208

15.6 提高证据的真实性 212

15.7 组织 213

15.8 总结 215

第16章 组织、标准及政府行动 216

16.1 引言 216

16.2 组织 216

16.3 标准团体(互操作性) 219

16.4 美国联邦政府行动 223

16.5 总结 226

第17章 实用入侵检测 227

17.1 当前的技术状况 227

17.2 入侵检测的未来 228

17.3 对安全人员的建议 230

17.4 对入侵检测开发者的建议 231

17.5 我的最后忠告：避免混乱 232

17.6 总结 232

17.7 结束语 233

附录A RFP范例 234

附录B 商用入侵检测厂商 247

附录C 资源 254