网络入侵检测 分析、发现和报告攻击PDF电子书下载

目录 1

第1章 入侵检测概论 1

1.1 IDS是什么 1

1.1.1 为何需要IDS 1

1.1.2 IDS能做什么 2

1.1.3 从不同角度看IDS 3

1.2 如何检测入侵 4

1.2.1 信息来源 4

1.2.2 检测办法 4

1.3 IDS的分类 5

1.3.1 NIDS 5

1.3.2 HIDS 6

1.4 IDS的发展历史 7

第2章 IDS产品介绍 9

2.1 NFR公司的NID 9

2.1.1 NID探测器 10

2.1.2 NFR NID控制台 11

2.1.3 产品特点 13

2.1.4 NID能识别的攻击 14

2.1.5 第三方评价 19

2.2 启明星辰天阗IDS 19

2.2.1 基本功能 20

2.2.2 扩展功能 23

2.2.3 产品特性 24

2.3 绿盟冰之眼IDS 26

2.3.1 产品新特点 27

2.3.2 产品功能 29

2.4 Snort 30

第3章 IDS的部署和使用 31

3.1 选择IDS的原则 31

3.2 IDS的部署 32

3.3.1 环境要求 33

3.3 IDS的使用 33

3.3.2 IDS的日常维护 34

3.3.3 策略配置 36

3.3.4 监控管理 37

3.3.5 日志管理 38

3.3.6 维护管理 39

第4章 Snort介绍和安装 41

4.1 Snort介绍 41

4.2 Snort安装 42

4.2.1 安装Iibpcap 42

4.2.2 Linux平台的安装 46

4.2.3 Windows平台的安装 48

第5章 Snort配置 54

5.1 命令行参数 54

5.2 snort.conf文件 56

5.3.1 规则行为 59

5.3 规则头 59

5.3.2 支持的协议 60

5.3.3 源和目的地址 61

5.3.4 源和目的端口 62

5.3.5 方向操作符 63

5.3.6 activate和dynamic规则 63

5.4 规则体 64

5.4.1 content选项 64

5.4.2 流控制 66

5.4.3 IP选项集合 67

5.4.4 TCP选项集合 68

5.4.5 ICMP选项集合 69

5.4.6 规则识别选项集合 70

5.4.7 其他规则选项 72

5.5 调整规则 73

5.5.2 取消规则 74

5.5.1 配置规则变量 74

5.5.3 BPF包过滤器 75

第6章 Snort预处理器 77

6.1 包重组的预处理 77

6.1.1 stream4预处理器 77

6.1.2 frag2预处理器 83

6.2 协议解码预处理器 84

6.2.1 Telnet预处理器 84

6.2.2 HTTP预处理器 85

6.2.3 RPC预处理器 86

6.3 异常检测预处理器 88

6.3.1 端口扫描 88

6.3.2 BO木马 90

6.3.3 非规则检测 90

6.4 实验阶段的预处理器 90

6.4.1 arpspoof 91

6.4.2 asnl_decode 91

6.4.3 fnord 91

6.4.4 portscan2和conversation 92

6.4.5 perfmonitor 94

第7章 Snort输出插件 95

7.1 关键组件介绍 95

7.2 输出插件选项 96

7.2.1 缺省的日志方式 96

7.2.2 Syslog 99

7.2.3 PCAP日志 100

7.2.4 Snortdb 101

7.2.5 unified日志 103

7.2.7 Barnyard 104

7.2.6 Cerebus 104

8.2 更新规则 106

8.1 打补丁 106

第8章 Snort升级维护 106

8.2.1 找到新规则 106

8.2.2 合并规则 111

8.2.3 参考信息 114

9.1 Snort整体工作流程 116

第9章 Snort代码构架 116

9.2 包结构 117

9.3 main主函数 121

9.4.1 主程序模块 122

9.4 主要接口函数定义 122

9.4.2 协议分解模块 125

9.4.3 预处理模块 126

9.4.4 规则解析及检测引擎模块 127

9.4.5 日志记录及告警模块 128

10.1 检测引擎 129

第10章 Snort检测引擎 129

10.2.1 解码流程 134

10.2 数据包解码 134

10.2.2 以太包解码 136

10.2.3 IP包解码 139

10.2.4 TCP包解码 146

11.1 规则解析 151

第11章 Snort规则处理代码 151

11.1.1 ParseRuleFile函数 155

11.1.2 ParseRule函数 161

11.1.3 ProcessHeadNode函数 170

11.2 规则匹配 183

12.1 Snort的插件概念 185

第12章 Snort预处理代码 185

12.2 预处理器模板和Telnet协议插件 186

12.2.1 插件解析 187

12.2.2 Telnet协商插件 188

12.3 预处理插件介绍：IP分片 205

12.4 预处理插件介绍：portscan 206

12.5 预处理插件介绍：httpdecode 216

第13章 Snort日志模块代码 228

14.1 使IDS误报的攻击 231

第14章 IDS的弱点 231

14.2 使IDS漏报的攻击 232

14.2.1 基于TCP/IP连接的攻击 232

14.2.2 基于溢出程序的变形攻击 232

14.2.3 基于Web服务的变形攻击 233

第15章 IDS的测试 238

15.1 IDS产品的认证 238

15.1.1 公安部计算机信息系统安全产品质量监督检验中心 238

15.1.2 国家保密局涉密信息系统安全保密测评中心 238

15.1.3 国家信息安全测评认证中心 239

15.1.4 解放军信息安全测评认证中心 239

15.1.5 认证内容 239

15.2.1 NSS测试标准 241

15.2 测试标准 241

15.2.2 公安部测试标准 245

15.3 测试方法 254

15.3.1 测试环境搭建 255

15.3.2 性能测试 255

15.3.3 告警功能测试 258

15.3.4 IDS躲避测试 258

15.3.5 事件风暴测试 259

15.3.6 控制台功能测试 259

15.3.7 审计功能测试 261

15.3.8 产品安全性 262

16.1 IPS 264

第16章 IDS产品的发展趋势 264

16.1.1 IPS概述 265

16.1.2 NAI IntruShield分析 267

16.1.3 Netscreen IDP分析 269

16.1.4 TippingPoint UnityOne分析 270

16.1.5 CyberwallPLUS分析 270

16.2 管理平台 273

16.2.1 SIM 274

16.2.2 NetForensics产品介绍 275

16.3 硬件IDS 291

16.3.1 NP和FPGA技术 292

16.3.2 硬件IDS的体系结构 293