《入侵检测》PDF下载

第1章 入侵检测系统的历史 1

1．1 审计：入侵检测的舞台 1

1．1．1 金融审计和安全审计的区别 2

1．1．2 作为管理工具的审计 2

1．1．3 EDP审计和早期的计算机安全 3

1．1．4 计算机安全和审计的军事模型 3

1．2 入侵检测的诞生 4

1．2．1 Anderson和精简审计问题 4

1．2．2 Denning,Neumann和IDES 5

1．2．3 80年代的入侵检测系统热 6

1．2．4 基于主机和网络入侵检测的集成 10

1．2．5 商业产品的出现 11

1．3 本章小结 13

第2章 概念和定义 15

2．1 入侵检测简介 15

2．2 安全概念 16

2．2．1 计算机和网络安全的文化视角 16

2．2．2 计算机安全的实际定义 16

2．2．3 计算机安全的形式定义 16

2．2．4 信任 17

2．2．5 威胁 17

2．2．6 脆弱性 18

2．2．7 安全策略 18

2．2．8 系统安全基础设施中的其它要素 19

2．2．9 安全问题是怎样发生的 21

2．3 入侵检测概念 22

2．3．1 体系结构 22

2．3．2 监测策略 22

2．3．3 分析类型 23

2．3．4 时间性 23

2．3．5 检测目标 24

2．3．6 控制问题 25

2．3．7 确定入侵检测的策略 26

2．4 本章小结 26

第3章 信息源 27

3．1 本章的组织 27

3．1．1 哪个信息源是正确的信息源 27

3．1．2 一直存在的问题 28

3．2 基于主机的信息源 28

3．2．1 操作系统审计踪迹 28

3．2．2 构造审计踪迹的方法 29

3．2．3 商业审计系统的问题 29

3．2．4 操作系统审计踪迹的正反面 29

3．2．5 审计踪迹的内容 30

3．2．6 审计精简 34

3．2．7 系统日志 35

3．2．8 应用信息 37

3．2．9 基于目标的监测 40

3．3 基于网络的信息源 41

3．3．1 为什么采用网络源 41

3．3．2 网络包 42

3．3．3 TCP/IP网络 42

3．3．4 包俘获 44

3．3．5 网络设备 45

3．3．6 带外(Out-of-Band)信息源 46

3．4 来自其它安全产品的信息 46

3．4．1 一个安全产品数据源的例子 46

3．4．2 分析之前的信息组织 47

3．4．3 作为数据源的其它系统部分 48

3．5 本章小结 48

第4章 分析方案 49

4．1 入侵的思考 49

4．1．1 定义分析 49

4．1．2 目标 49

4．1．3 支持目标 50

4．1．4 检测入侵 51

4．2 一个入侵分析模型 52

4．2．1 构建分析器 53

4．2．2 执行分析 55

4．2．3 反馈和提炼 56

4．3 方法 56

4．3．1 误用检测 57

4．3．2 异常检测 62

4．3．3 可代替的检测方案 68

4．4 本章小结 72

第5章 响应 73

5．1 对响应的需求 73

5．1．1 操作环境 74

5．1．2 系统目标和优先权 75

5．1．3 规则的或法令的需求 75

5．1．4 老专业技术传授给用户 75

5．2 响应的类型 76

5．2．1 主动响应 76

5．2．2 被动响应 78

5．3 调查期间掩盖跟踪 79

5．3．1 对响应部件自动防故障装置的考虑 79

5．3．2 处理错误告警 79

5．3．3 存档和报告 80

5．4 按策略配置响应 80

5．4．1 立即或紧急行动 80

5．4．2 适时行动 81

5．4．3 本地的长期行动 81

5．4．4 全局的长期行动 81

5．5 本章小结 82

第6章 脆弱性分析：一个特殊范例 83

6．1 脆弱性分析 83

6．1．1 脆弱性分析的基本原理 84

6．1．2 COPS——一个脆弱性分析的范例 84

6．1．3 问题与考虑 87

6．2 证书式(Credentialed)方法 87

6．2．1 证书式方法的定义 88

6．2．2 为证书式方法确定主题 88

6．2．3 证书式方法的策略和优化 88

6．3 非证书式(noncredentialed)方法 89

6．3．1 非证书式(noncredentialed)方法的定义 90

6．3．2 非证书式脆弱性分析的方法 90

6．3．3 使用攻击程序的测试 90

6．3．4 推断方法 90

6．3．5 一个历史的注记 91

6．3．6 SATAN的结构 92

6．3．7 自动防故障特性 94

6．3．8 与SATAN有关的问题 94

6．4 口令破解 94

6．4．1 实施操作的概念与原理 94

6．4．2 作为脆弱性分析的口令破解器 95

6．5 脆弱性分析的优点与缺点 95

6．5．1 证书式分析技术的优点 95

6．5．2 非证书式分析技术的优点 96

6．5．3 不利因素 96

6．6 本章小结 96

第7章 技术性问题 99

7．1 可扩展性 99

7．1．1 基于时间上的扩展 99

7．1．2 基于空间上的扩展 100

7．1．3 例子研究——GrIDS 100

7．2 可管理性 101

7．2．1 网络管理 101

7．2．2 传感器的控制 102

7．2．3 对调查研究的支持 102

7．2．4 性能装载 103

7．3 可靠性 103

7．3．1 信息来源的可靠性 103

7．3．2 分析引擎的可靠性 104

7．3．3 响应装置的可靠性 104

7．3．4 通信链接的可靠性 105

7．4 分析问题 106

7．4．1 基于人工智能的检测器的训练集 106

7．4．2 异常事件检测中的错误肯定和错误否定 106

7．4．3 趋势分析 106

7．4．4 策略的编写 106

7．5 互操作性 108

7．5．1 CIDF/CRISIS的努力 108

7．5．2 审计踪迹标准 109

7．6 集成性 110

7．7 用户接口 110

7．8 本章小结 111

第8章 认识现实世界的挑战 113

8．1 安全性问题的根本 113

8．1．1 设计和开发中的问题 114

8．1．2 管理的问题 116

8．1．3 信任的问题 118

8．2 在一位黑客的眼中 120

8．2．1 确定攻击目标 121

8．2．2 勘探性连接 121

8．2．3 获取访问权限 122

8．2．4 实施攻击 122

8．3 安全和传统工程 125

8．3．1 传统工程 125

8．3．2 安全工程 125

8．3．3 整理的规则 125

8．4 入侵检测系统的规则 126

8．5 本章小结 127

第9章 法律问题 129

9．1 对付讨厌的法律 130

9．1．1 法律系统 130

9．1．2 立法 131

9．1．3 民事诉讼/民事侵权法律侵权法律 132

9．1．4 在计算机网络中运用法律的复杂性 133

9．2 证据规则 134

9．2．1 证据的种类 134

9．2．2 证据的可用性 135

9．2．3 限制和例外 135

9．2．4 处理证据的规定 136

9．2．5 适用于系统记录和审计 136

9．3 与监视行为有关的法律 137

9．3．1 当一个系统管理员监视一个系统时 137

9．3．2 当法律执行代理监视一个系统时 137

9．3．3 监视通知单 138

9．4 我们从实例中学到了什么 138

9．4．1 Mitnick案例 138

9．4．2 罗马实验室事件 140

9．4．3 教训 142

9．5 本章小结 142

第10章 作为用户 143

10．1 确定你的要求 143

10．1．1 你的系统环境 143

10．1．2 目标和结果 143

10．1．3 回顾你的策略 144

10．1．4 要求和限制 144

10．2 了解产品 145

10．2．1 了解问题空间 145

10．2．2 产品是否可升级 145

10．2．3 如何进行测试 146

10．2．4 本产品是一个工具还是一种应用 146

10．2．5 响亮口号和聪明才智 147

10．2．6 推测产品的寿命 147

10．2．7 培训支持 148

10．2．8 产品目标的先后次序 148

10．2．9 产品差异 148

10．3 使策略与配置匹配 148

10．3．1 策略转变为规则 148

10．3．2 真实世界的主体与客体 149

10．3．3 监视策略与安全策略 149

10．3．4 测试声明 150

10．4 显示时间、事故处理和调查 150

10．4．1 侦察员的荣誉 150

10．4．2 最佳操作 150

10．4．3 当气球升上天空 151

10．4．4 法律执行 151

10．4．5 期望 152

10．4．6 破坏控制 153

10．4．7 应付政治迫害 153

10．5 本章小结 153

第11章 作为策略专家 155

11．1 建立安全方案 155

11．1．1 搜集信息 155

11．1．2 组织要实现什么目标 156

11．1．3 安全怎样适应全部的商业目标 156

11．1．4 信息安全应该嵌入到企业的风险管理程序的什么地方 156

11．1．5 保护系统我们需要做些什么 157

11．1．6 寻找盟友 158

11．1．7 克服管理上的阻力 159

11．2 定义IDS需求 159

11．2．1 再谈安全目标 159

11．2．2 威胁是什么 160

11．2．3 我们的局限是什么 160

11．2．4 关于引进入侵检测和系统监测的几点考虑 161

11．3 天花乱坠的广告宣传与实际的解决方案 161

11．3．1 什么样的产品最适合你 161

11．3．2 安装这一产品将有多么痛苦 162

11．3．3 运行这个产品将有多么痛苦 162

11．3．4 员工的期望是什么 162

11．3．5 谁是这个产品的梦幻用户 163

11．4 在原有的安全系统环境中集成新的安全特性 163

11．4．1 评估现存系统 163

11．4．2 平衡安全投资 163

11．4．3 处理“湿件”(Wetware)——系统中与人相关的因素 164

11．4．4 处理冲突 165

11．5 处理企业变动的影响 165

11．5．1 合并和获取 166

11．5．2 战略伙伴 166

11．5．3 全球化 166

11．5．4 扩张与缩减 166

11．5．5 从私有到公开 167

11．6 本章小结 167

第12章 作为设计者考虑 169

12．1 需求 169

12．1．1 好的和极好的入侵检测 170

12．1．2 达到安全的不同途径 171

12．1．3 策略 173

12．2 安全设计原则 173

12．2．1 机制的经济性 174

12．2．2 可靠缺省 174

12．2．3 完全调节 174

12．2．4 开放设计 175

12．2．5 特权分割 175

12．2．6 最小权限 175

12．2．7 最小通用机制 175

12．2．8 心理上可接受性 176

12．3 在设计过程中生存下来 176

12．3．1 建立优先级 176

12．3．2 关于威胁者 177

12．3．3 打破和维持平衡 177

12．4 产品定位 178

12．4．1 衡量成功 178

12．4．2 虚假的起点 178

12．4．3 测试方法 179

12．4．4 测试网络入侵检测的性能 179

12．5 来自前辈们的建议 180

12．5．1 使用好的工程实现 180

12．5．2 安全的传感器 180

12．5．3 注意正确地重新组装 180

12．5．4 不要低估硬件需求 181

12．5．5 不要期望可信的统计数据源 181

12．5．6 考虑对策 181

12．5．7 不支持辨论 181

12．5．8 支持现代安全特点 182

12．6 本章小结 182

第13章 将来的需要 183

13．1 将来的社会趋势 183

13．1．1 地球村和全球市场 183

13．1．2 隐私是一个经济驱动力 184

13．1．3 不同的战争 184

13．1．4 主权 184

13．2 将来的技术趋势 185

13．2．1 网络结构的变化 185

13．2．2 开放源码软件 185

13．2．3 无线网络的进步 185

13．2．4 分布式计算 186

13．3 未来的安全趋势 186

13．3．1 管理 186

13．3．2 保护隐私安全 187

13．3．3 信息质量与访问控制 187

13．3．4 加密、加密，到处都加密 188

13．3．5 边界侵蚀 188

13．3．6 可靠传输与信任管理 188

13．4 入侵检测的前景 188

13．4．1 能力 189

13．4．2 高度分布式结构 189

13．4．3 安全管理的911 190

13．4．4 普遍信息源 190

13．4．5 硬件防护 190

13．4．6 重点在于服务，而不在于产品 190

13．5 本章小结 191

术语表 193