1.1 网络安全的目标 1
第1章 绪论 1
1.2 传统的网络安全模型 3
1.3 传统网络安全技术 4
1.4 研究入侵检测的必要性 10
1.5 入侵检测研究的条件和局限性 11
1.6 注记 12
2.1.1 IDES模型 13
7.2.2 入侵检测消息数据模型 13
2.1 入侵检测模型 13
第2章 入侵检测原理 13
2.1.2 IDM模型 17
2.1.3 SNMP-IDSM模型 19
2.1.4 模型比较讨论 24
2.2 异常检测原理 25
2.3 误用入侵检测原理 26
2.4 两种检测原理方法比较 27
2.5 入侵检测相关的数学模型 27
3.1.1 统计异常检测方法 29
3.1 异常入侵检测技术 29
第3章 入侵检测方法 29
3.1.2 基于特征选择异常检测方法 30
3.1.3 基于贝叶斯推理异常检浏方法 30
3.1.4 基于贝叶斯网络异常检测方法 31
3.1.5 基于模式预测异常检测方法 35
3.1.6 基于神经网络异常检测方法 35
3.1.7 基于贝叶斯聚类异常检测方法 36
3.1.8 基于机器学习异常检测方法 36
3.1.9 基于数据采掘异常检测方法 37
3.2 误用入侵检测技术 37
3.2.3 基于状态迁移分析误用入侵检测方法 38
3.2.1 基于条件概率误用入侵检测方法 38
3.2.2 基于专家系统误用入侵检测方法 38
3.3.1 基于生物免疫的入侵检测 39
3.2.4 基于键盘监控误用入侵检测方法 39
3.2.5 基于模型误用入侵检测方法 39
3.3 其它 39
3.3.2 基于伪装的入侵检测 41
第4章 入侵检测系统的设计原理 42
4.1 入侵检测系统原理 42
4.2 基于主机系统的结构 44
4.2.1 NT的审计系统 47
4.2.2 Solaris2.6的审计系统 49
4.2.3 审计与入侵关系讨论 51
4.3 基于网络系统的结构 52
4.3.1 网络入侵检测系统的信息来源 53
4.3.2 TCPDUMP入侵分析事例 54
4.3.3 网络入侵检测系统的讨论 56
4.4.1 分布式IDS系统结构 57
4.4 基于分布式系统的结构IDS 57
4.4.2 分布式检测实例 59
4.4.3 分布式IDS系统结构的讨论 61
4.5 入侵检测系统需求特性 61
4.6 注记 62
第5章 典型网络入侵检测系统的结构与分析 64
5.1 高级的UNIX安全审计分析系统 64
5.2 SRI入侵检测专家系统 69
5.3 AAFID入侵检测系统 71
5.4 NetSTAT 73
5.5 JiNao入侵检测系统 77
5.6 免费自由入侵检测软件包 78
5.6.1 SWATCH 78
5.6.4 AntiSniff 79
5.6.2 Tripwire 79
5.6.3 Snort 79
5.6.5 Hummer 82
5.7 注记 82
第6章 网络入侵检测系统测试评估 83
6.1 测试评估概述 83
6.2 测试评估内容 85
6.2.1 功能性测试 86
6.2.2 性能测试 87
6.2.3 产品可用性测试 87
6.3 测试环境 87
6.4 测试软件工具 88
6.4.1 nidsbench测试软件包 90
6.4.2 California大学的IDS测试平台 90
6.5 基于用户角度评估IDS的若干问题 92
6.4.3 其它 92
6.6 美国政府入侵检测评估状况 95
6.6.1 离线评估方案 95
6.6.2 实时评估方案 99
第7章 入侵检测标准化工作 102
7.1 通用的入侵检测框架标准草案 102
7.1.1 CIDF的体系结构 102
7.1.2 CIDF的入侵说明语言 104
7.1.3 CIDF的通信架构 107
7.1.4 CIDF的讨论 108
7.2 入侵检测数据交换标准化进展 108
7.2.1 入侵检测消息交换需求 109
7.3 注记 118
第8章 入侵检测系统的模型、设计与实现 119
8.1 基于Agent的入侵检测系统模型 119
8.1.1 IDA入侵检测模型操作规则 120
8.1.2 IDA的处理流程 120
8.1.3 Agent之间的协作 120
8.1.4 系统自身安全 121
8.1.5 基于Agent入侵检测模型实例研究 122
8.1.6 讨论 123
8.2 网络安全监视器系统结构设计与实现 124
8.2.1 网络安全监视器系统结构 124
8.2.2 系统功能实现 126
8.2.3 若干技术问题分析讨论 127
8.3 一个异常入侵检测模板设计与实现 129
8.2.4 测试结果与评估 129
8.3.1 轮廓模板设计与实现 130
8.3.2 轮廓模块实现 134
8.3.3 异常检测 137
8.3.4 其它 141
结束语 142
参考文献 143
附录A 绕过入侵检测系统的若干方法 148
附录B 当前入侵状况统计资料 151
附录C 入侵检测部分缩写和术语解释 152
附录D 黑客攻击过程分析 155
附录E 国外入侵检测系统网址 161
附录F 入侵检测概念术语图 167
附录G IDEF文档格式定义标准草案 169