第1章 入侵检测概述 1
入侵检测简介 1
入侵的定义 1
入侵检测的概念 2
入侵检测的发展历史 2
入侵检测系统的作用 4
入侵检测系统在信息安全中的地位 4
P2DR2安全模型与入侵检测系统的关系 4
传统安全技术的局限性 5
入侵检测系统的基本原理与工作模式 6
入侵检测系统的基本原理 6
入侵检测系统的基本工作模式 7
入侵检测系统的分类 8
根据检测技术分类 8
根据数据来源分类 9
根据体系结构分类 10
根据入侵检测的时效性分类 11
常用入侵检测方法 11
思考题 12
第2章 常见的入侵方法与手段 13
信息系统的漏洞 13
漏洞的概念 13
漏洞的具体表现 14
漏洞的分类 15
信息系统面临的威胁 21
攻击概述 22
黑客 22
攻击的概念与分类 22
攻击的一般流程 23
典型的攻击技术与方法 24
预攻击探测 24
口令破解攻击 28
缓冲区溢出攻击 30
欺骗攻击 31
拒绝服务攻击 33
数据库攻击 37
木马攻击 39
思考题 40
第3章 入侵检测系统模型 41
入侵检测系统模型概述 41
信息收集 42
信息收集概述 43
信息的来源 43
信息的标准化 44
信息分析 49
模式匹配 49
统计分析 49
完整性分析 50
数据分析机制 50
报警与响应 51
被动响应与主动响应 51
主动响应在商业上的应用 53
“蜜罐”技术 53
“蜜网”技术 57
思考题 57
第4章 误用与异常入侵检测系统 59
误用入侵检测系统 59
误用入侵检测概述 59
误用入侵检测系统的类型 60
误用入侵检测方法 61
误用入侵检测系统的缺陷 63
异常入侵检测 63
异常入侵检测概述 63
异常入侵检测方法 65
思考题 69
第5章 模式串匹配与入侵检测 70
模式串匹配算法概述 70
模式串匹配技术及其在入侵检测中的应用 71
模式串匹配算法研究现状 72
精确模式串匹配算法 72
近似模式串匹配算法 73
精确模式串匹配算法概述 73
单模式串匹配算法 73
最简单的单模式串匹配算法——蛮力法 73
KMP算法 74
Boyer-Moore算法 76
BOM算法 78
多模式串匹配算法 81
最简单的多模式串匹配算法——蛮力法 82
Aho-Corasick算法 82
Wu-Manber算法 84
SBOM算法 87
不同串匹配算法性能对比 89
实验环境描述 90
关键词高频出现时的测试 90
关键词低频出现时的测试 91
串匹配算法的一些改进 91
思考题 92
第6章 基于主机的入侵检测系统 93
基于主机的入侵检测系统概述 93
获取审计数据 93
获取Windows的审计数据 94
获取UNIX的审计数据 98
基于主机的入侵检测系统模型 100
一种基于主机的入侵检测系统结构 100
入侵特征选取 101
入侵特征预处理 102
基于主机的入侵检测系统的优缺点 103
基于主机的入侵检测系统的优点 103
基于主机的入侵检测系统的缺点 103
思考题 104
第7章 基于网络的入侵检测系统 105
基于网络的入侵检测系统概述 105
基于网络的入侵检测系统模型 106
一种基于网络的入侵检测系统结构 106
网络层 107
主体层 108
分析层 108
管理层 109
包捕获技术 109
WinPcap简介 110
包捕获原理 111
Windows下包捕获程序的结构 112
Windows下捕获包的主要源代码 113
基于网络的入侵检测系统的优缺点 117
基于网络的入侵检测系统的优点 117
基于网络的入侵检测系统的缺点 118
思考题 118
第8章 典型的入侵检测技术 119
概述 119
基于神经网络的入侵检测技术 119
基于神经网络的入侵检测系统模型 119
系统功能描述 120
系统数据捕获及预处理实现 120
神经网络分类模块实现 121
基于遗传算法的入侵检测技术 121
遗传算法简介 122
遗传算法在入侵检测系统中的应用 123
基于数据挖掘的入侵检测技术 126
数据挖掘概述 126
数据挖掘算法 127
入侵检测系统中的特定数据挖掘算法 127
基于数据融合的入侵检测技术 128
基于数据融合的入侵检测系统介绍 128
基于警报融合的入侵检测系统 129
基于免疫的入侵检测技术 130
基于协议分析的入侵检测技术 131
基于协议分析的入侵检测技术概述 131
一种基于马尔可夫链的协议分析入侵检测系统模型 132
基于入侵容忍的入侵检测技术 136
基于入侵容忍的入侵检测技术概述 136
基于入侵容忍的入侵检测系统模型 137
基于多级门限的入侵容忍安全方案 138
思考题 139
第9章 基于主体的分布式入侵检测系统 140
基于主体的分布式入侵检测系统的应用背景 140
基于主体的分布式入侵检测系统的结构 141
分布式入侵检测系统的特征 141
分布式入侵检测系统的体系结构 141
分布式入侵检测体系结构的优点 145
多主体系统简介 145
主体简介 147
入侵检测系统中的主体实现技术 149
中心主体 149
分析主体 151
主机主体和网络主体 153
主体之间的通信 153
知识查询和操纵语言 154
消息示例 155
KQML/OWL消息的封装与解析过程 157
分布式入侵检测系统自身的安全问题 157
思考题 158
第10章 入侵检测系统的相关标准与评估 159
入侵检测的标准化工作 159
入侵检测工作组 159
公共入侵检测框架 163
国内入侵检测系统标准 166
入侵检测系统的性能指标 167
性能指标简介 167
影响性能指标的因素 168
入侵检测系统的测试与评估 170
入侵检测系统的测试步骤 170
评估入侵检测系统的性能指标 170
思考题 172
第11章 典型的入侵检测系统 173
典型入侵检测系统介绍 173
DIDS 173
CSM 173
EMERALD 174
AAFID 174
NetSTAT 176
GrIDS 177
IDA 178
MAIDS 179
总结和分析 179
思考题 180
第12章 典型的入侵检测产品 181
入侵检测产品概述 181
典型的入侵检测产品 182
NetRanger 182
CyberCop 183
LinkTrust 184
DragonSensor 184
RealSecure 184
Kane Security Monitor 185
OmniGuard/IntruderAlert 185
SessionWall-3 185
天阗 187
天眼 188
冰之眼 188
入侵检测产品选购要点 188
思考题 190
第13章 使用Snort进行入侵检测 191
Snort概述 191
Snort的工作模式 191
Snort入侵检测概述 193
Snort入侵检测的特点 193
Snort的体系结构 194
Snort的规则 196
Snort的规则基础 196
Snort的规则头 198
规则选项 200
预处理器 201
输出模块 201
建立好的Snort规则 201
思考题 202
第14章 入侵检测技术的发展 203
现有入侵检测技术的局限性 203
入侵检测技术的发展方向 204
入侵技术的发展 204
入侵检测技术的发展 205
入侵检测新技术 206
入侵防御系统 207
IPS的概念 208
IPS的功能与特点 208
IPS的优势与局限性 209
IPS的未来发展方向 210
入侵管理系统 210
IMS对IDS的扩充 210
入侵管理系统对应急响应的支撑 212
思考题 212
附录A 入侵检测常见英语词汇及翻译 213
附录B 在Windows下采用Snort配置入侵检测系统 217
参考文献 233