第1章 入侵检测相关基本概念 2
1.l 网络安全基本概念 2
1.1.l 网络安全的基本观点 2
l.1.2 PDR模型 3
1.1.3 入侵检测:在PDR模型中的位置与作用 5
1.2 我们面对的威胁 5
1.2.l 攻击来自何方 5
1.2.2 如何攻击 6
1.3.l 概念 8
1.3 什么是入侵检测 8
1.3.2 入侵检测系统的基本结构 9
l.4 入侵检测的分类方法学 9
第2章 基于异常的入侵检测系统 12
2.l 基于异常的入侵检测 12
2.2 基于统计学方法的异常检测系统 13
2.2.1 NIDES的总体结构 14
2.2.2 NIDES使用的算法 14
2.3 使用其他的方法进行基于异常的人侵检测 16
2.4 总结 16
3.l 基本原理 18
3.1.l 基于误用的入侵检测系统的基本概念 18
第3章 基于误用的入侵检测系统 18
3.1.2 误用检测系统的类型 19
3.2 误用检测专家系统 20
3.3 模型推理检测系统 21
3.4 模式匹配检测系统 21
3.4.l 模式匹配原理 22
3.4.2 模式匹配系统的特点 25
3.4.3 模式匹配系统具体的实现问题 25
3.5 误用检测与异常检测的比较 25
4.1.1 NFR公司的NID 27
4.l 主要商用入侵检测系统简介 27
第4章 标准及主要入侵检测系统分析 27
4.1.2 ISS公司的RealSecure 28
4.l.3 NAI公司的CyberCop Intrusion Protection 28
4.l.4 Cisco公司的Cisco Secure IDS 29
4.2 主要非商用系统简介 29
4.2.1 SRI的NIDES 29
4.2.2 SRI的EMERALD 30
4.2.3 CERIAS的ESP 30
4.2.4 其他一些系统 30
4.3 入侵检测的标准化工作 31
4.3.1 CIDF的标准化工作 31
4.3.2 IDWG的标准化 36
4.3.3 标准化工作总结 39
第5章 Snort的安装、配置与使用 42
5.l 接触Snort 42
5.1.1 Snort简介 42
5.1.2 如何获取Snort 45
5.2 底层库的安装与配置 45
5.2.1 Snort所需的底层库 45
5.2.2 底层库的安装 46
5.3 Snort的安装与配置详解 48
5.3.1 Snort的安装 48
5.3.3 其他应用支撑的安装与配置 49
5.3.2 Snort的配置 49
5.4 Snort使用详解 50
5.4.1 Libpcap的命令行 50
5.4.2 Snort的命令行 51
5.4.3 高性能的配置方式 53
第6章 Snort的规则 54
6.l 规则的语法 54
6.1.l 规则文件的语法 55
6.1.2 规则头 56
6.1.3 规则选项 58
6.1.4 预处理器 60
6.1.5 输出模块 62
6.2 常用攻击手段对应的规则举例 64
6.3 如何设计自己的规则 66
第7章 AAFID的安装、配置与使用 68
7.l 接触 AAFID 68
7.1.1 AAFID简介 68
7.1.2 如何获取 AAFID 71
7.2 Perl的安装 71
7.2.1 Perl的安装 71
7.2.2 所需Perl模块的安装 72
7.3.2 AAFID的配置 73
7.3 AAFID的安装与配置 73
7.3.1 AAFID的安装 73
7.4 AAFID使用详解 75
7.4.1 AAFID命令行的使用方式 75
7.4.2 AAFID的图形界面使用方式 80
第8章 AAFID的代理与过滤器 82
8.1 AAFID的规则:没有规则 82
8.1.1 AAFID系统的代理 82
8.l.2 AAFID系统的过滤器. 84
8.2 代理的编写 85
8.2.l 编写代理的基本步骤 85
8.2.2 简单代理编写实例 86
8.3 过滤器的编写 90
8.3.l 一般原则 90
8.3.2 实例说明 93
第9章 Snort总体结构分析 100
9.l 总体结构 100
9.1.1 Snort的模块结构 100
9.l.2 Snort的源代码布局 101
9.1.3 插件机制 104
9.2.2 Snort的总体流程 106
9.2.l 通常libpcap应用的流程 106
9.2 Snort的总体流程 106
9.2.3 入侵检测流程 107
第10章 Snort关键模块剖析 110
10.l 主控模块 110
10.1.l 主控流程分析 110
10.1.2 插件管理分析 112
10.1.3 全局变量 114
10.2 规则模块 117
10.2.1 Snort规则语法树的生成 117
10.2.2 Snort规则检测的实现 131
10.3.l 数据结构分析 137
10.3 解码模块 137
10.3.2 函数分析 139
10.4 处理模块 144
10.4.l 处理模块的内容 144
10.4.2 处理模块的基本架构 145
10.4.3 处理模块详细介绍 148
10.5 预处理模块 156
10.5.l 预处理模块的内容 156
10.5.2 预处理模块的基本架构 157
10.5.3 预处理模块详细介绍 159
10.6.l 输出模块的内容 173
10.6 输出模块 173
10.6.2 输出模块的基本架构 174
10.6.3 输出模块详细介绍 178
10.7 日志模块 182
10.7.l 日志模块的内容 182
10.7.2 日志模块详细介绍 183
10.8 辅助模块 194
10.8.l 辅助模块的内容 195
10.8.2 辅助模块功能分析 195
第11章 AAFID总体结构分析 198
11.1 AAFID的总体结构 198
11.1.1 AAFID系统源代码简单说明 198
11.1.2 AAFID系统的类层次结构 200
11.1.3 AAFID系统主要模块 202
11.2 AAFID的总体流程 203
11.2.1 AAFID系统的事件机制 203
11.2.2 AAFID系统中实体的运行模式 204
11.2.3 AAFID系统的典型流程 207
第12章 AAFID关键模块剖析 208
12.l 基础功能模块 208
12.l.1 Entity类 208
12.1.2 ControllerEntity类 222
12.1.3 Filter类 226
12.1.4 Agent类 230
12.2 过滤功能模块 232
12.3 代理功能模块 233
12.4 监视器模块 235
12.4.l 连接处理 235
12.4.2 实体请求处理 239
12.4.3 实体管理 239
12.5 收发器模块 240
12.6 运行管理模块 240
12.6.l 事件处理 241
12.7.l 格式定义及标准消息 248
12.7 消息处理模块 248
12.6.2 启动器 248
12.7.2 消息处理函数 250
12.8 日志管理模块 251
12.8.l 主题管理Topics.pm 251
12.8.2 日志管理Log.pm 251
12.9 通信处理模块 252
12.9.l 输出功能 252
12.9.2 输入功能 253
12.10 配置管理模块 254
12.10.1 Tags.pm 254
12.9.3 辅助功能 254
12.10.2 Config.pm 255
12.11 图形界面模块 256
12.12 辅助模块 257
12.12.l 通用功能Common类 257
12.12.2 常量管理Constants类 258
12.12.3 队列管理FiniteQueue类与NumQueue类 258
12.12.4 系统相关性管理System类 260
后记 261
附录A 术语 265
附录B 函数及结构索引 269
附录C 参考文献 276