目 录 1
出版说明 1
前言 1
第1章概述 1
1.1主要入侵攻击手段简介 1
1.1.1黑客入侵的步骤 1
1.1.2黑客攻击的原理和方法 2
1.2入侵检测与P2DR安全模型 13
1.3入侵检测技术分类 14
1.3.1主机、网络和分布式入侵检测 14
1.3.2滥用和异常入侵检测 15
1.4入侵检测系统的CIDF 16
模型 16
1.4.1 CIDF的体系结构 16
10.4规则检测组件 17
1.4.2 CIDF的通信机制 17
1.4.4 CIDF的API接口 18
1.4.3 CIDF语言 18
1.5入侵检测系统的管理、评测问题 19
1.6相关的法律问题 20
第2章UNIX/Linux系统介绍 22
2.1 UNIX系统简介 22
系统 23
2.2日益流行的Linux操作 23
2.3.1 L.inux文件结构 25
2.3 Linux文件系统 25
2.3.2 L.inux文件系统管理 26
第3章审计机制及文件格式 28
3.1 UNIX操作系统 28
3.1.1 UNIX操作系统的日志分类 28
3.1.3进程日志生成机制及文件格式 29
3.1.2连接时间日志生成机制及文件格式 29
3.1.4 syslog日志工具机制及文件格式 30
3.2 Windows 2000操作系统 31
3.2.1Windows2000操作系统日志分类 31
3.2.2事件日志文件格式 33
第4章RPC(远程过程调用) 35
4.1RPC的产生及特点 35
4.1.1 RPC概述 35
4.1.2 RPC的原理和实现机制 35
4.2 RPC的数据表示格式 38
4.2.1 XDR的工作原理 38
4.2.2 XDR流 39
4.2.3 XDR过滤器 40
4.3RPC协议 41
4.3.1 RPC信息协议 41
4.3.2 RPC鉴别协议 42
4.3.3端口映射器程序协议 42
4.4RPC的程序设计 43
4.5RPC语言编译器 44
(rpcgen) 44
第5章IDES/NIDES系统实例 46
5.1 引言 46
5.2 IDES设计模型 46
5.3审计数据 48
5.4邻域接口 49
5.4.1 IDES审计记录 49
生成器(Agen) 49
5.4.2审计记录池(Arpoo1) 49
5.4.3 IDES审计记录的格式设计 50
5.4.4与IDES处理单元的连接 53
5.5统计异常检测器 54
5.5.1入侵检测测量值 55
5.5.2统计分析算法 57
5.6 IDES专家系统 64
5.6.1 PBEST概述 65
5.6.2 PBEST的基本语法 66
5.6.3进一步的语法介绍 70
5.7 IDES用户接口 74
5.8.1系统结构概述 75
系统 75
5.8进一步的发展:NIDES 75
5.8.2系统设计描述 77
第6章STAT——基于状态转移 80
分析的系统 80
6.1系统简介 80
6.2总体架构设计 83
6.2.1预处理器 84
6.2.2知识库 84
6.2.3推理引擎 85
6.3.1 BSM审计记录格式 86
6.3审计记录预处理器 86
6.2.4决策引擎 86
6.3.2 STAT审计记录格式 88
6.3.3对BSM审计记录的过滤操作 88
6.3.4预处理器模块的算法流程 90
6.4系统知识库 91
6.4.1事实库(Fact-Base) 91
6.4.2规则库(Rule-Base) 94
6.5推理引擎 98
6.6决策引擎 100
7.1.1通信协议 103
7.1.2计算机网络协议的分层模型 103
第7章网络协议族介绍 103
7.1分层协议模型 103
7.1.4分层协议开放系统的 106
通信机制 106
7.2开放系统互连参考 107
模型OSI/ISO 107
7.3 TCP/IP参考模型 111
7.4.1网络接口层协议 112
7.4 TCP/IP协议 112
7.4.2 ARP协议和RARP协议 113
7.4.3 IP协议 114
7.4.4 ICMP协议 118
7.4.5TCP协议 120
7.4.6 UDP协议 122
第8章数据流捕获技术 124
8.1基本的网络数据截获 124
机制 124
8.1.1利用以太网络的广播特性进行截获 124
8.1.2基于路由器的网络数据截获技术 125
8.2 BPF过滤机制分析 127
8.2.1 BPF模型概述 127
8.2.2 BPF过滤虚拟机设计 129
8.3基于Libpcap库的通用数据捕获技术 132
8.3.1 Libpcap库函数介绍 132
8.3.2 Windows平台下的 134
Winpcap库 134
第9章检测引擎设计 136
9.1 NFR的N-code语言 136
9.2Bro事件检测引擎 145
9.3协议分析加命令解析的检测 149
引擎设计 149
第10章Snort系统分析 151
10.1系统架构分析 151
10.2重要的全局数据结构 159
10.2.1 Packet数据结构 160
10.2.2 PV数据结构 163
10.3协议解析器组件 165
RulesFile()和 172
ParseRule() 172
10.4.1构造规则链表Parse 172
10.4.2构建快速规则匹配引擎fpCreateFastPacketDetection() 174
10.4.3快速检测接口函数 180
fpEvalPacket() 180
10.5预处理器 182
10.5.2 Spp_bo模块 183
10.5.3 Spp_arpspoof模块 183
10.5.1预处理模块的基本架构 183
10.5.4 Spp_Http_Decode模块 184
10.5.5Spp_frag2模块 185
10.5.6Spp_stream4模块 190
10.6输出插件 197
10.6.1概述 197
10.6.2输出插件的初始化 197
10.6.3输出插件的调用 202
第11章AAFID分布式系统 204
11.1 AAFID系统简介 204
11.1.1基本情况 204
11.1.2系统结构 205
11.2.1 AAFID代理简介 206
11.2 AAFID的代理与 206
过滤器 206
11.2.2代理的编写 207
11.2.3简单代理编写实例 208
11.2.4 AAFID的过滤器 212
11.3 AAFID总体结构分析 217
11.3.1 AAFID的总体结构 217
11.3.2 AAFID的总体流程 219
11.4关键模块剖析 222
11.4.1基础功能模块 222
11.4.2其他模块 236
第12章入侵检测的不对称 240
模型 240
12.1基本模型与不对称指数 240
12.2入侵检测的不对称性 242
12.3不对称模型与信息论 244
第13章基于神经网络的入侵 246
检测技术 246
13.1概述 246
13.2基本检测算法描述 248
13.3关键词表的选择 250
13.4量化参数对检测性能的 254
影响 254
13.5 BP网络与径向基函数 259
(RBF)网络 259
13.6检测性能与不对称指数 262
设计 264
14.1系统总体模块结构 264
第14章智能化入侵检测系统的 264
14.3特征矢量生成器与网络 265
模块 265
会话模块 265
14.2数据包截获和规则检测 265
14.4 ANN检测引擎设计 267
附录入侵检测技术FAQ 269
7.1.3协议的分层原理 1054