目录 1
第1章 入侵检测概论 1
1.1 IDS是什么 1
1.1.1 为何需要IDS 1
1.1.2 IDS能做什么 2
1.1.3 从不同角度看IDS 3
1.2 如何检测入侵 4
1.2.1 信息来源 4
1.2.2 检测办法 4
1.3 IDS的分类 5
1.3.1 NIDS 5
1.3.2 HIDS 6
1.4 IDS的发展历史 7
第2章 IDS产品介绍 9
2.1 NFR公司的NID 9
2.1.1 NID探测器 10
2.1.2 NFR NID控制台 11
2.1.3 产品特点 13
2.1.4 NID能识别的攻击 14
2.1.5 第三方评价 19
2.2 启明星辰天阗IDS 19
2.2.1 基本功能 20
2.2.2 扩展功能 23
2.2.3 产品特性 24
2.3 绿盟冰之眼IDS 26
2.3.1 产品新特点 27
2.3.2 产品功能 29
2.4 Snort 30
第3章 IDS的部署和使用 31
3.1 选择IDS的原则 31
3.2 IDS的部署 32
3.3.1 环境要求 33
3.3 IDS的使用 33
3.3.2 IDS的日常维护 34
3.3.3 策略配置 36
3.3.4 监控管理 37
3.3.5 日志管理 38
3.3.6 维护管理 39
第4章 Snort介绍和安装 41
4.1 Snort介绍 41
4.2 Snort安装 42
4.2.1 安装Iibpcap 42
4.2.2 Linux平台的安装 46
4.2.3 Windows平台的安装 48
第5章 Snort配置 54
5.1 命令行参数 54
5.2 snort.conf文件 56
5.3.1 规则行为 59
5.3 规则头 59
5.3.2 支持的协议 60
5.3.3 源和目的地址 61
5.3.4 源和目的端口 62
5.3.5 方向操作符 63
5.3.6 activate和dynamic规则 63
5.4 规则体 64
5.4.1 content选项 64
5.4.2 流控制 66
5.4.3 IP选项集合 67
5.4.4 TCP选项集合 68
5.4.5 ICMP选项集合 69
5.4.6 规则识别选项集合 70
5.4.7 其他规则选项 72
5.5 调整规则 73
5.5.2 取消规则 74
5.5.1 配置规则变量 74
5.5.3 BPF包过滤器 75
第6章 Snort预处理器 77
6.1 包重组的预处理 77
6.1.1 stream4预处理器 77
6.1.2 frag2预处理器 83
6.2 协议解码预处理器 84
6.2.1 Telnet预处理器 84
6.2.2 HTTP预处理器 85
6.2.3 RPC预处理器 86
6.3 异常检测预处理器 88
6.3.1 端口扫描 88
6.3.2 BO木马 90
6.3.3 非规则检测 90
6.4 实验阶段的预处理器 90
6.4.1 arpspoof 91
6.4.2 asnl_decode 91
6.4.3 fnord 91
6.4.4 portscan2和conversation 92
6.4.5 perfmonitor 94
第7章 Snort输出插件 95
7.1 关键组件介绍 95
7.2 输出插件选项 96
7.2.1 缺省的日志方式 96
7.2.2 Syslog 99
7.2.3 PCAP日志 100
7.2.4 Snortdb 101
7.2.5 unified日志 103
7.2.7 Barnyard 104
7.2.6 Cerebus 104
8.2 更新规则 106
8.1 打补丁 106
第8章 Snort升级维护 106
8.2.1 找到新规则 106
8.2.2 合并规则 111
8.2.3 参考信息 114
9.1 Snort整体工作流程 116
第9章 Snort代码构架 116
9.2 包结构 117
9.3 main主函数 121
9.4.1 主程序模块 122
9.4 主要接口函数定义 122
9.4.2 协议分解模块 125
9.4.3 预处理模块 126
9.4.4 规则解析及检测引擎模块 127
9.4.5 日志记录及告警模块 128
10.1 检测引擎 129
第10章 Snort检测引擎 129
10.2.1 解码流程 134
10.2 数据包解码 134
10.2.2 以太包解码 136
10.2.3 IP包解码 139
10.2.4 TCP包解码 146
11.1 规则解析 151
第11章 Snort规则处理代码 151
11.1.1 ParseRuleFile函数 155
11.1.2 ParseRule函数 161
11.1.3 ProcessHeadNode函数 170
11.2 规则匹配 183
12.1 Snort的插件概念 185
第12章 Snort预处理代码 185
12.2 预处理器模板和Telnet协议插件 186
12.2.1 插件解析 187
12.2.2 Telnet协商插件 188
12.3 预处理插件介绍:IP分片 205
12.4 预处理插件介绍:portscan 206
12.5 预处理插件介绍:httpdecode 216
第13章 Snort日志模块代码 228
14.1 使IDS误报的攻击 231
第14章 IDS的弱点 231
14.2 使IDS漏报的攻击 232
14.2.1 基于TCP/IP连接的攻击 232
14.2.2 基于溢出程序的变形攻击 232
14.2.3 基于Web服务的变形攻击 233
第15章 IDS的测试 238
15.1 IDS产品的认证 238
15.1.1 公安部计算机信息系统安全产品质量监督检验中心 238
15.1.2 国家保密局涉密信息系统安全保密测评中心 238
15.1.3 国家信息安全测评认证中心 239
15.1.4 解放军信息安全测评认证中心 239
15.1.5 认证内容 239
15.2.1 NSS测试标准 241
15.2 测试标准 241
15.2.2 公安部测试标准 245
15.3 测试方法 254
15.3.1 测试环境搭建 255
15.3.2 性能测试 255
15.3.3 告警功能测试 258
15.3.4 IDS躲避测试 258
15.3.5 事件风暴测试 259
15.3.6 控制台功能测试 259
15.3.7 审计功能测试 261
15.3.8 产品安全性 262
16.1 IPS 264
第16章 IDS产品的发展趋势 264
16.1.1 IPS概述 265
16.1.2 NAI IntruShield分析 267
16.1.3 Netscreen IDP分析 269
16.1.4 TippingPoint UnityOne分析 270
16.1.5 CyberwallPLUS分析 270
16.2 管理平台 273
16.2.1 SIM 274
16.2.2 NetForensics产品介绍 275
16.3 硬件IDS 291
16.3.1 NP和FPGA技术 292
16.3.2 硬件IDS的体系结构 293