目录 1
第1章 入侵检测技术的历史 1
1.1主机审计——入侵检测的起点 1
1.2入侵检测基本模型的建立 2
1.3技术发展的历程 3
习题 5
第2章 入侵检测的相关概念 6
2.1入侵的定义 6
2.2什么是入侵检测 7
2.3入侵检测与P2DR模型 8
习题 9
3.1.1操作系统的审计记录 10
3.1入侵检测的信息源 10
第3章 入侵检测技术的分类 10
3.1.2系统日志 16
3.1.3应用程序的日志信息 20
3.1.4基于网络数据的信息源 22
3.1.5其他的数据来源 22
3.1.6信息源的选择问题 24
3.2分类方法 25
3.2.1按照信息源的分类 25
3.2.2按照检测方法的分类 27
3.2.3另外的分类标准 28
3.3具体的入侵检测系统 28
3.3.1NFR公司的NID系统 28
3.3.2ISS公司的RealSecure 29
3.3.3NAI公司的CyberCopMonitor 30
3.3.4Cisco公司的CiscoSecureIDS 31
习题 31
第4章 基于主机的入侵检测技术 32
4.1审计数据的获取 32
4.1.1审计数据类型与来源 32
4.1.2审计数据的预处理 33
4.1.3审计数据获取模块的设计 39
4.2用于入侵检测的统计模型 42
4.3入侵检测的专家系统 47
4.4基于状态转移分析的入侵检测技术 54
4.5文件完整性检查 64
4.6系统配置分析技术 66
习题 67
第5章 基于网络的入侵检测技术 68
5.1分层协议模型与TCP/IP协议 68
5.1.1TCP/IP协议模型 68
5.1.2TCP/IP协议报文格式 70
5.2网络数据包的截获 84
5.2.1以太网环境下的数据截获 84
5.2.2交换网络环境下的数据截获 90
5.3检测引擎的设计 90
5.3.1嵌入式规则检测引擎设计 91
5.3.2可编程的检测引擎设计 110
5.3.3特征分析与协议分析技术 119
习题 122
第6章 混合型的入侵检测技术 123
6.1采用多种信息源 123
6.1.1总体设计 123
6.1.2主机监控器 124
6.1.3局域网监控器 124
6.1.4控制台 125
6.2采用多种检测方法 127
6.2.1系统设计架构 127
6.2.2邻域接口 130
6.2.3统计分析组件 130
6.2.5解析器 131
6.2.4专家系统组件 131
习题 133
第7章 先进入侵检测技术 134
7.1采用先进检测算法的必要性 134
7.2神经网络与入侵检测技术 134
7.3数据挖掘与入侵检测技术 138
7.4数据融合与入侵检测技术 142
7.5计算机免疫学与入侵检测技术 143
7.6进化计算与入侵检测技术 145
习题 147
第8章 分布式的入侵检测架构 148
8.1应用背景 148
8.2需要解决的关键问题 148
8.3.1GrIDS:基于图表的入侵检测系统 150
8.3分布式检测架构的基础设计 150
8.3.2AAFID:基于自主代理的分布式入侵检测架构 161
8.4进一步的发展 189
8.4.1入侵检测的CIDF模型 189
8.4.2IDWG的标准化努力 193
习题 198
第9章 入侵检测系统的设计考虑 199
9.1用户需求分析 199
9.2系统安全设计原则 203
9.3系统设计的生命周期 206
习题 207
第10章 入侵检测的响应问题 208
10.1响应策略的确定 208
10.2选择恰当的响应类型 210
10.3响应组件的设计 211
习题 213
第11章 相关的法律问题 214
11.1网络空间中的法律问题 214
11.2入侵证据的保全 217
11.3处理入侵证据的方法 218
习题 218
第12章 未来需求与技术发展前景 219
12.1技术的发展趋势 219
12.2现有入侵检测技术的局限性 220
12.3入侵检测的发展前景 222
习题 222
参考文献 223