第一章 导论 1
1.1 信息安全概念体系 1
1.1.1 信息安全的基本范畴 1
1.1.2 信息安全、信息保障与信息对抗的关系 2
1.1.3 信息安全的基本类型 2
1.1.4 信息安全的工程概念 3
1.2 信息安全保障体系 3
1.2.1 信息安全保障体系的时间-空间-功能特性 3
1.2.2 信息安全保障模型 6
1.2.3 信息安全保障体系结构 6
1.3 网络入侵检测技术 8
1.3.1 网络入侵检测系统分类 9
1.3.2 异常检测常用技术 11
1.3.3 滥用检测技术 15
1.4 网络入侵检测的误警分析 21
1.4.1 网络入侵检测方法分类 21
1.4.2 网络入侵检测环境分析 22
1.4.3 网络入侵检测系统产生误警的原因 23
1.4.4 知识工程是解决网络入侵检测误警问题的技术途径 23
1.5 本书的主要工作与特色 24
参考文献 24
第二章 基于关键主机的异常检测技术 26
2.1 基于关键主机的异常检测系统体系结构 26
2.1.1 基于关键主机的异常检测系统设计需求 26
2.1.2 基于关键主机的异常检测系统总体结构 27
2.2 基于系统调用序列的异常检测方法 29
2.2.1 基于相对差异度和差异密度的异常检测方法 30
2.2.2 基于改进支持向量分类方法的异常检测 34
2.3 基于网络输入流的异常检测方法 40
2.3.1 当前常用的网络流异常检测方法 40
2.3.2 基于分形的网络输入流异常检测方法 41
2.4 基于粗糙集的告警信息融合方法 46
2.4.1 基于粗糙集的告警信息融合系统结构 46
2.4.2 告警信息在时间方向上的融合 47
2.4.3 基于粗糙集的告警信息空间方向上的融合 50
参考文献 57
第三章 滥用检测的不确定性知识表达与推理技术 59
3.1 基于模糊不确定性推理的入侵检测方法 59
3.1.1 模糊检测对攻击变体的检测能力分析 59
3.1.2 模糊入侵检测 62
3.2 模糊攻击知识库的建立 66
3.2.1 基于网络数据包的攻击特征选取 66
3.2.2 攻击知识获取 68
3.2.3 模糊集合隶属函数的建立 69
3.3 基于模糊Petri网的攻击知识表示与推理 70
3.3.1 基于Petri网的知识表示的优点 71
3.3.2 Petri网原理 71
3.3.3 基于模糊Petri网的攻击知识表示与推理方法 72
3.4 基于Petri网的攻击知识库校验 78
3.4.1 知识库校验的目标 78
3.4.2 基于Petri网的攻击知识校验方法 81
3.5 基于模糊神经网络的知识更新与规则提取 84
3.5.1 攻击规则学习方法 84
3.5.2 入侵检测的模糊神经网络结构 84
3.5.3 模糊神经网络的学习算法 87
参考文献 90
第四章 基于本体的网络协同攻击检测技术 91
4.1 网络安全本体 91
4.1.1 本体技术概述 91
4.1.2 网络安全本体概念类及其层次结构 94
4.1.3 网络安全本体的形式化逻辑 97
4.1.4 网络安全本体模型内的概念映射算法 99
4.2 协同攻击检测的检测方法 101
4.2.1 协同攻击的时序检测方法 102
4.2.2 协同攻击的功能检测方法 105
4.3 基于本体的协同攻击检测系统 109
4.3.1 基本框架结构 109
4.3.2 系统各模块之间的关系 109
4.3.3 本体背景下DIDS的结构和运行机制 110
4.3.4 入侵检测本体在Agent检测领域知识的组织机制 116
4.4 入侵检测本体对遗留或异构Agent的重构框架 120
参考文献 124
第五章 基于主动知识库系统的滥用检测系统 127
5.1 主动知识库系统 127
5.1.1 主动知识库系统结构 127
5.1.2 主动知识库实现途径 129
5.1.3 主动专家系统 129
5.2 基于主动专家系统的滥用检测系统 130
5.2.1 系统结构 131
5.2.2 系统所应实现的主动功能 132
5.2.3 分析层工作流程 134
5.2.4 主动功能的ECA规则实现 135
5.3 检测知识的ECA规则表示 140
5.3.1 入侵行为描述 140
5.3.2 入侵事件分类 141
5.3.3 入侵事件关系 144
5.3.4 入侵事件模型 146
5.3.5 入侵知识表示 153
5.4 基于ECA规则的入侵检测系统 155
5.4.1 系统体系结构 155
5.4.2 入侵事件获取 156
5.4.3 入侵事件管理 159
5.4.4 事件分析 161
5.4.5 与其他检测方法比较 163
参考文献 164
第六章 网络入侵检测机器学习方法 166
6.1 网络滥用检测规则学习系统 166
6.1.1 滥用检测规则学习过程 166
6.1.2 滥用检测规则学习的作用与功能 167
6.1.3 滥用检测规则学习系统的总体结构 168
6.2 基于归纳的数据挖掘方法 168
6.2.1 基于粗集理论的知识处理方法 169
6.2.2 知识过滤器原理 169
6.2.3 知识重构机制的原理 171
6.3 基于粗集遗传算法的分类挖掘算法 173
6.3.1 粗集理论与遗传算法的基本思想 173
6.3.2 基于RSGA的分类挖掘算法 177
6.3.3 RSGA算法的描述 184
6.4 RSGA算法在网络入侵检测中的应用 185
6.4.1 应用背景 185
6.4.2 利用RSGA算法挖掘滥用检测规则 186
6.4.3 RSGA算法的应用示例 190
6.4.4 试验结果及评价 195
参考文献 196
第七章 分布式入侵检测与信息融合 198
7.1 基于信息融合的分布式IDS体系结构 198
7.2 分布式IDS的Agent分类 200
7.2.1 基于信息融合分布式IDS体系的Agent实现机制 200
7.2.2 监测层次SA 202
7.2.3 预警层次WA 203
7.2.4 识别层次IA 204
7.2.5 决策层次DA 204
7.2.6 响应层次RA 204
7.2.7 公共服务PSA 205
7.3 从不确定性与智能的角度看分布式IDS信息融合 205
7.3.1 环境与处理方式的特殊性 206
7.3.2 信息的不确定性及其冗余与互补 206
7.3.3 不确定性信息的智能融合 206
7.3.4 信息融合的层次 206
7.4 分布式IDS信息融合的形式化 207
7.4.1 信息融合的形式系统观 207
7.4.2 信息融合系统的形式化逻辑 207
7.5 融合信息源选择及不确定性知识获取 208
7.5.1 选择方法及其优劣比较 208
7.5.2 信息源选择及权值获取的粗集理论法 208
7.6 分布式IDS多源融合方法 211
7.6.1 加权模糊推理方法 212
7.6.2 证据组合推理方法 215
7.7 分布式IDS决策融合方法 220
7.7.1 博弈论与模糊矩阵博弈 220
7.7.2 基于FMG模型的威胁评估与全局决策 221
7.7.3 应用示例 222
参考文献 223
第八章 网络入侵检测技术的发展与趋势 225
8.1 网络安全系统工程 225
8.2 网络入侵检测的体系对抗概念 227
8.3 网络入侵检测系统组成 227
8.4 基于指挥控制的网络入侵检测系统体系结构 229
8.4.1 强化防护层 229
8.4.2 监测层 230
8.4.3 功能层 230
8.5 基于信息保障的网络入侵检测系统自防护技术 231
8.5.1 网络入侵检测系统的六类脆弱点 231
8.5.2 网络入侵检测系统面临的四类威胁 232
8.5.3 网络入侵检测系统的自防护原则与技术途径 233
参考文献 235