入侵检测技术

第1章入侵检测概述

1.1入侵检测简介

1.1.1入侵的定义

1.1.2入侵检测的概念

1.1.3入侵检测的发展历史

1.1.4入侵检测系统的作用

1.2入侵检测系统在信息安全中的地位

1.2.1P2DR2安全模型与入侵检测系统的关系

1.2.2传统安全技术的局限性

1.3入侵检测系统的基本原理与工作模式

1.3.1入侵检测系统的基本原理

1.3.2入侵检测系统的基本工作模式

1.4入侵检测系统的分类

1.4.1根据检测技术分类

1.4.2根据数据来源分类

1.4.3根据体系结构分类

1.4.4根据入侵检测的时效性分类

1.5常用人侵检测方法

思考题

第2章常见的入侵方法与手段

2.1信息系统的漏洞

2.1.1漏洞的概念

2.1.2漏洞的具体表现

2.1.3漏洞的分类

2.2信息系统面临的威胁

2.3攻击概述

2.3.1黑客

2.3.2攻击的概念与分类

2.3.3攻击的一般流程

2.4典型的攻击技术与方法

2.4.1预攻击探测

2.4.2口令破解攻击

2.4.3缓冲区溢出攻击

2.4.4欺骗攻击

2.4.5拒绝服务攻击

2.4.6数据库攻击

2.4.7木马攻击

思考题

第3章入侵检测系统模型

3.1入侵检测系统模型概述

3.2信息收集

3.2.1信息收集概述

3.2.2信息的来源

3.2.3信息的标准化

3.3信息分析

3.3.1模式匹配

3.3.2统计分析

3.3.3完整性分析

3.3.4数据分析机制

3.4报警与响应

3.4.1被动响应与主动响应

3.4.2主动响应在商业上的应用

3.4.3“蜜罐”技术

3.4.4“蜜网”技术

思考题

第4章误用与异常入侵检测系统

4.1误用入侵检测系统

4.1.1误用入侵检测概述

4.1.2误用入侵检测系统的类型

4.1.3误用入侵检测方法

4.1.4误用入侵检测系统的缺陷

4.2异常入侵检测

4.2.1异常入侵检测概述

4.2.2异常入侵检测方法

思考题

第5章模式串匹配与入侵检测

5.1模式串匹配算法概述

5.2模式串匹配技术及其在入侵检测中的应用

5.3模式串匹配算法研究现状

5.3.1精确模式串匹配算法

5.3.2近似模式串匹配算法

5.4精确模式串匹配算法概述

5.4.1单模式串匹配算法

5.4.2最简单的单模式串匹配算法蛮力法

5.4.3KMP算法

5.4.4Boyer-Moore算法

5.4.5BOM算法

5.4.6多模式串匹配算法

5.4.7最简单的多模式串匹配算法蛮力法

5.4.8Aho-Corasick算法

5.4.9Wu-Manber算法

5.4.10SBOM算法

5.5不同串匹配算法性能对比

5.5.1实验环境描述

5.5.2关键词高频出现时的测试

5.5.3关键词低频出现时的测试

5.6串匹配算法的一些改进

思考题

第6章基于主机的入侵检测系统

6.1基于主机的入侵检测系统概述

6.2获取审计数据

6.2.1获取Windows的审计数据

6.2.2获取UNIX的审计数据

6.3基于主机的入侵检测系统模型

6.3.1一种基于主机的入侵检测系统结构

6.3.2入侵特征选取

6.3.3入侵特征预处理

6.4基于主机的入侵检测系统的优缺点

6.4.1基于主机的入侵检测系统的优点

6.4.2基于主机的入侵检测系统的缺点

思考题

第7章基于网络的入侵检测系统

7.1基于网络的入侵检测系统概述

7.2基于网络的入侵检测系统模型

7.2.1一种基于网络的入侵检测系统结构

7.2.2网络层

7.2.3主体层

7.2.4分析层

7.2.5管理层

7.3包捕获技术

7.3.1winPcap简介

7.3.2包捕获原理

7.3.3windoWs下包捕获程序的结构

7.3.4windoWs下捕获包的主要源代码

7.4基于网络的入侵检测系统的优缺点

7.4.1基于网络的入侵检测系统的优点

7.4.2基于网络的入侵检测系统的缺点

思考题

第8章典型的入侵检测技术

8.1概述

8.2基于神经网络的入侵检测技术

8.2.1基于神经网络的入侵检测系统模型

8.2.2系统功能描述

8.2.3系统数据捕获及预处理实现

8.2.4神经网络分类模块实现

8.3基于遗传算法的入侵检测技术

8.3.1遗传算法简介

8.3.2遗传算法在入侵检测系统中的应用

8.4基于数据挖掘的入侵检测技术

8.4.1数据挖掘概述

8.4.2数据挖掘算法

8.4.3入侵检测系统中的特定数据挖掘算法

8.5基于数据融合的入侵检测技术

8.5.1基于数据融合的入侵检测系统介绍

8.5.2基于警报融合的入侵检测系统

8.6基于免疫的入侵检测技术

8.7基于协议分析的入侵检测技术

8.7.1基于协议分析的入侵检测技术概述

8.7.2一种基于马尔可夫链的协议分析入侵检测系统模型

8.8基于入侵容忍的入侵检测技术

8.8.1基于入侵容忍的入侵检测技术概述

8.8.2基于入侵容忍的入侵检测系统模型

8.8.3基于多级门限的入侵容忍安全方案

思考题

第9章基于主体的分布式入侵检测系统

9.1基于主体的分布式入侵检测系统的应用背景

9.2基于主体的分布式入侵检测系统的结构

9.2.1分布式入侵检测系统的特征

9.2.2分布式入侵检测系统的体系结构

9.2.3分布式入侵检测体系结构的优点

9.2.4多主体系统简介

9.2.5主体简介

9.3入侵检测系统中的主体实现技术

9.3.1中心主体

9.3.2分析主体

9.3.3主机主体和网络主体

9.4主体之间的通信

9.4.1知识查询和操纵语言

9.4.2消息示例

9.4.3KQML/OWL消息的封装与解析过程

9.5分布式入侵检测系统自身的安全问题

思考题

第10章入侵检测系统的相关标准与评估

10.1入侵检测的标准化工作

10.1.1入侵检测工作组

10.1.2公共入侵检測框架

10.1.3国内入侵检测系统标准

10.2入侵检测系统的性能指标

10.2.1性能指标简介

10.2.2影响性能指标的因素

10.3入侵检测系统的测试与评估

10.3.1入侵检测系统的测试步骤

10.3.2评估入侵检测系统的性能指标

思考题

第11章典型的入侵检测系统

11.1典型入侵检测系统介绍

11.1.1DIDS

11.1.2CSM

11.1.3EMERALD

11.1.4AAFID

11.1.5NetSTAT

11.1.6GRIDS

11.1.7IDA

11.1.8MAIDS

11.2总结和分析

思考题

第12章典型的入侵检测产品

12.1入侵检测产品概述

12.2典型的入侵检测产品

12.2.1NetRanger

12.2.2CyberCop

12.2.3LinkTrust

12.2.4DragonSensor

12.2.5RealSecure

12.2.6KaneSecurityMonitor

12.2.7OmniGuard/IntruderAlert

12.2.8SessionWall-3

12.2.9天阗

12.2.10天眼

12.2.11冰之眼

12.3入侵检测产品选购要点

思考题

第13章使用Snort进行入侵检测

13.1Snort概述

13.1.1Snort的工作模式

13.1.2Snort入侵检测概述

13.1.3Snort入侵检测的特点

13.2Snort的体系结构

13.3Snort的规则

13.3.1Snort的规则基础

13.3.2Snort的规则头

13.3.3规则选项

13.3.4预处理器

13.3.5输出模块

13.3.6建立好的Snort规则

思考题

第14章入侵检测技术的发展

14.1现有入侵检测技术的局限性

14.2入侵检测技术的发展方向

14.2.1入侵技术的发展

14.2.2入侵检测技术的发展

14.2.3入侵检测新技术

14.3入侵防御系统

14.3.1IPS的概念

14.3.2IPS的功能与特点

14.3.3IPS的优势与局限性

14.3.4IPS的未来发展方向

14.4入侵管理系统

14.4.1IMS对IDS的扩充

14.4.2入侵管理系统对应急响应的支撑

思考题

附录A入侵检测常见英语词汇及翻译

附录B在Windows下采用Snort配置入侵检测系统

参考文献

　　本书是“高等学校信息安全系列教材”之一，全书共分14个章节，主要对入侵检测领域的理论与应用作了详细地介绍，具体内容包括入侵检测概述、常见的入侵方法与手段、入侵检测系统模型、误用与异常入侵检测系统、模式串匹配与入侵检测等。该书可供各大专院校作为教材使用，也可供从事相关工作的人员作为参考用书使用。　　本书作为信息安全系列教材，全面系统地介绍了信息安全领域主要内容之一的入侵检测技术。全书内容共分为14章，分别介绍了入侵检测概述、常见的入侵方法与手段、入侵检测系统模型、误用与异常入侵检测系统、模式串匹配与入侵检测、基于主机的入侵检测系统、基于网络的入侵检测系统、典型的入侵检测技术、基于主体的分布式的入侵检测系统、入侵检测系统的相关标准与评估、典型的入侵检测系统、典型的入侵检测产品、使用Snort进行入侵检测以及入侵检测技术的发展。附录A列出了常用入侵检测术语及其释义；附录B是一个实验，介绍如何在Windows下使用Snort来配置一个网络入侵检测系统。　　本书可以作为大学本科相关专业的教材，也可以作为计算机、通信、信息安全等领域研究人员和技术开发人员的参考书。