入侵檢測(cè)技術(shù)

出版說明
前言
第1章 入侵檢測(cè)基礎(chǔ)知識(shí)
1.1 入侵檢測(cè)的產(chǎn)生與發(fā)展
1.1.1 早期研究
1.1.2 主機(jī)IDS研究
1.1.3 網(wǎng)絡(luò)IDS研究
1.1.4 主機(jī)和網(wǎng)絡(luò)入侵檢測(cè)的集成
1.2 入侵檢測(cè)的基本概念
1.2.1 入侵檢測(cè)的概念
1.2.2 入侵檢測(cè)的作用
1.2.3 研究入侵檢測(cè)的必要性
1.3 練習(xí)題
第2章 入侵檢測(cè)系統(tǒng)
2.1 入侵檢測(cè)系統(tǒng)的基本模型
2.1.1 通用入侵檢測(cè)模型
2.1.2 IDM模型
2.1.3 SNMP－IDSM模型
2.2 入侵檢測(cè)系統(tǒng)的工作模式
2.3 入侵檢測(cè)系統(tǒng)的分類
2.4 入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源
2.4.1 基于主機(jī)的數(shù)據(jù)源
2.4.2 基于網(wǎng)絡(luò)的數(shù)據(jù)源
2.4.3 應(yīng)用程序日志文件
2.4.4 其他入侵檢測(cè)系統(tǒng)的報(bào)警信息
2.5 入侵檢測(cè)系統(tǒng)的部署
2.6 練習(xí)題
第3章 入侵檢測(cè)技術(shù)
3.1 入侵檢測(cè)的過程
3.1.1 信息收集
3.1.2 信息分析
3.1.3 告警與響應(yīng)
3.2 入侵分析的概念
3.2.1 入侵分析的定義
3.2.2 入侵分析的目的
3.2.3 入侵分析需要考慮的因素
3.3 入侵分析的模型
3.3.1 構(gòu)建分析器
3.3.2 對(duì)現(xiàn)場(chǎng)數(shù)據(jù)進(jìn)行分析
3.3.3 反饋和提煉
3.4 入侵分析方法
3.4.1 誤用檢測(cè)
3.4.2 異常檢測(cè)
3.4.3 可代替的檢測(cè)方案
3.5 告警與響應(yīng)
3.5.1 對(duì)響應(yīng)的需求
3.5.2 響應(yīng)的類型
3.5.3 調(diào)查期間掩蓋跟蹤
3.5.4 按策略配置響應(yīng)
3.6 入侵追蹤
3.6.1 通信過程的記錄設(shè)定
3.6.2 查找記錄
3.6.3 地理位置的追蹤
3.6.4 來電顯示
3.6.5 使用IP地址和域名
3.6.6 Web欺騙的攻擊和策略
3.7 練習(xí)題
第4章 入侵檢測(cè)系統(tǒng)的性能指標(biāo)和評(píng)估標(biāo)準(zhǔn)
4.1 影響入侵檢測(cè)系統(tǒng)性能的參數(shù)
4.2 評(píng)價(jià)檢測(cè)算法性能的測(cè)度
4.3 評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的標(biāo)準(zhǔn)
4.4 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)測(cè)試評(píng)估
4.5 測(cè)試評(píng)估內(nèi)容
4.5.1 功能性測(cè)試
4.5.2 性能測(cè)試
4.5.3 產(chǎn)品可用性測(cè)試
4.6 測(cè)試環(huán)境和測(cè)試軟件
4.6.1 測(cè)試環(huán)境
4.6.2 測(cè)試軟件
4.7 用戶評(píng)估標(biāo)準(zhǔn)
4.8 入侵檢測(cè)評(píng)估現(xiàn)狀
4.8.1 離線評(píng)估方案
4.8.2 實(shí)時(shí)評(píng)估方案
4.9 練習(xí)題
第5章 主要入侵檢測(cè)系統(tǒng)分析及入侵檢測(cè)的標(biāo)準(zhǔn)化工作
5.1 國外主要入侵檢測(cè)系統(tǒng)簡介
5.1.1 RealSecure
5.1.2 Cisco公司的Cisco Secure IDS
5.1.3 AAFID
5.2 國內(nèi)主要入侵檢測(cè)系統(tǒng)簡介
5.2.1 “天眼”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
5.2.2 “天闐”黑客入侵檢測(cè)系統(tǒng)
5.2.3 “冰之眼”網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
5.2.4 ERCIST-IDS網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)
5.3 入侵檢測(cè)的標(biāo)準(zhǔn)化工作
5.3.1 CIDF的標(biāo)準(zhǔn)化工作
5.3.2 IDWG的標(biāo)準(zhǔn)化
5.3.3 標(biāo)準(zhǔn)化工作總結(jié)
5.4 練習(xí)題
第6章 入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)
6.1 系統(tǒng)的體系結(jié)構(gòu)
6.1.1 現(xiàn)有入侵檢測(cè)系統(tǒng)的局限性
6.1.2 Agent在IDS中的作用
6.1.3 系統(tǒng)的體系結(jié)構(gòu)
6.1.4 系統(tǒng)策略
6.1.5 關(guān)鍵技術(shù)分析
6.2 主機(jī)Agent的設(shè)計(jì)和實(shí)現(xiàn)
6.2.1 Linux安全性分析
6.2.2 設(shè)計(jì)思路
6.2.3 主機(jī)Agent的結(jié)構(gòu)
6.2.4 主機(jī)Agent的具體實(shí)現(xiàn)
6.3 分析Agent的設(shè)計(jì)和實(shí)現(xiàn)
6.3.1 分析Agent的結(jié)構(gòu)
6.3.2 具體實(shí)現(xiàn)
6.4 中心Agent的設(shè)計(jì)和實(shí)現(xiàn)
6.4.1 中心Agent的結(jié)構(gòu)
6.4.2 具體實(shí)現(xiàn)
6.5 Agent之間通信的設(shè)計(jì)和實(shí)現(xiàn)
6.5.1 告警審計(jì)數(shù)據(jù)的傳送
6.5.2 控制信息的傳送
6.6 練習(xí)題
第7章 Snort分析
7.1 Snort的安裝與配置
7.1.1 Snort簡介
7.1.2 底層庫的安裝與配置
7.1.3 Snort的安裝
7.1.4 Snort的配置
7.1.5 其他應(yīng)用支撐的安裝與配置
7.2 Snort的使用
7.2.1 Libpcap的命令行
7.2.2 Snort的命令行
7.2.3 高性能的配置方式
7.3 Snort的規(guī)則
7.3.1 規(guī)則的語法
7.3.2 常用攻擊手段對(duì)應(yīng)規(guī)則舉例
7.3.3 規(guī)則的設(shè)計(jì)
7.4 Snort總體結(jié)構(gòu)分析
7.4.1 Snort的模塊結(jié)構(gòu)
7.4.2 插件機(jī)制
7.4.3 libpcap應(yīng)用的流程
7.4.4 Snort的總體流程
7.4.5 入侵檢測(cè)流程
7.5 練習(xí)題
第8章 入侵檢測(cè)的發(fā)展趨勢(shì)
8.1 入侵檢測(cè)技術(shù)現(xiàn)狀分析
8.2 目前的技術(shù)趨勢(shì)
8.2.1 大規(guī)模網(wǎng)絡(luò)的問題
8.2.2 網(wǎng)絡(luò)結(jié)構(gòu)的變化
8.2.3 網(wǎng)絡(luò)復(fù)雜化的思考
8.2.4 高速網(wǎng)絡(luò)的挑戰(zhàn)
8.2.5 無線網(wǎng)絡(luò)的進(jìn)步
8.2.6 分布式計(jì)算
8.2.7 入侵復(fù)雜化
8.2.8 多種分析方法并存的局面
8.3 未來的安全趨勢(shì)
8.3.1 管理
8.3.2 保護(hù)隱私安全
8.3.3 加密
8.3.4 可靠傳輸信任管理
8.4 入侵檢測(cè)的前景
8.4.1 入侵檢測(cè)的能力
8.4.2 高度的分布式結(jié)構(gòu)
8.4.3 廣泛的信息源
8.4.4 硬件防護(hù)
8.4.5 高效的安全眼務(wù)
8.5 練習(xí)題
參考文獻(xiàn)
附錄 選擇題答案