简介
本书作为信息安全系列教材,全面系统地介绍了信息安全领域主要内容之一的入侵检测技术。全书内容共分为14章。第1章是入侵检测概述;第2章是常见的入侵方法与手段;第3章是入侵检测系统模型;第4章是误用与异常入侵检测系统;第5章是串匹配与入侵检测;第6章是基于主机的入侵检测技术;第7章是基于网络的入侵检测技术;第8章是典型入侵检测技术介绍;第9章是分布式的入侵检测系统;第10章是入侵检测系统的相关标准与评估;第11章是典型入侵检测系统。第12章是典型入侵检测产品;第13章是Snort的分析与使用;第14章是入侵检测的发展。附录1是入侵检测中常用的英文解释。附录2是一个实验,内容是在Windows下使用Snort来配置一个网络入侵检测系统。本书可以作为大学本科相关专业的教材来使用,也可以作为计算机、通信、信息等领域研究人员和技术开发人员的参考书。
目录
目录
第1章 入侵检测概述
1.1 入侵检测简介
1.1.1 入侵的定义
1.1.2 入侵检测的概念
1.1.3 入侵检测的发展历史
1.1.4 入侵检测系统的作用
1.2 入侵检测系统在信息安全中的地位
1.2.1 P2DR2安全模型与入侵检测系统的关系
1.2.2 传统安全技术的局限性
1.3 入侵检测系统的基本原理与工作模式
1.3.1 入侵检测系统的基本原理
1.3.2 入侵检测系统的基本工作模式
1.4 入侵检测系统的分类
1.4.1 根据检测技术分类
1.4.2 根据数据来源分类
1.4.3 根据体系结构分类
1.4.4 根据入侵检测的时效性分类
1.5 常用入侵检测方法
思考题
第2章 常见的入侵方法与手段
2.1 信息系统的漏洞
2.1.1 漏洞的概念
2.1.2 漏洞的具体表现
2.1.3 漏洞的分类
2.2 信息系统面临的威胁
2.3 攻击概述
2.3.1 黑客
2.3.2 攻击的概念与分类
2.3.3 攻击的一般流程
2.4 典型的攻击技术与方法
2.4.1 预攻击探测
2.4.2 口令破解攻击
2.4.3 缓冲区溢出攻击
2.4.4 欺骗攻击
2.4.5 拒绝服务攻击
2.4.6 数据库攻击
2.4.7 木马攻击
思考题
第3章 入侵检测系统模型
3.1 入侵检测系统模型概述
3.2 信息收集
3.2.1 信息收集概述
3.2.2 信息的来源
3.2.3 信息的标准化
3.3 信息分析
3.3.1 模式匹配
3.3.2 统计分析
3.3.3 完整性分析
3.3.4 数据分析机制
3.4 报警与响应
3.4.1 被动响应与主动响应
3.4.2 主动响应在商业上的应用
3.4.3 “蜜罐”技术
3.4.4 “蜜网”技术
思考题
第4章 误用与异常入侵检测系统
4.1 误用入侵检测系统
4.1.1 误用入侵检测概述
4.1.2 误用入侵检测系统的类型
4.1.3 误用入侵检测方法
4.1.4 误用入侵检测系统的缺陷
4.2 异常入侵检测
4.2.1 异常入侵检测概述
4.2.2 异常入侵检测方法
思考题
第5章 模式串匹配与入侵检测
5.1 模式串匹配算法概述
5.2 模式串匹配技术及其在入侵检测中的应用
5.3 模式串匹配算法研究现状
5.3.1 精确模式串匹配算法
5.3.2 近似模式串匹配算法
5.4 精确模式串匹配算法概述
5.4.1 单模式串匹配算法
5.4.2 最简单的单模式串匹配算法——蛮力法
5.4.3 KMP算法
5.4.4 Boyer-Moore算法
5.4.5 BOM算法
5.4.6 多模式串匹配算法
5.4.7 最简单的多模式串匹配算法——蛮力法
5.4.8 Aho-Corasick算法
5.4.9 Wu-Manber算法
5.4.10 SBOM算法
5.5 不同串匹配算法性能对比
5.5.1 实验环境描述
5.5.2 关键词高频出现时的测试
5.5.3 关键词低频出现时的测试
5.6 串匹配算法的一些改进
思考题
第6章 基于主机的入侵检测系统
6.1 基于主机的入侵检测系统概述
6.2 获取审计数据
6.2.1 获取Windows的审计数据
6.2.2 获取UNIX的审计数据
6.3 基于主机的入侵检测系统模型
6.3.1 一种基于主机的入侵检测系统结构
6.3.2 入侵特征选取
6.3.3 入侵特征预处理
6.4 基于主机的入侵检测系统的优缺点
6.4.1 基于主机的入侵检测系统的优点
6.4.2 基于主机的入侵检测系统的缺点
思考题
第7章 基于网络的入侵检测系统
7.1 基于网络的入侵检测系统概述
7.2 基于网络的入侵检测系统模型
7.2.1 一种基于网络的入侵检测系统结构
7.2.2 网络层
7.2.3 主体层
7.2.4 分析层
7.2.5 管理层
7.3 包捕获技术
7.3.1 WinPcap简介
7.3.2 包捕获原理
7.3.3 Windows下包捕获程序的结构
7.3.4 Windows下捕获包的主要源代码
7.4 基于网络的入侵检测系统的优缺点
7.4.1 基于网络的入侵检测系统的优点
7.4.2 基于网络的入侵检测系统的缺点
思考题
第8章 典型的入侵检测技术
8.1 概述
8.2 基于神经网络的入侵检测技术
8.2.1 基于神经网络的入侵检测系统模型
8.2.2 系统功能描述
8.2.3 系统数据捕获及预处理实现
8.2.4 神经网络分类模块实现
8.3 基于遗传算法的入侵检测技术
8.3.1 遗传算法简介
8.3.2 遗传算法在入侵检测系统中的应用
8.4 基于数据挖掘的入侵检测技术
8.4.1 数据挖掘概述
8.4.2 数据挖掘算法
8.4.3 入侵检测系统中的特定数据挖掘算法
8.5 基于数据融合的入侵检测技术
8.5.1 基于数据融合的入侵检测系统介绍
8.5.2 基于警报融合的入侵检测系统
8.6 基于免疫的入侵检测技术
8.7 基于协议分析的入侵检测技术
8.7.1 基于协议分析的入侵检测技术概述
8.7.2 一种基于马尔可夫链的协议分析入侵检测系统模型
8.8 基于入侵容忍的入侵检测技术
8.8.1 基于入侵容忍的入侵检测技术概述
8.8.2 基于入侵容忍的入侵检测系统模型
8.8.3 基于多级门限的入侵容忍安全方案
思考题
第9章 基于主体的分布式入侵检测系统
9.1 基于主体的分布式入侵检测系统的应用背景
9.2 基于主体的分布式入侵检测系统的结构
9.2.1 分布式入侵检测系统的特征
9.2.2 分布式入侵检测系统的体系结构
9.2.3 分布式入侵检测体系结构的优点
9.2.4 多主体系统简介
9.2.5 主体简介
9.3 入侵检测系统中的主体实现技术
9.3.1 中心主体
9.3.2 分析主体
9.3.3 主机主体和网络主体
9.4 主体之间的通信
9.4.1 知识查询和操纵语言
9.4.2 消息示例
9.4.3 KQML/OWL消息的封装与解析过程
9.5 分布式入侵检测系统自身的安全问题
思考题
第10章 入侵检测系统的相关标准与评估
10.1 入侵检测的标准化工作
10.1.1 入侵检测工作组
10.1.2 公共入侵检测框架
10.1.3 国内入侵检测系统标准
10.2 入侵检测系统的性能指标
10.2.1 性能指标简介
10.2.2 影响性能指标的因素
10.3 入侵检测系统的测试与评估
10.3.1 入侵检测系统的测试步骤
10.3.2 评估入侵检测系统的性能指标
思考题
第11章 典型的入侵检测系统
11.1 典型入侵检测系统介绍
11.1.1 DIDS
11.1.2 CSM
11.1.3 EMERALD
11.1.4 AAFID
11.1.5 NetSTAT
11.1.6 GrIDS
11.1.7 IDA
11.1.8 MAIDS
11.2 总结和分析
思考题
第12章 典型的入侵检测产品
12.1 入侵检测产品概述
12.2 典型的入侵检测产品
12.2.1 NetRanger
12.2.2 CyberCop
12.2.3 LinkTrust
12.2.4 Dragon Sensor
12.2.5 RealSecure
12.2.6 Kane Security Monitor
12.2.7 0mniGuard/Intruder Alert
12.2.8 Session Wall-3
12.2.9 天阗
12.2.10 天眼
12.2.11 冰之眼
12.3 入侵检测产品选购要点
思考题
第13章 使用Snort进行入侵检测
13.1 Snort概述
13.1.1 Snort的工作模式
13.1.2 Snort入侵检测概述
13.1.3 Snort入侵检测的特点
13.2 Snort的体系结构
13.3 Snort的规则
13.3.1 Snort的规则基础
13.3.2 Snort的规则头
13.3.3 规则选项
13.3.4 预处理器
13.3.5 输出模块
13.3.6 建立好的Snort规则
思考题
第14章 入侵检测技术的发展
14.1 现有入侵检测技术的局限性
14.2 入侵检测技术的发展方向
14.2.1 入侵技术的发展
14.2.2 入侵检测技术的发展
14.2.3 入侵检测新技术
14.3 入侵防御系统
14.3.1 IPS的概念
14.3.2 IPS的功能与特点
14.3.3 IPS的优势与局限性
14.3.4 IPS的未来发展方向
14.4 入侵管理系统
14.4.1 IMS对IDS的扩充
14.4.2 入侵管理系统对应急响应的支撑
思考题
附录A 入侵检测常见英语词汇及翻译
附录B 在Windows下采用Snort配置入侵检测系统
参考文献
第1章 入侵检测概述
1.1 入侵检测简介
1.1.1 入侵的定义
1.1.2 入侵检测的概念
1.1.3 入侵检测的发展历史
1.1.4 入侵检测系统的作用
1.2 入侵检测系统在信息安全中的地位
1.2.1 P2DR2安全模型与入侵检测系统的关系
1.2.2 传统安全技术的局限性
1.3 入侵检测系统的基本原理与工作模式
1.3.1 入侵检测系统的基本原理
1.3.2 入侵检测系统的基本工作模式
1.4 入侵检测系统的分类
1.4.1 根据检测技术分类
1.4.2 根据数据来源分类
1.4.3 根据体系结构分类
1.4.4 根据入侵检测的时效性分类
1.5 常用入侵检测方法
思考题
第2章 常见的入侵方法与手段
2.1 信息系统的漏洞
2.1.1 漏洞的概念
2.1.2 漏洞的具体表现
2.1.3 漏洞的分类
2.2 信息系统面临的威胁
2.3 攻击概述
2.3.1 黑客
2.3.2 攻击的概念与分类
2.3.3 攻击的一般流程
2.4 典型的攻击技术与方法
2.4.1 预攻击探测
2.4.2 口令破解攻击
2.4.3 缓冲区溢出攻击
2.4.4 欺骗攻击
2.4.5 拒绝服务攻击
2.4.6 数据库攻击
2.4.7 木马攻击
思考题
第3章 入侵检测系统模型
3.1 入侵检测系统模型概述
3.2 信息收集
3.2.1 信息收集概述
3.2.2 信息的来源
3.2.3 信息的标准化
3.3 信息分析
3.3.1 模式匹配
3.3.2 统计分析
3.3.3 完整性分析
3.3.4 数据分析机制
3.4 报警与响应
3.4.1 被动响应与主动响应
3.4.2 主动响应在商业上的应用
3.4.3 “蜜罐”技术
3.4.4 “蜜网”技术
思考题
第4章 误用与异常入侵检测系统
4.1 误用入侵检测系统
4.1.1 误用入侵检测概述
4.1.2 误用入侵检测系统的类型
4.1.3 误用入侵检测方法
4.1.4 误用入侵检测系统的缺陷
4.2 异常入侵检测
4.2.1 异常入侵检测概述
4.2.2 异常入侵检测方法
思考题
第5章 模式串匹配与入侵检测
5.1 模式串匹配算法概述
5.2 模式串匹配技术及其在入侵检测中的应用
5.3 模式串匹配算法研究现状
5.3.1 精确模式串匹配算法
5.3.2 近似模式串匹配算法
5.4 精确模式串匹配算法概述
5.4.1 单模式串匹配算法
5.4.2 最简单的单模式串匹配算法——蛮力法
5.4.3 KMP算法
5.4.4 Boyer-Moore算法
5.4.5 BOM算法
5.4.6 多模式串匹配算法
5.4.7 最简单的多模式串匹配算法——蛮力法
5.4.8 Aho-Corasick算法
5.4.9 Wu-Manber算法
5.4.10 SBOM算法
5.5 不同串匹配算法性能对比
5.5.1 实验环境描述
5.5.2 关键词高频出现时的测试
5.5.3 关键词低频出现时的测试
5.6 串匹配算法的一些改进
思考题
第6章 基于主机的入侵检测系统
6.1 基于主机的入侵检测系统概述
6.2 获取审计数据
6.2.1 获取Windows的审计数据
6.2.2 获取UNIX的审计数据
6.3 基于主机的入侵检测系统模型
6.3.1 一种基于主机的入侵检测系统结构
6.3.2 入侵特征选取
6.3.3 入侵特征预处理
6.4 基于主机的入侵检测系统的优缺点
6.4.1 基于主机的入侵检测系统的优点
6.4.2 基于主机的入侵检测系统的缺点
思考题
第7章 基于网络的入侵检测系统
7.1 基于网络的入侵检测系统概述
7.2 基于网络的入侵检测系统模型
7.2.1 一种基于网络的入侵检测系统结构
7.2.2 网络层
7.2.3 主体层
7.2.4 分析层
7.2.5 管理层
7.3 包捕获技术
7.3.1 WinPcap简介
7.3.2 包捕获原理
7.3.3 Windows下包捕获程序的结构
7.3.4 Windows下捕获包的主要源代码
7.4 基于网络的入侵检测系统的优缺点
7.4.1 基于网络的入侵检测系统的优点
7.4.2 基于网络的入侵检测系统的缺点
思考题
第8章 典型的入侵检测技术
8.1 概述
8.2 基于神经网络的入侵检测技术
8.2.1 基于神经网络的入侵检测系统模型
8.2.2 系统功能描述
8.2.3 系统数据捕获及预处理实现
8.2.4 神经网络分类模块实现
8.3 基于遗传算法的入侵检测技术
8.3.1 遗传算法简介
8.3.2 遗传算法在入侵检测系统中的应用
8.4 基于数据挖掘的入侵检测技术
8.4.1 数据挖掘概述
8.4.2 数据挖掘算法
8.4.3 入侵检测系统中的特定数据挖掘算法
8.5 基于数据融合的入侵检测技术
8.5.1 基于数据融合的入侵检测系统介绍
8.5.2 基于警报融合的入侵检测系统
8.6 基于免疫的入侵检测技术
8.7 基于协议分析的入侵检测技术
8.7.1 基于协议分析的入侵检测技术概述
8.7.2 一种基于马尔可夫链的协议分析入侵检测系统模型
8.8 基于入侵容忍的入侵检测技术
8.8.1 基于入侵容忍的入侵检测技术概述
8.8.2 基于入侵容忍的入侵检测系统模型
8.8.3 基于多级门限的入侵容忍安全方案
思考题
第9章 基于主体的分布式入侵检测系统
9.1 基于主体的分布式入侵检测系统的应用背景
9.2 基于主体的分布式入侵检测系统的结构
9.2.1 分布式入侵检测系统的特征
9.2.2 分布式入侵检测系统的体系结构
9.2.3 分布式入侵检测体系结构的优点
9.2.4 多主体系统简介
9.2.5 主体简介
9.3 入侵检测系统中的主体实现技术
9.3.1 中心主体
9.3.2 分析主体
9.3.3 主机主体和网络主体
9.4 主体之间的通信
9.4.1 知识查询和操纵语言
9.4.2 消息示例
9.4.3 KQML/OWL消息的封装与解析过程
9.5 分布式入侵检测系统自身的安全问题
思考题
第10章 入侵检测系统的相关标准与评估
10.1 入侵检测的标准化工作
10.1.1 入侵检测工作组
10.1.2 公共入侵检测框架
10.1.3 国内入侵检测系统标准
10.2 入侵检测系统的性能指标
10.2.1 性能指标简介
10.2.2 影响性能指标的因素
10.3 入侵检测系统的测试与评估
10.3.1 入侵检测系统的测试步骤
10.3.2 评估入侵检测系统的性能指标
思考题
第11章 典型的入侵检测系统
11.1 典型入侵检测系统介绍
11.1.1 DIDS
11.1.2 CSM
11.1.3 EMERALD
11.1.4 AAFID
11.1.5 NetSTAT
11.1.6 GrIDS
11.1.7 IDA
11.1.8 MAIDS
11.2 总结和分析
思考题
第12章 典型的入侵检测产品
12.1 入侵检测产品概述
12.2 典型的入侵检测产品
12.2.1 NetRanger
12.2.2 CyberCop
12.2.3 LinkTrust
12.2.4 Dragon Sensor
12.2.5 RealSecure
12.2.6 Kane Security Monitor
12.2.7 0mniGuard/Intruder Alert
12.2.8 Session Wall-3
12.2.9 天阗
12.2.10 天眼
12.2.11 冰之眼
12.3 入侵检测产品选购要点
思考题
第13章 使用Snort进行入侵检测
13.1 Snort概述
13.1.1 Snort的工作模式
13.1.2 Snort入侵检测概述
13.1.3 Snort入侵检测的特点
13.2 Snort的体系结构
13.3 Snort的规则
13.3.1 Snort的规则基础
13.3.2 Snort的规则头
13.3.3 规则选项
13.3.4 预处理器
13.3.5 输出模块
13.3.6 建立好的Snort规则
思考题
第14章 入侵检测技术的发展
14.1 现有入侵检测技术的局限性
14.2 入侵检测技术的发展方向
14.2.1 入侵技术的发展
14.2.2 入侵检测技术的发展
14.2.3 入侵检测新技术
14.3 入侵防御系统
14.3.1 IPS的概念
14.3.2 IPS的功能与特点
14.3.3 IPS的优势与局限性
14.3.4 IPS的未来发展方向
14.4 入侵管理系统
14.4.1 IMS对IDS的扩充
14.4.2 入侵管理系统对应急响应的支撑
思考题
附录A 入侵检测常见英语词汇及翻译
附录B 在Windows下采用Snort配置入侵检测系统
参考文献
入侵检测技术
光盘服务联系方式: 020-38250260 客服QQ:4006604884
云图客服:
用户发送的提问,这种方式就需要有位在线客服来回答用户的问题,这种 就属于对话式的,问题是这种提问是否需要用户登录才能提问
Video Player
×
Audio Player
×
pdf Player
×