入侵检测技术PDF|Epub|txt|kindle电子书版本网盘下载

入侵检测技术PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 入侵检测概述1

1.1 网络安全基本概念1

1.1.1 网络安全的实质1

1.1.2 网络系统的安全对策与入侵检测2

1.1.3 网络安全的P2DR模型与入侵检测3

1.2 入侵检测的产生与发展4

1.2.1 早期研究4

1.2.2 主机IDS研究5

1.2.3 网络IDS研究6

1.2.4 主机和网络IDS的集成7

1.3 入侵检测的基本概念8

1.3.1 入侵检测的概念9

1.3.2 入侵检测的作用9

1.3.3 研究入侵检测的必要性10

习题11

第2章 入侵方法与手段12

2.1 网络入侵12

2.1.1 什么是网络入侵12

2.1.2 网络入侵的一般流程12

2.1.3 典型网络入侵方法分析15

2.2 漏洞扫描19

2.2.1 扫描器简介19

2.2.2 秘密扫描20

2.2.3 OS Fingerprint技术21

2.3 口令破解22

2.3.1 Windows口令文件的格式及安全机制22

2.3.2 UNIX口令文件的格式及安全机制23

2.3.3 破解原理及典型工具24

2.4 拒绝服务攻击25

2.4.1 拒绝服务攻击的原理26

2.4.2 典型拒绝服务攻击的手段27

2.5 分布式拒绝服务攻击28

2.6 缓冲区溢出攻击30

2.6.1 堆栈的基本原理30

2.6.2 一个简单的例子30

2.7 格式化字符串攻击33

2.8 跨站脚本攻击34

2.9 SQL Injection攻击34

习题36

第3章 入侵检测系统37

3.1 入侵检测系统的基本模型37

3.1.1 通用入侵检测模型（Denning模型）37

3.1.2 层次化入侵检测模型（IDM）39

3.1.3 管理式入侵检测模型（SNMP-IDSM）41

3.2 入侵检测系统的工作模式42

3.3 入侵检测系统的分类43

3.3.1 根据目标系统的类型分类43

3.3.2 根据入侵检测系统分析的数据来源分类43

3.3.3 根据入侵检测分析方法分类43

3.3.4 根据检测系统对入侵攻击的响应方式分类44

3.3.5 根据系统各个模块运行的分布方式分类44

3.4 入侵检测系统的构架44

3.4.1 管理者44

3.4.2 代理45

3.5 入侵检测系统的部署45

3.5.1 网络中没有部署防火墙时46

3.5.2 网络中部署防火墙时46

习题47

第4章 入侵检测流程48

4.1 入侵检测的过程48

4.1.1 信息收集48

4.1.2 信息分析48

4.1.3 告警与响应49

4.2 入侵检测系统的数据源49

4.2.1 基于主机的数据源49

4.2.2 基于网络的数据源51

4.2.3 应用程序日志文件52

4.2.4 其他入侵检测系统的报警信息53

4.2.5 其他网络设备和安全产品的信息53

4.3 入侵分析的概念53

4.3.1 入侵分析的定义54

4.3.2 入侵分析的目的54

4.3.3 入侵分析应考虑的因素54

4.4 入侵分析的模型55

4.4.1 构建分析器55

4.4.2 分析数据56

4.4.3 反馈和更新57

4.5 入侵检测的分析方法58

4.5.1 误用检测58

4.5.2 异常检测61

4.5.3 其他检测方法68

4.6 告警与响应71

4.6.1 对响应的需求71

4.6.2 响应的类型73

4.6.3 按策略配置响应76

4.6.4 联动响应机制77

习题78

第5章 基于主机的入侵检测技术79

5.1 审计数据的获取79

5.1.1 系统日志与审计信息80

5.1.2 数据获取系统结构设计81

5.2 审计数据的预处理82

5.3 基于统计模型的入侵检测技术86

5.4 基于专家系统的入侵检测技术87

5.5 基于状态转移分析的入侵检测技术91

5.6 基于完整性检查的入侵检测技术91

5.7 基于智能体的入侵检测技术93

5.8 系统配置分析技术96

5.9 检测实例分析96

习题102

第6章 基于网络的入侵检测技术103

6.1 分层协议模型与TCP/IP协议簇103

6.1.1 TCP/IP协议模型103

6.1.2 TCP/IP报文格式104

6.2 网络数据包的捕获108

6.2.1 局域网和网络设备的工作原理108

6.2.2 Sniffer介绍109

6.2.3 共享和交换网络环境下的数据捕获110

6.3 包捕获机制与BPF模型111

6.3.1 包捕获机制111

6.3.2 BPF模型112

6.4 基于Libpcap库的数据捕获技术113

6.4.1 Libpcap介绍113

6.4.2 Windows平台下的Winpcap库116

6.5 检测引擎的设计120

6.5.1 模式匹配技术121

6.5.2 协议分析技术121

6.6 网络入侵特征实例分析122

6.6.1 特征（Signature）的基本概念122

6.6.2 典型特征——报头值123

6.6.3 候选特征123

6.6.4 最佳特征124

6.6.5 通用特征124

6.6.6 报头值关键元素125

6.7 检测实例分析125

6.7.1 数据包捕获126

6.7.2 端口扫描的检测126

6.7.3 拒绝服务攻击的检测127

习题127

第7章 入侵检测系统的标准与评估128

7.1 入侵检测的标准化工作128

7.1.1 CIDF128

7.1.2 IDMEF133

7.1.3 标准化工作总结141

7.2 入侵检测系统的性能指标141

7.2.1 评价入侵检测系统性能的标准141

7.2.2 影响入侵检测系统性能的参数141

7.2.3 评价检测算法性能的测度143

7.3 网络入侵检测系统测试评估145

7.4 测试评估内容146

7.4.1 功能性测试146

7.4.2 性能测试147

7.4.3 产品可用性测试148

7.5 测试环境和测试软件148

7.5.1 测试环境148

7.5.2 测试软件149

7.6 用户评估标准150

7.7 入侵检测评估方案152

7.7.1 离线评估方案152

7.7.2 实时评估方案156

习题157

第8章 Snort分析159

8.1 Snort的安装与配置159

8.1.1 Snort简介159

8.1.2 底层库的安装与配置164

8.1.3 Snort的安装165

8.1.4 Snort的配置166

8.1.5 其他应用支撑的安装与配置168

8.2 Snort总体结构分析168

8.2.1 Snort的模块结构168

8.2.2 插件机制169

8.2.3 Libpcap应用的流程171

8.2.4 Snort的总体流程171

8.2.5 入侵检测流程172

8.3 Snort的使用174

8.3.1 Libpcap的命令行174

8.3.2 Snort的命令行175

8.3.3 高性能的配置方式176

8.4 Snort的规则176

8.4.1 规则的结构177

8.4.2 规则的语法180

8.4.3 预处理程序181

8.4.4 输出插件183

8.4.5 常用攻击手段对应规则举例185

8.4.6 规则的设计186

8.5 使用Snort构建入侵检测系统实例189

习题194

第9章 入侵检测的发展趋势195

9.1 入侵检测技术现状分析195

9.2 目前的技术分析196

9.3 入侵检测的先进技术197

9.4 入侵检测的前景206

9.4.1 入侵检测的能力206

9.4.2 高度的分布式结构207

9.4.3 广泛的信息源207

9.4.4 硬件防护208

9.4.5 高效的安全服务208

9.4.6 IPv6对入侵检测的影响208

习题209

附录 主要入侵检测系统介绍与分析210

附1 国外主要入侵检测系统简介210

附2 国内主要入侵检测系统简介217

参考文献227