高等學校信息安全系列教材·入侵檢測技術

《高等學校信息安全系列教材：入侵檢測技術》可以作為大學本科相關專業的教材，也可以作為計算機、通信、信息安全等領域研究人員和技術開發人員的參考書。

《高等學校信息安全系列教材：入侵檢測技術》作為信息安全系列教材，全書內容共分為14章，分別介紹了入侵檢測概述、常見的入侵方法與手段、入侵檢測系統模型、誤用與異常入侵檢測系統、模式串匹配與入侵檢測、基於主機的入侵檢測系統、基於網路的入侵檢測系統、典型的入侵檢測技術、基於主體的分散式的入侵檢測系統、入侵檢測系統的相關標準與評估、典型的入侵檢測系統、典型的入侵檢測產品、使用Snort進行入侵檢測以及入侵檢測技術的發展。附錄A列出了常用入侵檢測術語及其釋義；附錄B是一個實驗，介紹如何在Windows下使用Snort來配置一個網路入侵檢測系統。

第1章 入侵檢測概述

1.1 入侵檢測簡介

1.1.1 入侵的定義

1.1.2 入侵檢測的概念

1.1.3 入侵檢測的發展歷史

1.1.4 入侵檢測系統的作用

1.2 入侵檢測系統在信息安全中的地位

1.2.1 P2DR2安全模型與入侵檢測系統的關係

1.2.2 傳統安全技術的局限性

1.3 入侵檢測系統的基本原理與工作模式

1.3.1 入侵檢測系統的基本原理

1.3.2 入侵檢測系統的基本工作模式

1.4 入侵檢測系統的分類

1.4.1 根據檢測技術分類

1.4.2 根據數據來源分類

1.4.3 根據體系結構分類

1.4.4 根據入侵檢測的時效性分類

1.5 常用人侵檢測方法

思考題

第2章 常見的入侵方法與手段

2.1 信息系統的漏洞

2.1.1 漏洞的概念

2.1.2 漏洞的具體表現

2.1.3 漏洞的分類

2.2 信息系統面臨的威脅

2.3 攻擊概述

2.3.1 黑客

2.3.2 攻擊的概念與分類

2.3.3 攻擊的一般流程

2.4 典型的攻擊技術與方法

2.4.1 預攻擊探測

2.4.2 口令破解攻擊

2.4.3 緩衝區溢出攻擊

2.4.4 欺騙攻擊

2.4.5 拒絕服務攻擊

2.4.6 資料庫攻擊

2.4.7 木馬攻擊

思考題

第3章 入侵檢測系統模型

3.1 入侵檢測系統模型概述

3.2 信息收集

3.2.1 信息收集概述

3.2.2 信息的來源

3.2.3 信息的標準化

3.3 信息分析

3.3.1 模式匹配

3.3.2 統計分析

3.3.3 完整性分析

3.3.4 數據分析機制

3.4 報警與回響

3.4.1 被動回響與主動回響

3.4.2 主動回響在商業上的套用

3.4.3 “蜜罐”技術

3.4.4 “蜜網”技術

思考題

第4章 誤用與異常入侵檢測系統

4.1 誤用入侵檢測系統

4.1.1 誤用入侵檢測概述

4.1.2 誤用入侵檢測系統的類型

4.1.3 誤用入侵檢測方法

4.1.4 誤用入侵檢測系統的缺陷

4.2 異常入侵檢測

4.2.1 異常入侵檢測概述

4.2.2 異常入侵檢測方法

思考題

第5章 模式串匹配與入侵檢測

5.1 模式串匹配算法概述

5.2 模式串匹配技術及其在入侵檢測中的套用

5.3 模式串匹配算法研究現狀

5.3.1 精確模式串匹配算法

5.3.2 近似模式串匹配算法

5.4 精確模式串匹配算法概述

5.4.1 單模式串匹配算法

5.4.2 最簡單的單模式串匹配算法——蠻力法

5.4.3 KMP算法

5.4.4 Boyer-Moore算法

5.4.5 BOM算法

5.4.6 多模式串匹配算法

5.4.7 最簡單的多模式串匹配算法——蠻力法

5.4.8 Aho-Corasick算法

5.4.9 Wu-Manber算法

5.4.10 SBOM算法

5.5 不同串匹配算法性能對比

5.5.1 實驗環境描述

5.5.2 關鍵字高頻出現時的測試

5.5.3 關鍵字低頻出現時的測試

5.6 串匹配算法的一些改進

思考題

第6章 基於主機的入侵檢測系統

6.1 基於主機的入侵檢測系統概述

6.2 獲取審計數據

6.2.1 獲取Windows的審計數據

6.2.2 獲取UNIX的審計數據

6.3 基於主機的入侵檢測系統模型

6.3.1 一種基於主機的入侵檢測系統結構

6.3.2 入侵特徵選取

6.3.3 入侵特徵預處理

6.4 基於主機的入侵檢測系統的優缺點

6.4.1 基於主機的入侵檢測系統的優點

6.4.2 基於主機的入侵檢測系統的缺點

思考題

第7章 基於網路的入侵檢測系統

7.1 基於網路的入侵檢測系統概述

7.2 基於網路的入侵檢測系統模型

7.2.1 一種基於網路的入侵檢測系統結構

7.2.2 網路層

7.2.3 主體層

7.2.4 分析層

7.2.5 管理層

7.3 包捕獲技術

7.3.1 winPcap簡介

7.3.2 包捕獲原理

7.3.3 windoWs下包捕獲程式的結構

7.3.4 windoWs下捕獲包的主要原始碼

7.4 基於網路的入侵檢測系統的優缺點

7.4.1 基於網路的入侵檢測系統的優點

7.4.2 基於網路的入侵檢測系統的缺點

思考題

第8章 典型的入侵檢測技術

8.1 概述

8.2 基於神經網路的入侵檢測技術

8.2.1 基於神經網路的入侵檢測系統模型

8.2.2 系統功能描述

8.2.3 系統數據捕獲及預處理實現

8.2.4 神經網路分類模組實現

8.3 基於遺傳算法的入侵檢測技術

8.3.1 遺傳算法簡介

8.3.2 遺傳算法在入侵檢測系統中的套用

8.4 基於數據挖掘的入侵檢測技術

8.4.1 數據挖掘概述

8.4.2 數據挖掘算法

8.4.3 入侵檢測系統中的特定數據挖掘算法

8.5 基於數據融合的入侵檢測技術

8.5.1 基於數據融合的入侵檢測系統介紹

8.5.2 基於警報融合的入侵檢測系統

8.6 基於免疫的入侵檢測技術

8.7 基於協定分析的入侵檢測技術

8.7.1 基於協定分析的入侵檢測技術概述

8.7.2 一種基於馬爾可夫鏈的協定分析入侵檢測系統模型

8.8 基於入侵容忍的入侵檢測技術

8.8.1 基於入侵容忍的入侵檢測技術概述

8.8.2 基於入侵容忍的入侵檢測系統模型

8.8.3 基於多級門限的入侵容忍安全方案

思考題

第9章 基於主體的分散式入侵檢測系統

9.1 基於主體的分散式入侵檢測系統的套用背景

9.2 基於主體的分散式入侵檢測系統的結構

9.2.1 分散式入侵檢測系統的特徵

9.2.2 分散式入侵檢測系統的體系結構

9.2.3 分散式入侵檢測體系結構的優點

9.2.4 多主體系統簡介

9.2.5 主體簡介

9.3 入侵檢測系統中的主體實現技術

9.3.1 中心主體

9.3.2 分析主體

9.3.3 主機主體和網路主體

9.4 主體之間的通信

9.4.1 知識查詢和操縱語言

9.4.2 訊息示例

9.4.3 KQML/OWL訊息的封裝與解析過程

9.5 分散式入侵檢測系統自身的安全問題

思考題

第10章 入侵檢測系統的相關標準與評估

10.1 入侵檢測的標準化工作

10.1.1 入侵檢測工作組

10.1.2 公共入侵檢測框架

10.1.3 國內入侵檢測系統標準

10.2 入侵檢測系統的性能指標

10.2.1 性能指標簡介

10.2.2 影響性能指標的因素

10.3 入侵檢測系統的測試與評估

10.3.1 入侵檢測系統的測試步驟

10.3.2 評估入侵檢測系統的性能指標

思考題

第11章 典型的入侵檢測系統

11.1 典型入侵檢測系統介紹

11.1.1 DIDS

11.1.2 CSM

11.1.3 EMERALD

11.1.4 AAFID

11.1.5 NetSTAT

11.1.6 GRIDS

11.1.7 IDA

11.1.8 MAIDS

11.2 總結和分析

思考題

第12章 典型的入侵檢測產品

12.1 入侵檢測產品概述

12.2 典型的入侵檢測產品

12.2.1 NetRanger

12.2.2 CyberCop

12.2.3 LinkTrust

12.2.4 Dragon Sensor

12.2.5 RealSecure

12.2.6 Kane Security Monitor

12.2.7 OmniGuard/Intruder Alert

12.2.8 SessionWall-3

12.2.9 天闐

12.2.10 天眼

12.2.11 冰之眼

12.3 入侵檢測產品選購要點

思考題

第13章 使用Snort進行入侵檢測

13.1 Snort概述

13.1.1 Snort的工作模式

13.1.2 Snort入侵檢測概述

13.1.3 Snort入侵檢測的特點

13.2 Snort的體系結構

13.3 Snort的規則

13.3.1 Snort的規則基礎

13.3.2 Snort的規則頭

13.3.3 規則選項

13.3.4 預處理器

13.3.5 輸出模組

13.3.6 建立好的Snort規則

思考題

第14章 入侵檢測技術的發展

14.1 現有入侵檢測技術的局限性

14.2 入侵檢測技術的發展方向

14.2.1 入侵技術的發展

14.2.2 入侵檢測技術的發展

14.2.3 入侵檢測新技術

14.3 入侵防禦系統

14.3.1 IPS的概念

14.3.2 IPS的功能與特點

14.3.3 IPS的優勢與局限性

14.3.4 IPS的未來發展方向

14.4 入侵管理系統

14.4.1 IMS對IDS的擴充

14.4.2 入侵管理系統對應急回響的支撐

思考題

附錄A 入侵檢測常見英語辭彙及翻譯

附錄B 在Windows下採用Snort配置入侵檢測系統

參考文獻