入侵檢測技術導論

出版說明
前言
第1章  概述
  1.1  主要入侵攻擊手段簡介
  1.1.1  黑客入侵的步驟
  1.1.2  黑客攻擊的原理和方法
  1.2  入侵檢測與P2DR安全模型
  1.3  入侵檢測技術分類
  1.3.1  主機、網絡和分布式入侵檢測
  1.3.2  濫用和異常入侵檢測
  1.4  入侵檢測系統(tǒng)的CIDF模型
  1.4.1  CIDF的體系結構
  1.4.2  CIDF的通信機制
  1.4.3  CIDF語言
  1.4.4  CIDF的API接口
  1.5  入侵檢測系統(tǒng)的管理、評測問題
  1.6  相關的法律問題
第2章  UNIX/Linux系統(tǒng)介紹
  2.1  UNIX系統(tǒng)簡介
  2.2  日益流行的Unix操作系統(tǒng)
  2.3  Linux文件系統(tǒng)
  2.3.1  Linux文件結構
  2.3.2  Linux文件系統(tǒng)管理
第3章  審計機制及文件格式
  3.1  UNIX操作系統(tǒng)
  3.1.1  UNIX操作系統(tǒng)的日志分類
  3.1.2  連接時間日志生成機制及文件格式
  3.1.3  進程日志生成機制及文件格式
  3.1.4  syslog日志工具機制及文件格式
  3.2  Windows 2000操作系統(tǒng)
  3.2.1  Windows 2000操作系統(tǒng)日志分類
  3.2.2  事件日志文件格式
第4章  RPC(遠程過程調用)
  4.1  RPC的產生及特點
  4.1.1  RPC概述
  4.1.2  RPC的原理和實現機制
  4.2  RPC的數據表示格式
  4.2.1  XDR的工作原理
  4.2.2  XDR流
  4.2.3  XDR過濾器
  4.3  RPC協(xié)議
  4.3.1  RPC信息協(xié)議
  4.3.2  RPC鑒別協(xié)議
  4.3.3  端口映射器程序協(xié)議
  4.4  RPC的程序設計
  4.5  RPC語言編譯器(rpcgen)
第5章  IDES/NIDES系統(tǒng)實例
  5.1  引言
  5.2  IDES設計模型
  5.3  審計數據
  5.4  鄰域接口
  5.4.1  IDES審計記錄生成器(Agen)
  5.4.2  審計記錄池(arpool)
  5.4.3  IDES審計記錄的格式設計
  5.4.4  與IDES處理單元的連接
  5.5  統(tǒng)計異常檢測器
  5.5.1  入侵檢測測量值
  5.5.2  統(tǒng)計分析算法
  5.6  IDES專家系統(tǒng)
  5.6.1  PBEST概述
  5.6.2  PBEST的基本語法
  5.6.3  進一步的語法介紹
  5.7  IDES用戶接口
  5.8  進一步的發(fā)展：NIDES系統(tǒng)
  5.8.1  系統(tǒng)結構概述
  5.8.2  系統(tǒng)設計描述
第6章  STAT——基于狀態(tài)轉移分析的系統(tǒng)
  6.1  系統(tǒng)簡介
  6.2  總體架構設計
  6.2.1  預處理器
  6.2.2  知識庫
  6.2.3  推理引擎
  6.2.4  決策引擎
  6.3  審計記錄預處理器
  6.3.1  BSM審計記錄格式
  6.3.2  STAT審計記錄格式
  6.3.3  對BSM審計記錄的過濾操作
  6.3.4  預處理器模塊的算法流程
  6.4  系統(tǒng)知識庫
  6.4.1  事實庫(Fact-Base)
  6.4.2  規(guī)則庫(Rule-Base)
  6.5  推理引擎
  6.6  決策引擎
第7章網絡協(xié)議族介紹
  7.1  分層協(xié)議模型
  7.1.1  通信協(xié)議
  7.1.2  計算機網絡協(xié)議的分層模型
  7.1.3  協(xié)議的分層原理
  7.1.4  分層協(xié)議開放系統(tǒng)的通信機制
  7.2  開放系統(tǒng)互連參考模型OSI/ISO
  7.3  TCP/IP參考模型
  7.4  TCP/IP協(xié)議
  7.4.1  網絡接口層協(xié)議
  7.4.2  ARP協(xié)議和RARP協(xié)議
  7.4.3  IP協(xié)議
  7.4.4  ICMP協(xié)議
  7.4.5  TCP協(xié)議
  7.4.6  UDP協(xié)議
第8章  數據流捕獲技術
  8.1  基本的網絡數據截獲機制
  8.1.1  利用以太網絡的廣播特性進行截獲
  8.1.2  基于路由器的網絡數據截獲技術
  8.2  BPF過濾機制分析
  8.2.1  BPF模型概述
  8.2.2  BPF過濾虛擬機設計
  8.3  基于Libpcap庫的通用數據捕獲技術
  8.3.1  Libpcap庫函數介紹
  8.3.2  Windows平臺下的Winpcap庫
第9章  檢測引擎設計
  9.1  NFR的N-code語言
  9.2  Bro事件檢測引擎
  9.3  協(xié)議分析加命令解析的檢測引擎設計
第10章  Snort系統(tǒng)分析
  10.1  系統(tǒng)架構分析
  10.2  重要的全局數據結構
  10.2.1  Packet數據結構
  10.2.2  PV數據結構
  10.3  協(xié)議解析器組件
  10.4  規(guī)則檢測組件
  10.4.1  構造規(guī)則鏈表Parse RulesFile()和ParseRule()
  10.4.2  構建快速規(guī)則匹配引擎fpCreateFastPacketDetection()
  10.4.3  快速檢測接口函數fpEvalPacket()
  10.5  預處理器
  10.5.1  預處理模塊的基本架構
  10.5.2  Spp_bo模塊
  10.5.3  Spp_arpspoof模塊
  10.5.4  Spp_Http Decode模塊
  10.5.5  Spp_frag2模塊
  10.5.6  Spp_stream4模塊
  10.6  輸出插件
  10.6.1  概述
  10.6.2  輸出插件的初始化
  10.6.3  輸出插件的調用
第11章  AAFID分布式系統(tǒng)
  11.1  AAFID系統(tǒng)簡介
  11.1.1  基本情況
  11.1.2  系統(tǒng)結構
  11.2  AAFID的代理與過濾器
  11.2.1  AAFID代理簡介
  11.2.2  代理的編寫
  11.2.3  簡單代理編寫實例
  11.2.4  AAFID的過濾器
  11.3  AAFID總體結構分析
  11.3.1  AAFID的總體結構
  11.3.2  AAFID的總體流程
  11.4  關鍵模塊剖析
  11.4.1  基礎功能模塊
  11.4.2  其他模塊
第12章  入侵檢測的不對稱模型
  12.1  基本模型與不對稱指數
  12.2  入侵檢測的不對稱性
  12.3  不對稱模型與信息論
第13章  基于神經網絡的入侵檢測技術
  13.1  概述
  13.2  基本檢測算法描述
  13.3  關鍵詞表的選擇
  13.4  量化參數對檢測性能的影響
  13.5  BP網絡與徑向基函數(RBF)網絡
  13.6  檢測性能與不對稱指數
第14章  智能化入侵檢測系統(tǒng)的設計
  14.1  系統(tǒng)總體模塊結構
  14.2  數據包截獲和規(guī)則檢測模塊
  14.3  特征矢量生成器與網絡會話模塊
  14.4  ANN檢測引擎設計
附錄  入侵檢測技術FAQ