《入侵檢測技術》

《入侵檢測技術》

《入侵檢測技術》是由曹元大創作的,介紹入侵檢測的基本概念、基本原理和檢測流程的書。

基本信息

《入侵檢測技術》《入侵檢測技術》
出版社 :人民郵電出版社
系列名 :普通高等教育“十一五”國家級規劃教材
作者:曹元大/
出版日期:2007年5月
版別版次:2007年5月第1次印刷
國標編號:9787115162335
條形碼 :9787115162335
字數:362千字印張:15.25
印數:1-3000冊頁數:226
開本:787*10921/16

簡介

本書全面、系統地介紹了入侵檢測的基本概念、基本原理和檢測流程,較為詳盡地講述了基於主機的入侵檢測技術和基於網路的入侵檢測技術,在此基礎上介紹了入侵檢測系統的標準與評估,並以開源軟體Snort為例對入侵檢測的套用進行了分析。

章節

第1章 入侵檢測概述 1
1.1 網路安全基本概念 1
1.1.1 網路安全的實質 1
1.1.2 網路系統的安全對策與入侵檢測 2
1.1.3 網路安全的P2DR模型與入侵檢測 3
1.2 入侵檢測的產生與發展 4
1.2.1 早期研究 4
1.2.2 主機IDS研究 5
1.2.3 網路IDS研究 6
1.2.4 主機和網路IDS的集成 7
1.3 入侵檢測的基本概念 8
1.3.1 入侵檢測的概念 9
1.3.2 入侵檢測的作用 9
1.3.3 研究入侵檢測的必要性 10
習題 11
第2章 入侵方法與手段 12
2.1 網路入侵 12
2.1.1 什麼是網路入侵 12
2.1.2 網路入侵的一般流程 12
2.1.3 典型網路入侵方法分析 15
2.2 漏洞掃描 19
2.2.1 掃描器簡介 19
2.2.2 秘密掃描 20
2.2.3 OSFingerprint技術 21
2.3 口令破解 22
2.3.1 Windows口令檔案的格式及安全機制 22
2.3.2 UNIX口令檔案的格式及安全機制 23
2.3.3 破解原理及典型工具 24
2.4 拒絕服務攻擊 25
2.4.1 拒絕服務攻擊的原理 26
2.4.2 典型拒絕服務攻擊的手段 27
2.5 分散式拒絕服務攻擊 28
2.6 緩衝區溢出攻擊 30
2.6.1 堆疊的基本原理 30
2.6.2 一個簡單的例子 30
2.7 格式化字元串攻擊 33
2.8 跨站腳本攻擊 34
2.9 SQLInjection攻擊 34
習題 36
第3章 入侵檢測系統 37
3.1 入侵檢測系統的基本模型 37
3.1.1 通用入侵檢測模型(Denning模型) 37
3.1.2 層次化入侵檢測模型(IDM) 39
3.1.3 管理式入侵檢測模型(SNMP-IDSM) 41
3.2 入侵檢測系統的工作模式 42
3.3 入侵檢測系統的分類 43
3.3.1 根據目標系統的類型分類 43
3.3.2 根據入侵檢測系統分析的數據來源分類 43
3.3.3 根據入侵檢測分析方法分類 43
3.3.4 根據檢測系統對入侵攻擊的回響方式分類 44
3.3.5 根據系統各個模組運行的分布方式分類 44
3.4 入侵檢測系統的構架 44
3.4.1 管理者 44
3.4.2 代理 45
3.5 入侵檢測系統的部署 45
3.5.1 網路中沒有部署防火牆時 46
3.5.2 網路中部署防火牆時 46
習題 47
第4章 入侵檢測流程 48
4.1 入侵檢測的過程 48
4.1.1 信息收集 48
4.1.2 信息分析 48
4.1.3 告警與回響 49
4.2 入侵檢測系統的數據源 49
4.2.1 基於主機的數據源 49
4.2.2 基於網路的數據源 51
4.2.3 應用程式日誌檔案 52
4.2.4 其他入侵檢測系統的報警信息 53
4.2.5 其他網路設備和安全產品的信息 53
4.3 入侵分析的概念 53
4.3.1 入侵分析的定義 54
4.3.2 入侵分析的目的 54
4.3.3 入侵分析應考慮的因素 54
4.4 入侵分析的模型 55
4.4.1 構建分析器 55
4.4.2 分析數據 56
4.4.3 反饋和更新 57
4.5 入侵檢測的分析方法 58
4.5.1 誤用檢測 58
4.5.2 異常檢測 61
4.5.3 其他檢測方法 68
4.6 告警與回響 71
4.6.1 對回響的需求 71
4.6.2 回響的類型 73
4.6.3 按策略配置回響 76
4.6.4 聯動回響機制 77
習題 78
第5章 基於主機的入侵檢測技術 79
5.1 審計數據的獲取 79
5.1.1 系統日誌與審計信息 80
5.1.2 數據獲取系統結構設計 81
5.2 審計數據的預處理 82
5.3 基於統計模型的入侵檢測技術 86
5.4 基於專家系統的入侵檢測技術 87
5.5 基於狀態轉移分析的入侵檢測技術 91
5.6 基於完整性檢查的入侵檢測技術 91
5.7 基於智慧型體的入侵檢測技術 93
5.8 系統配置分析技術 96
5.9 檢測實例分析 96
習題 102
第6章 基於網路的入侵檢測技術 103
6.1 分層協定模型與TCP/IP協定簇 103
6.1.1 TCP/IP協定模型 103
6.1.2 TCP/IP報文格式 104
6.2 網路數據包的捕獲 108
6.2.1 區域網路和網路設備的工作原理 108
6.2.2 Sniffer介紹 109
6.2.3 共享和交換網路環境下的數據捕獲 110
6.3 包捕獲機制與BPF模型 111
6.3.1 包捕獲機制 111
6.3.2 BPF模型 112
6.4 基於Libpcap庫的數據捕獲技術 113
6.4.1 Libpcap介紹 113
6.4.2 Windows平台下的Winpcap庫 116
6.5 檢測引擎的設計 120
6.5.1 模式匹配技術 121
6.5.2 協定分析技術 121
6.6 網路入侵特徵實例分析 122
6.6.1 特徵(Signature)的基本概念 122
6.6.2 典型特徵——報頭值 123
6.6.3 候選特徵 123
6.6.4 最佳特徵 124
6.6.5 通用特徵 124
6.6.6 報頭值關鍵元素 125
6.7 檢測實例分析 125
6.7.1 數據包捕獲 126
6.7.2 連線埠掃描的檢測 126
6.7.3 拒絕服務攻擊的檢測 127
習題 127
第7章 入侵檢測系統的標準與評估 128
7.1 入侵檢測的標準化工作 128
7.1.1 CIDF 128
7.1.2 IDMEF 133
7.1.3 標準化工作總結 141
7.2 入侵檢測系統的性能指標 141
7.2.1 評價入侵檢測系統性能的標準 141
7.2.2 影響入侵檢測系統性能的參數 141
7.2.3 評價檢測算法性能的測度 143
7.3 網路入侵檢測系統測試評估 145
7.4 測試評估內容 146
7.4.1 功能性測試 146
7.4.2 性能測試 147
7.4.3 產品可用性測試 148
7.5 測試環境和測試軟體 148
7.5.1 測試環境 148
7.5.2 測試軟體 149
7.6 用戶評估標準 150
7.7 入侵檢測評估方案 152
7.7.1 離線評估方案 152
7.7.2 實時評估方案 156
習題 157
第8章 Snort分析 159
8.1 Snort的安裝與配置 159
8.1.1 Snort簡介 159
8.1.2 底層庫的安裝與配置 164
8.1.3 Snort的安裝 165
8.1.4 Snort的配置 166
8.1.5 其他套用支撐的安裝與配置 168
8.2 Snort總體結構分析 168
8.2.1 Snort的模組結構 168
8.2.2 外掛程式機制 169
8.2.3 Libpcap套用的流程 171
8.2.4 Snort的總體流程 171
8.2.5 入侵檢測流程 172
8.3 Snort的使用 174
8.3.1 Libpcap的命令行 174
8.3.2 Snort的命令行 175
8.3.3 高性能的配置方式 176
8.4 Snort的規則 176
8.4.1 規則的結構 177
8.4.2 規則的語法 180
8.4.3 預處理程式 181
8.4.4 輸出外掛程式 183
8.4.5 常用攻擊手段對應規則舉例 185
8.4.6 規則的設計 186
8.5 使用Snort構建入侵檢測系統實例 189
習題 194
第9章 入侵檢測的發展趨勢 195
9.1 入侵檢測技術現狀分析 195
9.2 目前的技術分析 196
9.3 入侵檢測的先進技術 197
9.4 入侵檢測的前景 206
9.4.1 入侵檢測的能力 206
9.4.2 高度的分散式結構 207
9.4.3 廣泛的信息源 207
9.4.4 硬體防護 208
9.4.5 高效的安全服務 208
9.4.6 IPv6對入侵檢測的影響 208
習題 209

適用範圍

本書語言通俗,層次分明,理論與實例結合,可以作為高等學校計算機相關專業或信息安全專業本科生高年級的選修課教材,對從事信息和網路安全方面的管理人員和技術人員也有參考價值。

相關條目


相關詞條

相關搜尋

熱門詞條

聯絡我們