入侵檢測技術(shù)導論

出版說明
前言
第1章  概述
  1.1  主要入侵攻擊手段簡介
  1.1.1  黑客入侵的步驟
  1.1.2  黑客攻擊的原理和方法
  1.2  入侵檢測與P2DR安全模型
  1.3  入侵檢測技術(shù)分類
  1.3.1  主機、網(wǎng)絡和分布式入侵檢測
  1.3.2  濫用和異常入侵檢測
  1.4  入侵檢測系統(tǒng)的CIDF模型
  1.4.1  CIDF的體系結(jié)構(gòu)
  1.4.2  CIDF的通信機制
  1.4.3  CIDF語言
  1.4.4  CIDF的API接口
  1.5  入侵檢測系統(tǒng)的管理、評測問題
  1.6  相關(guān)的法律問題
第2章  UNIX/Linux系統(tǒng)介紹
  2.1  UNIX系統(tǒng)簡介
  2.2  日益流行的Unix操作系統(tǒng)
  2.3  Linux文件系統(tǒng)
  2.3.1  Linux文件結(jié)構(gòu)
  2.3.2  Linux文件系統(tǒng)管理
第3章  審計機制及文件格式
  3.1  UNIX操作系統(tǒng)
  3.1.1  UNIX操作系統(tǒng)的日志分類
  3.1.2  連接時間日志生成機制及文件格式
  3.1.3  進程日志生成機制及文件格式
  3.1.4  syslog日志工具機制及文件格式
  3.2  Windows 2000操作系統(tǒng)
  3.2.1  Windows 2000操作系統(tǒng)日志分類
  3.2.2  事件日志文件格式
第4章  RPC(遠程過程調(diào)用)
  4.1  RPC的產(chǎn)生及特點
  4.1.1  RPC概述
  4.1.2  RPC的原理和實現(xiàn)機制
  4.2  RPC的數(shù)據(jù)表示格式
  4.2.1  XDR的工作原理
  4.2.2  XDR流
  4.2.3  XDR過濾器
  4.3  RPC協(xié)議
  4.3.1  RPC信息協(xié)議
  4.3.2  RPC鑒別協(xié)議
  4.3.3  端口映射器程序協(xié)議
  4.4  RPC的程序設計
  4.5  RPC語言編譯器(rpcgen)
第5章  IDES/NIDES系統(tǒng)實例
  5.1  引言
  5.2  IDES設計模型
  5.3  審計數(shù)據(jù)
  5.4  鄰域接口
  5.4.1  IDES審計記錄生成器(Agen)
  5.4.2  審計記錄池(arpool)
  5.4.3  IDES審計記錄的格式設計
  5.4.4  與IDES處理單元的連接
  5.5  統(tǒng)計異常檢測器
  5.5.1  入侵檢測測量值
  5.5.2  統(tǒng)計分析算法
  5.6  IDES專家系統(tǒng)
  5.6.1  PBEST概述
  5.6.2  PBEST的基本語法
  5.6.3  進一步的語法介紹
  5.7  IDES用戶接口
  5.8  進一步的發(fā)展：NIDES系統(tǒng)
  5.8.1  系統(tǒng)結(jié)構(gòu)概述
  5.8.2  系統(tǒng)設計描述
第6章  STAT——基于狀態(tài)轉(zhuǎn)移分析的系統(tǒng)
  6.1  系統(tǒng)簡介
  6.2  總體架構(gòu)設計
  6.2.1  預處理器
  6.2.2  知識庫
  6.2.3  推理引擎
  6.2.4  決策引擎
  6.3  審計記錄預處理器
  6.3.1  BSM審計記錄格式
  6.3.2  STAT審計記錄格式
  6.3.3  對BSM審計記錄的過濾操作
  6.3.4  預處理器模塊的算法流程
  6.4  系統(tǒng)知識庫
  6.4.1  事實庫(Fact-Base)
  6.4.2  規(guī)則庫(Rule-Base)
  6.5  推理引擎
  6.6  決策引擎
第7章網(wǎng)絡協(xié)議族介紹
  7.1  分層協(xié)議模型
  7.1.1  通信協(xié)議
  7.1.2  計算機網(wǎng)絡協(xié)議的分層模型
  7.1.3  協(xié)議的分層原理
  7.1.4  分層協(xié)議開放系統(tǒng)的通信機制
  7.2  開放系統(tǒng)互連參考模型OSI/ISO
  7.3  TCP/IP參考模型
  7.4  TCP/IP協(xié)議
  7.4.1  網(wǎng)絡接口層協(xié)議
  7.4.2  ARP協(xié)議和RARP協(xié)議
  7.4.3  IP協(xié)議
  7.4.4  ICMP協(xié)議
  7.4.5  TCP協(xié)議
  7.4.6  UDP協(xié)議
第8章  數(shù)據(jù)流捕獲技術(shù)
  8.1  基本的網(wǎng)絡數(shù)據(jù)截獲機制
  8.1.1  利用以太網(wǎng)絡的廣播特性進行截獲
  8.1.2  基于路由器的網(wǎng)絡數(shù)據(jù)截獲技術(shù)
  8.2  BPF過濾機制分析
  8.2.1  BPF模型概述
  8.2.2  BPF過濾虛擬機設計
  8.3  基于Libpcap庫的通用數(shù)據(jù)捕獲技術(shù)
  8.3.1  Libpcap庫函數(shù)介紹
  8.3.2  Windows平臺下的Winpcap庫
第9章  檢測引擎設計
  9.1  NFR的N-code語言
  9.2  Bro事件檢測引擎
  9.3  協(xié)議分析加命令解析的檢測引擎設計
第10章  Snort系統(tǒng)分析
  10.1  系統(tǒng)架構(gòu)分析
  10.2  重要的全局數(shù)據(jù)結(jié)構(gòu)
  10.2.1  Packet數(shù)據(jù)結(jié)構(gòu)
  10.2.2  PV數(shù)據(jù)結(jié)構(gòu)
  10.3  協(xié)議解析器組件
  10.4  規(guī)則檢測組件
  10.4.1  構(gòu)造規(guī)則鏈表Parse RulesFile()和ParseRule()
  10.4.2  構(gòu)建快速規(guī)則匹配引擎fpCreateFastPacketDetection()
  10.4.3  快速檢測接口函數(shù)fpEvalPacket()
  10.5  預處理器
  10.5.1  預處理模塊的基本架構(gòu)
  10.5.2  Spp_bo模塊
  10.5.3  Spp_arpspoof模塊
  10.5.4  Spp_Http Decode模塊
  10.5.5  Spp_frag2模塊
  10.5.6  Spp_stream4模塊
  10.6  輸出插件
  10.6.1  概述
  10.6.2  輸出插件的初始化
  10.6.3  輸出插件的調(diào)用
第11章  AAFID分布式系統(tǒng)
  11.1  AAFID系統(tǒng)簡介
  11.1.1  基本情況
  11.1.2  系統(tǒng)結(jié)構(gòu)
  11.2  AAFID的代理與過濾器
  11.2.1  AAFID代理簡介
  11.2.2  代理的編寫
  11.2.3  簡單代理編寫實例
  11.2.4  AAFID的過濾器
  11.3  AAFID總體結(jié)構(gòu)分析
  11.3.1  AAFID的總體結(jié)構(gòu)
  11.3.2  AAFID的總體流程
  11.4  關(guān)鍵模塊剖析
  11.4.1  基礎(chǔ)功能模塊
  11.4.2  其他模塊
第12章  入侵檢測的不對稱模型
  12.1  基本模型與不對稱指數(shù)
  12.2  入侵檢測的不對稱性
  12.3  不對稱模型與信息論
第13章  基于神經(jīng)網(wǎng)絡的入侵檢測技術(shù)
  13.1  概述
  13.2  基本檢測算法描述
  13.3  關(guān)鍵詞表的選擇
  13.4  量化參數(shù)對檢測性能的影響
  13.5  BP網(wǎng)絡與徑向基函數(shù)(RBF)網(wǎng)絡
  13.6  檢測性能與不對稱指數(shù)
第14章  智能化入侵檢測系統(tǒng)的設計
  14.1  系統(tǒng)總體模塊結(jié)構(gòu)
  14.2  數(shù)據(jù)包截獲和規(guī)則檢測模塊
  14.3  特征矢量生成器與網(wǎng)絡會話模塊
  14.4  ANN檢測引擎設計
附錄  入侵檢測技術(shù)FAQ