網(wǎng)絡(luò)入侵檢測原理與技術(shù)

第一章 導(dǎo)論（1）
1.1 信息安全概念體系（1）
1.1.1 信息安全的基本范疇（1）
1.1.2 信息安全、信息保障與信息對(duì)抗的關(guān)系（1）
1.1.3 信息安全的基本類型（2）
1.1.4 信息安全的工程概念（3）
1.2 信息安全保障體系（3）
1.2.1 信息安全保障體系的時(shí)間-空間-功能特性（3）
1.2.2 信息安全保障模型（5）
1.2.3 信息安全保障體系結(jié)構(gòu)（6）
1.3 網(wǎng)絡(luò)入侵檢測技術(shù)（7）
1.3.1 網(wǎng)絡(luò)入侵檢測系統(tǒng)分類（8）
1.3.2 異常檢測常用技術(shù)（10）
1.3.3 濫用檢測技術(shù)（13）
1.4 網(wǎng)絡(luò)入侵檢測的誤警分析（18）
1.4.1 網(wǎng)絡(luò)入侵檢測方法分類（19）
1.4.2 網(wǎng)絡(luò)入侵檢測環(huán)境分析（20）
1.4.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)生誤警的原因（20）
1.4.4 知識(shí)工程是解決網(wǎng)絡(luò)入侵檢測警問題的技術(shù)途徑（21）
1.5 本書的主要工作與特色（22）
參考文獻(xiàn)（22）
第二章 基于關(guān)鍵主機(jī)的異常檢測技術(shù)（23）
2.1 基于關(guān)鍵主機(jī)的異常檢測系統(tǒng)體系結(jié)構(gòu)（23）
2.1.1 基于關(guān)鍵主機(jī)的異常檢測系統(tǒng)設(shè)計(jì)需求（23）
2.1.2 基于關(guān)鍵主機(jī)的異常檢測系統(tǒng)總體結(jié)構(gòu)（24）
2.2 基于系統(tǒng)調(diào)用序列的異常檢測方法（26）
2.2.1 基于相對(duì)差異度和差異密度的異常檢測方法（CDAN）（27）
2.2.2 基于改進(jìn)支持向量分類方法的異常檢測（IRSVC）（30）
2.3 基于網(wǎng)絡(luò)輸入流的異常檢測方法（36）
2.3.1 當(dāng)前常用的網(wǎng)絡(luò)流異常檢測方法（36）
2.3.2 基于分形的網(wǎng)絡(luò)輸入流異常檢測方法（37）
2.4 基于粗糙集的告警信息融合方法（41）
2.4.1 基于粗糙集的告警信息融合系統(tǒng)結(jié)構(gòu)（41）
2.4.2 告警信息在時(shí)間方向上的融合（42）
2.4.3 基于粗糙集的告警信息空間方向上的融合（45）
參考文獻(xiàn)（51）
第三章 濫用檢測的不確定性知識(shí)表達(dá)與推理技術(shù)（53）
3.1 基于模糊不確定性推理的入侵檢測方法（53）
3.1.1 模糊檢測對(duì)攻擊變體的檢測能力分析（53）
3.1.2 模糊入侵檢測（56）
3.2 模糊攻擊知識(shí)庫的建立（60）
3.2.1 基于網(wǎng)絡(luò)數(shù)據(jù)包的攻擊特征選取（60）
3.2.2 攻擊知識(shí)獲?。?1）
3.2.3 模糊集合隸屬函數(shù)的建立（62）
3.3 基于模糊Petri網(wǎng)的攻擊知識(shí)表示與推理（63）
3.3.1 基于Petri網(wǎng)的知識(shí)表示的優(yōu)點(diǎn)（64）
3.3.2 Petri網(wǎng)原理（64）
3.3.3 基于模糊Petri網(wǎng)的攻擊知識(shí)表示與推理方法（65）
3.4 基于Petri網(wǎng)的攻擊知識(shí)庫校驗(yàn)（71）
3.4.1 知識(shí)庫校驗(yàn)的目標(biāo)（71）
3.4.2 基于Petri網(wǎng)的攻擊知識(shí)校驗(yàn)方法（73）
3.5 基于模糊神經(jīng)網(wǎng)絡(luò)的知識(shí)更新與規(guī)則提取（76）
3.5.1 攻擊規(guī)則學(xué)習(xí)方法（76）
3.5.2 入侵檢測的模糊神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)（77）
3.5.3 模糊神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)算法（79）
參考文獻(xiàn)（82）
第四章 基于本體的網(wǎng)絡(luò)協(xié)同攻擊檢測技術(shù)（83）
4.1 網(wǎng)絡(luò)安全本體（83）
4.1.1 本體技術(shù)概述（83）
4.1.2 網(wǎng)絡(luò)安全本體概念類及其層次結(jié)構(gòu)（85）
4.1.3 網(wǎng)絡(luò)安全體的形式化邏輯（87）
4.1.4 網(wǎng)絡(luò)安全本體模型內(nèi)的概念映射算法（90）
4.2 協(xié)同攻擊檢測的檢測方法（92）
4.2.1 協(xié)同攻擊的時(shí)序檢測方法（93）
4.2.2 協(xié)同攻擊的功能檢測方法（96）
4.3 基于本體的協(xié)同攻擊檢測系統(tǒng)（99）
4.3.1 基本框架結(jié)構(gòu)（99）
4.3.2 系統(tǒng)各模塊之間的關(guān)系（99）
4.3.3 本體背景下DIDS的結(jié)構(gòu)和運(yùn)行機(jī)制（100）
4.3.4 入侵檢測本體在Agent檢測領(lǐng)域知識(shí)的組織機(jī)的機(jī)制（106）
4.4 入侵檢測本體對(duì)遺留或異構(gòu)Agent的重構(gòu)框架（110）
參考文獻(xiàn)（113）
第五章 基于主動(dòng)知識(shí)庫系統(tǒng)的濫用檢測系統(tǒng)（115）
5.1 主動(dòng)知識(shí)庫系統(tǒng)（115）
5.1.1 主動(dòng)知識(shí)庫系統(tǒng)結(jié)構(gòu)（115）
5.1.2 主動(dòng)知識(shí)庫實(shí)現(xiàn)途徑（117）
5.1.3 主動(dòng)專家系統(tǒng)（117）
5.2 基于主動(dòng)專家系統(tǒng)的濫用檢測系統(tǒng)（118）
5.2.1 系統(tǒng)結(jié)構(gòu)（118）
5.2.2 系統(tǒng)所應(yīng)實(shí)現(xiàn)的主動(dòng)功能（120）
5.2.3 分析層工作流程（121）
5.2.4 主動(dòng)功能的ECA規(guī)則實(shí)現(xiàn)（122）
5.3 檢測知識(shí)的ECA規(guī)則表示（127）
5.3.1 入侵行為描述（127）
5.3.2 入侵事件分類（128）
5.3.3 入侵事件關(guān)系（131）
5.3.4 入侵事件模型（132）
5.3.5 入侵知識(shí)表示（139）
5.4 基于ECA規(guī)則的入侵檢測系統(tǒng)（140）
5.4.1 系統(tǒng)體系結(jié)構(gòu)（140）
5.4.2 入侵事件獲?。?41）
5.4.3 入侵事件管理（144）
5.4.4 事件分析（146）
5.4.5 與其他檢測方法比較（147）
參考文獻(xiàn)（149）
第六章 網(wǎng)絡(luò)入侵檢測機(jī)器學(xué)習(xí)方法（151）
6.1 網(wǎng)絡(luò)濫用檢測規(guī)則學(xué)習(xí)系統(tǒng)（151）
6.1.1 濫用檢測規(guī)則學(xué)習(xí)過程（151）
6.1.2 濫用檢測規(guī)則學(xué)習(xí)的作用與功能（152）
6.1.3 濫有檢測規(guī)則學(xué)習(xí)系統(tǒng)的總體結(jié)構(gòu)（153）
6.2 基于歸納的數(shù)據(jù)挖掘方法（153）
6.2.1 基于粗集理論的知識(shí)處理方法（154）
6.2.2 知識(shí)過濾器原理（154）
6.2.3 知識(shí)重構(gòu)機(jī)制的原理（156）
6.3 基于粗集遺傳算法的分類挖掘算法（157）
6.3.1 粗集理論與遺傳算法的基本思想（158）
6.3.2 基于RSGA的分類挖掘算法（161）
6.3.3 RSGA算法的描述（167）
6.4 RSGA算法在網(wǎng)絡(luò)入侵檢測中的應(yīng)用（168）
6.4.1 應(yīng)用背景（168）
6.4.2 利用RSGA算法挖掘?yàn)E用檢測規(guī)則（169）
6.4.3 RSGA算法的應(yīng)用示例（173）
6.4.4 試驗(yàn)結(jié)果及評(píng)價(jià)（178）
參考文獻(xiàn)（179）
第七章 分布式入侵檢測與信息融合（181）
7.1 基于信息融合的分布式IDS體系結(jié)構(gòu)（181）
7.2 分布式IDS的Agent分類（183）
7.2.1 基于信息融合分布式IDS體系的Agent實(shí)現(xiàn)機(jī)制（183）
7.2.2 監(jiān)測層次SA（185）
7.2.3 預(yù)警層次WA（186）
7.2.4 識(shí)別層次IA（187）
7.2.5 決策層次DA（187）
7.2.6 響應(yīng)層次RA（187）
7.2.7 公共服務(wù)PSA（188）
7.3 從不確定性與智能的角度看分布式IDS信息融合（188）
7.3.1 環(huán)境與處理方式的特殊性（188）
7.3.2 信息的不確定性及其冗余與互補(bǔ)（188）
7.3.3 不確定性信息的智能融合（189）
7.3.4 信息融合的層次（189）
7.4 分布式IDS信息融合的形式化（189）
7.4.1 信息融合的形式系統(tǒng)觀（189）
7.4.2 信息融合系統(tǒng)的形式化邏輯（189）
7.5 融合信息源選擇及不確定性知識(shí)獲?。?90）
7.5.1 選擇方法及其優(yōu)劣比較（190）
7.5.2 信息源選擇及權(quán)值獲取的粗集理論法（191）
7.6 分布式IDS多源融合方法（193）
7.6.1 加權(quán)模糊推理方法（193）
7.6.2 證據(jù)組合推理方法（197）
7.7 分布式IDS決策融合方法（201）
7.7.1 博弈論與模糊矩陣博弈（202）
7.7.2 基于FMG模型的威脅評(píng)估與全局決策（203）
7.7.3 應(yīng)用示例（203）
參考文獻(xiàn)（204）
第八章 網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展與趨勢（206）
8.1 網(wǎng)絡(luò)安全系統(tǒng)工程（206）
8.2 網(wǎng)絡(luò)入侵檢測的體系對(duì)抗概念（208）
8.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)組成（208）
8.4 基于指揮控制的網(wǎng)絡(luò)入侵檢測系統(tǒng)體系結(jié)構(gòu)（210）
8.4.1 強(qiáng)化防護(hù)層（210）
8.4.2 監(jiān)測層（211）
8.4.3 功能層（211）
8.5 基于信息保障的網(wǎng)絡(luò)入侵檢測系統(tǒng)自防護(hù)技術(shù)（211）
8.5.1 網(wǎng)絡(luò)入侵檢測系統(tǒng)的六類脆弱點(diǎn)（212）
8.5.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)面臨的四類威脅（213）
8.5.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)的自防護(hù)原則與技術(shù)途徑（213）
參考文獻(xiàn)（215）