入侵检测技术PDF|Epub|txt|kindle电子书版本网盘下载

入侵检测技术PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 入侵检测概述1

1.1 网络安全基本概念1

1.1.1 网络安全的实质1

1.1.2 网络系统的安全对策与入侵检测2

1.1.3 网络安全的p2 DR模型与入侵检测2

1.2 入侵检测的产生与发展4

1.2.1 早期研究4

1.2.2 主机入侵检测系统研究5

1.2.3 网络入侵检测系统研究6

1.2.4 主机和网络入侵检测系统的集成7

1.3 入侵检测的基本概念8

1.3.1 入侵检测的概念9

1.3.2 入侵检测的作用9

1.3.3 研究入侵检测的必要性10

1.4 入侵检测面临的问题11

1.5 入侵检测技术的发展趋势12

习题14

第2章 入侵方法与手段15

2.1 网络入侵15

2.1.1 什么是网络入侵15

2.1.2 网络入侵的一般流程15

2.1.3 典型网络入侵方法分析16

2.2 漏洞扫描21

2.2.1 扫描器简介21

2.2.2 秘密扫描22

2.2.3 OS Fingerprint技术23

2.3 拒绝服务攻击24

2.3.1 拒绝服务攻击的原理24

2.3.2 典型拒绝服务攻击的手段25

2.4 分布式拒绝服务攻击26

2.5 缓冲区溢出攻击28

2.5.1 堆栈的基本原理28

2.5.2 一个简单的例子29

2.6 格式化字符串攻击31

2.7 跨站脚本攻击32

2.8 SQL Injection攻击33

习题35

第3章 入侵检测系统36

3.1 入侵检测系统的基本模型36

3.1.1 通用入侵检测模型（Denning模型）36

3.1.2 层次化入侵检测模型（IDM）38

3.1.3 管理式入侵检测模型（SNMP-IDSM）40

3.2 入侵检测系统的工作模式41

3.3 入侵检测系统的分类41

3.3.1 按数据源分类42

3.3.2 按分析方法分类42

3.3.3 按检测方式分类43

3.3.4 按检测结果分类43

3.3.5 按响应方式分类43

3.3.6 按各模块运行的分布方式分类44

3.4 入侵检测系统的构架44

3.4.1 管理者44

3.4.2 代理45

3.5 入侵检测系统的部署45

3.5.1 网络中没有部署防火墙时45

3.5.2 网络中部署防火墙时46

习题47

第4章 入侵检测流程48

4.1 入侵检测的过程48

4.1.1 信息收集48

4.1.2 信息分析48

4.1.3 告警与响应49

4.2 入侵检测系统的数据源49

4.2.1 基于主机的数据源49

4.2.2 基于网络的数据源51

4.2.3 应用程序日志文件52

4.2.4 其他入侵检测系统的报警信息53

4.2.5 其他网络设备和安全产品的信息53

4.3 入侵分析的概念53

4.3.1 入侵分析的定义54

4.3.2 入侵分析的目的54

4.3.3 入侵分析应考虑的因素54

4.4 入侵分析的模型55

4.4.1 构建分析器55

4.4.2 分析数据56

4.4.3 反馈和更新57

4.5 入侵检测的分析方法58

4.5.1 误用检测58

4.5.2 异常检测61

4.5.3 其他检测方法67

4.6 告警与响应71

4.6.1 对响应的需求71

4.6.2 响应的类型73

4.6.3 按策略配置响应76

4.6.4 联动响应机制77

习题78

第5章 基于主机的入侵检测技术79

5.1 审计数据的获取79

5.1.1 系统日志与审计信息80

5.1.2 数据获取系统结构设计81

5.2 审计数据的预处理82

5.3 基于统计模型的入侵检测技术85

5.4 基于专家系统的入侵检测技术87

5.5 基于状态转移分析的入侵检测技术90

5.6 基于完整性检查的入侵检测技术91

5.7 基于智能体的入侵检测技术93

5.8 系统配置分析技术95

5.9 检测实例分析96

习题100

第6章 基于网络的入侵检测技术101

6.1 分层协议模型与TCP／IP协议簇101

6.1.1 TCP／IP协议模型101

6.1.2 TCP／IP报文格式102

6.2 网络数据包的捕获105

6.2.1 局域网和网络设备的工作原理106

6.2.2 Sniffer介绍107

6.2.3 共享和交换网络环境下的数据捕获108

6.3 包捕获机制与BPF模型109

6.3.1 包捕获机制109

6.3.2 BPF模型110

6.4 基于Libpcap库的数据捕获技术111

6.4.1 Libpcap介绍111

6.4.2 Windows平台下的Winpcap库114

6.5 检测引擎的设计118

6.5.1 模式匹配技术119

6.5.2 协议分析技术119

6.6 网络入侵特征实例分析120

6.6.1 特征（Signature）的基本概念120

6.6.2 典型特征——报头值121

6.6.3 候选特征121

6.6.4 最佳特征122

6.6.5 通用特征122

6.6.6 报头值关键元素123

6.7 检测实例分析123

6.7.1 数据包捕获124

6.7.2 端口扫描的检测124

6.7.3 拒绝服务攻击的检测125

习题125

第7章 基于存储的入侵检测技术126

7.1 主动存储设备126

7.2 块存储设备的数据存取过程128

7.3 存储级入侵检测研究现状131

7.4 存储级入侵检测框架132

7.4.1 数据采集133

7.4.2 数据特征分析134

7.4.3 数据预处理和规约135

7.5 基于数据挖掘的攻击模式自动生成136

7.5.1 基于判定树分类的攻击模式自动生成136

7.5.2 判定树分类生成算法139

7.6 存储级异常检测方法141

7.6.1 D-S证据理论142

7.6.2 基于D-S证据理论的异常检测特征融合算法144

7.7 IDS间基于协作的联合防御146

7.7.1 预定义146

7.7.2 相关工作介绍146

7.7.3 典型协作模式分析148

7.7.4 协作方式150

习题151

第8章 基于Hadoop海量日志的入侵检测技术153

8.1 Hadoop相关技术154

8.1.1 Hadoop简介154

8.1.2 HDFS文件系统154

8.1.3 MapReduce并行计算框架154

8.1.4 Mahout简介155

8.1.5 Hive简介156

8.2 Web日志156

8.3 基于Hadoop海量日志的入侵检测算法156

8.3.1 K-Means算法基本原理157

8.3.2 改进的并行化K-Means算法CPK-Means158

8.3.3 FP-Growth算法基本原理160

8.3.4 改进的并行化FP-Growth算法LBPEP161

8.4 基于Hadoop海量日志的入侵检测系统的实现167

8.4.1 系统实现框架167

8.4.2 数据收集168

8.4.3 数据预处理169

8.4.4 Hadoop平台下入侵规则的挖掘171

习题177

第9章 入侵检测系统的标准与评估178

9.1 入侵检测的标准化工作178

9.1.1 CIDF178

9.1.2 IDMEF182

9.1.3 标准化工作总结190

9.2 入侵检测系统的性能指标191

9.2.1 评价入侵检测系统性能的标准191

9.2.2 影响入侵检测系统性能的参数191

9.2.3 评价检测算法性能的测度193

9.3 网络入侵检测系统测试评估194

9.4 测试评估内容196

9.4.1 功能性测试196

9.4.2 性能测试197

9.4.3 产品可用性测试197

9.5 测试环境和测试软件197

9.5.1 测试环境197

9.5.2 测试软件198

9.6 用户评估标准199

9.7 入侵检测评估方案202

9.7.1 离线评估方案202

9.7.2 实时评估方案205

习题207

附录 Snort的安装与使用209

附1 Snort简介209

附2 使用Snort构建入侵检测系统实例217

参考文献224