內容簡介
本書全麵、係統地介紹瞭入侵檢測的基本概念、基本原理和檢測流程,較為詳盡地講述瞭基於主機的入侵檢測技術、基於網絡的入侵檢測技術、基於存儲的入侵檢測技術和基於Hadoop海量日誌的入侵檢測技術,在此基礎上介紹瞭入侵檢測係統的標準與評估,並以開源軟件Snort為例對入侵檢測的應用進行瞭分析。
本書語言通俗,層次分明,理論與實例結閤,可以作為高等學校計算機相關專業或信息安全專業本科生高年級的選修課教材,對從事信息和網絡安全方麵的管理人員和技術人員也有參考價值。
作者簡介
薛靜鋒,北京理工大學教授,主要研究方嚮為軟件安全技術和網絡路由技術。近年來發錶論文30餘篇,其中SCI、EI檢索10餘篇;申請專利5項;主持或參與瞭國傢863計劃、國防科工局、公安部、北京市等多項科研項目;主持企業橫嚮閤作課題8項;編寫和翻譯著作8部。承擔瞭包括863、國傢自然科學基金、北京市自然科學基金、國防基礎研究課題、公安部重點實驗室課題、教育部留學迴國人員科研啓動基金課題等十餘項。發錶論文20餘篇,其中SCI或EI收錄的17篇,申請發明專利1項,編寫翻譯教材3部。
目錄
第1章 入侵檢測概述 1
1.1 網絡安全基本概念 1
1.1.1 網絡安全的實質 1
1.1.2 網絡係統的安全對策與入侵檢測 2
1.1.3 網絡安全的P2DR模型與入侵檢測 3
1.2 入侵檢測的産生與發展 4
1.2.1 早期研究 4
1.2.2 主機IDS研究 5
1.2.3 網絡IDS研究 6
1.2.4 主機和網絡IDS的集成 7
1.3 入侵檢測的基本概念 8
1.3.1 入侵檢測的概念 9
1.3.2 入侵檢測的作用 9
1.3.3 研究入侵檢測的必要性 10
1.4 入侵檢測麵臨的問題 11
1.5 入侵檢測技術的發展趨勢 12
習 題 13
第2章 入侵方法與手段 14
2.1 網絡入侵 14
2.1.1 什麼是網絡入侵 14
2.1.2 網絡入侵的一般流程 14
2.1.3 典型網絡入侵方法分析 16
2.2 漏洞掃描 20
2.2.1 掃描器簡介 20
2.2.2 秘密掃描 21
2.2.3 OS Fingerprint技術 22
2.3 拒絕服務攻擊 23
2.3.1 拒絕服務攻擊的原理 24
2.3.2 典型拒絕服務攻擊的手段 24
2.4 分布式拒絕服務攻擊 25
2.5 緩衝區溢齣攻擊 27
2.5.1 堆棧的基本原理 27
2.5.2 一個簡單的例子 28
2.6 格式化字符串攻擊 31
2.7 跨站腳本攻擊 31
2.8 SQL Injection攻擊 32
習 題 34
第3章 入侵檢測係統 35
3.1 入侵檢測係統的基本模型 35
3.1.1 通用入侵檢測模型(Denning模型) 35
3.1.2 層次化入侵檢測模型(IDM) 37
3.1.3 管理式入侵檢測模型(SNMP-IDSM) 39
3.2 入侵檢測係統的工作模式 40
3.3 入侵檢測係統的分類 41
3.3.1 按數據源分類 41
3.3.2 按分析方法分類 42
3.3.3 按檢測方式分類 42
3.3.4 按檢測結果分類 42
3.3.5 按響應方式分類 43
3.3.6 按各模塊運行的分布方式分類 43
3.4 入侵檢測係統的構架 43
3.4.1 管理者 44
3.4.2 代理 44
3.5 入侵檢測係統的部署 45
3.5.1 網絡中沒有部署防火牆時 45
3.5.2 網絡中部署防火牆時 45
習 題 46
第4章 入侵檢測流程 48
4.1 入侵檢測的過程 48
4.1.1 信息收集 48
4.1.2 信息分析 48
4.1.3 告警與響應 49
4.2 入侵檢測係統的數據源 49
4.2.1 基於主機的數據源 49
4.2.2 基於網絡的數據源 51
4.2.3 應用程序日誌文件 52
4.2.4 其他入侵檢測係統的報警信息 53
4.2.5 其他網絡設備和安全産品的信息 53
4.3 入侵分析的概念 53
4.3.1 入侵分析的定義 54
4.3.2 入侵分析的目的 54
4.3.3 入侵分析應考慮的因素 54
4.4 入侵分析的模型 55
4.4.1 構建分析器 55
4.4.2 分析數據 56
4.4.3 反饋和更新 57
4.5 入侵檢測的分析方法 58
4.5.1 誤用檢測 58
4.5.2 異常檢測 61
4.5.3 其他檢測方法 68
4.6 告警與響應 71
4.6.1 對響應的需求 71
4.6.2 響應的類型 73
4.6.3 按策略配置響應 76
4.6.4 聯動響應機製 77
習 題 78
第5章 基於主機的入侵檢測技術 79
5.1 審計數據的獲取 79
5.1.1 係統日誌與審計信息 80
5.1.2 數據獲取係統結構設計 81
5.2 審計數據的預處理 82
5.3 基於統計模型的入侵檢測技術 86
5.4 基於專傢係統的入侵檢測技術 87
5.5 基於狀態轉移分析的入侵檢測技術 91
5.6 基於完整性檢查的入侵檢測技術 91
5.7 基於智能體的入侵檢測技術 93
5.8 係統配置分析技術 96
5.9 檢測實例分析 96
習 題 100
第6章 基於網絡的入侵檢測技術 101
6.1 分層協議模型與TCP/IP協議簇 101
6.1.1 TCP/IP協議模型 101
6.1.2 TCP/IP報文格式 102
6.2 網絡數據包的捕獲 106
6.2.1 局域網和網絡設備的工作原理 106
6.2.2 Sniffer介紹 107
6.2.3 共享和交換網絡環境下的數據捕獲 108
6.3 包捕獲機製與BPF模型 109
6.3.1 包捕獲機製 109
6.3.2 BPF模型 110
6.4 基於Libpcap庫的數據捕獲技術 111
6.4.1 Libpcap介紹 111
6.4.2 Windows平颱下的Winpcap庫 114
6.5 檢測引擎的設計 118
6.5.1 模式匹配技術 119
6.5.2 協議分析技術 119
6.6 網絡入侵特徵實例分析 120
6.6.1 特徵(Signature)的基本概念 120
6.6.2 典型特徵——報頭值 121
6.6.3 候選特徵 121
6.6.4 最佳特徵 122
6.6.5 通用特徵 122
6.6.6 報頭值關鍵元素 123
6.7 檢測實例分析 123
6.7.1 數據包捕獲 124
6.7.2 端口掃描的檢測 124
6.7.3 拒絕服務攻擊的檢測 125
習 題 125
第7章 基於存儲的入侵檢測技術 126
7.1 主動存儲設備 126
7.2 塊存儲設備的數據存取過程 128
7.3 存儲級入侵檢測研究現狀 131
7.4 存儲級入侵檢測框架 132
7.4.1 數據采集 133
7.4.2 數據特徵分析 135
7.4.3 數據預處理和規約 135
7.5 基於數據挖掘的攻擊模式自動生成 136
7.5.1 基於判定樹分類的攻擊模式自動生成 137
7.5.2 判定樹分類生成算法 140
7.6 存儲級異常檢測方法 143
7.6.1 D-S證據理論 143
7.6.2 基於D-S證據理論的異常檢測特徵融閤算法 145
7.7 IDS間基於協作的聯閤防禦 149
7.7.1 預定義 149
7.7.2 相關工作介紹 149
7.7.3 典型協作模式分析 150
7.7.4 協作方式 153
習 題 154
第8章 基於Hadoop海量日誌的入侵檢測技術 156
8.1 Hadoop相關技術 157
8.1.1 Hadoop簡介 157
8.1.2 HDFS文件係統 157
8.1.3 MapReduce並行計算框架 157
8.1.4 Mahout簡介 158
8.1.5 Hive簡介 159
8.2 Web日誌 159
8.3 基於Hadoop海量日誌的入侵檢測算法 159
8.3.1 K-Means算法基本原理 160
8.3.2 改進的並行化K-Means算法CPK-Means 162
8.3.3 FP-Growth算法基本原理 164
8.3.4 改進的並行化FP-Growth算法LBPEP 165
8.4 基於Hadoop海量日誌的入侵檢測係統的實現 173
8.4.1 係統實現框架 174
8.4.2 數據收集 174
8.4.3 數據預處理 175
8.4.4 Hadoop平颱下入侵規則的挖掘 178
習 題 186
第9章 入侵檢測係統的標準與評估 187
9.1 入侵檢測的標準化工作 187
9.1.1 CIDF 187
9.1.2 IDMEF 192
9.1.3 標準化工作總結 200
9.2 入侵檢測係統的性能指標 200
9.2.1 評價入侵檢測係統性能的標準 200
9.2.2 影響入侵檢測係統性能的參數 200
9.2.3 評價檢測算法性能的測度 202
9.3 網絡入侵檢測係統測試評估 204
9.4 測試評估內容 205
9.4.1 功能性測試 205
9.4.2 性能測試 206
9.4.3 産品可用性測試 206
9.5 測試環境和測試軟件 207
9.5.1 測試環境 207
9.5.2 測試軟件 208
9.6 用戶評估標準 209
9.7 入侵檢測評估方案 211
9.7.1 離綫評估方案 211
9.7.2 實時評估方案 215
習 題 216
附錄 Snort的安裝與使用 218
附1 Snort簡介 218
附2 使用Snort構建入侵檢測係統實例 226
參考文獻
前言/序言
入侵檢測技術(第2版) epub pdf mobi txt 電子書 下載 2024
入侵檢測技術(第2版) 下載 epub mobi pdf txt 電子書