入侵检测技术导论

出版说明
前言
第1章  概述
  1.1  主要入侵攻击手段简介
  1.1.1  黑客入侵的步骤
  1.1.2  黑客攻击的原理和方法
  1.2  入侵检测与P2DR安全模型
  1.3  入侵检测技术分类
  1.3.1  主机、网络和分布式入侵检测
  1.3.2  滥用和异常入侵检测
  1.4  入侵检测系统的CIDF模型
  1.4.1  CIDF的体系结构
  1.4.2  CIDF的通信机制
  1.4.3  CIDF语言
  1.4.4  CIDF的API接口
  1.5  入侵检测系统的管理、评测问题
  1.6  相关的法律问题
第2章  UNIX/Linux系统介绍
  2.1  UNIX系统简介
  2.2  日益流行的Unix操作系统
  2.3  Linux文件系统
  2.3.1  Linux文件结构
  2.3.2  Linux文件系统管理
第3章  审计机制及文件格式
  3.1  UNIX操作系统
  3.1.1  UNIX操作系统的日志分类
  3.1.2  连接时间日志生成机制及文件格式
  3.1.3  进程日志生成机制及文件格式
  3.1.4  syslog日志工具机制及文件格式
  3.2  Windows 2000操作系统
  3.2.1  Windows 2000操作系统日志分类
  3.2.2  事件日志文件格式
第4章  RPC(远程过程调用)
  4.1  RPC的产生及特点
  4.1.1  RPC概述
  4.1.2  RPC的原理和实现机制
  4.2  RPC的数据表示格式
  4.2.1  XDR的工作原理
  4.2.2  XDR流
  4.2.3  XDR过滤器
  4.3  RPC协议
  4.3.1  RPC信息协议
  4.3.2  RPC鉴别协议
  4.3.3  端口映射器程序协议
  4.4  RPC的程序设计
  4.5  RPC语言编译器(rpcgen)
第5章  IDES/NIDES系统实例
  5.1  引言
  5.2  IDES设计模型
  5.3  审计数据
  5.4  邻域接口
  5.4.1  IDES审计记录生成器(Agen)
  5.4.2  审计记录池(arpool)
  5.4.3  IDES审计记录的格式设计
  5.4.4  与IDES处理单元的连接
  5.5  统计异常检测器
  5.5.1  入侵检测测量值
  5.5.2  统计分析算法
  5.6  IDES专家系统
  5.6.1  PBEST概述
  5.6.2  PBEST的基本语法
  5.6.3  进一步的语法介绍
  5.7  IDES用户接口
  5.8  进一步的发展：NIDES系统
  5.8.1  系统结构概述
  5.8.2  系统设计描述
第6章  STAT——基于状态转移分析的系统
  6.1  系统简介
  6.2  总体架构设计
  6.2.1  预处理器
  6.2.2  知识库
  6.2.3  推理引擎
  6.2.4  决策引擎
  6.3  审计记录预处理器
  6.3.1  BSM审计记录格式
  6.3.2  STAT审计记录格式
  6.3.3  对BSM审计记录的过滤操作
  6.3.4  预处理器模块的算法流程
  6.4  系统知识库
  6.4.1  事实库(Fact-Base)
  6.4.2  规则库(Rule-Base)
  6.5  推理引擎
  6.6  决策引擎
第7章网络协议族介绍
  7.1  分层协议模型
  7.1.1  通信协议
  7.1.2  计算机网络协议的分层模型
  7.1.3  协议的分层原理
  7.1.4  分层协议开放系统的通信机制
  7.2  开放系统互连参考模型OSI/ISO
  7.3  TCP/IP参考模型
  7.4  TCP/IP协议
  7.4.1  网络接口层协议
  7.4.2  ARP协议和RARP协议
  7.4.3  IP协议
  7.4.4  ICMP协议
  7.4.5  TCP协议
  7.4.6  UDP协议
第8章  数据流捕获技术
  8.1  基本的网络数据截获机制
  8.1.1  利用以太网络的广播特性进行截获
  8.1.2  基于路由器的网络数据截获技术
  8.2  BPF过滤机制分析
  8.2.1  BPF模型概述
  8.2.2  BPF过滤虚拟机设计
  8.3  基于Libpcap库的通用数据捕获技术
  8.3.1  Libpcap库函数介绍
  8.3.2  Windows平台下的Winpcap库
第9章  检测引擎设计
  9.1  NFR的N-code语言
  9.2  Bro事件检测引擎
  9.3  协议分析加命令解析的检测引擎设计
第10章  Snort系统分析
  10.1  系统架构分析
  10.2  重要的全局数据结构
  10.2.1  Packet数据结构
  10.2.2  PV数据结构
  10.3  协议解析器组件
  10.4  规则检测组件
  10.4.1  构造规则链表Parse RulesFile()和ParseRule()
  10.4.2  构建快速规则匹配引擎fpCreateFastPacketDetection()
  10.4.3  快速检测接口函数fpEvalPacket()
  10.5  预处理器
  10.5.1  预处理模块的基本架构
  10.5.2  Spp_bo模块
  10.5.3  Spp_arpspoof模块
  10.5.4  Spp_Http Decode模块
  10.5.5  Spp_frag2模块
  10.5.6  Spp_stream4模块
  10.6  输出插件
  10.6.1  概述
  10.6.2  输出插件的初始化
  10.6.3  输出插件的调用
第11章  AAFID分布式系统
  11.1  AAFID系统简介
  11.1.1  基本情况
  11.1.2  系统结构
  11.2  AAFID的代理与过滤器
  11.2.1  AAFID代理简介
  11.2.2  代理的编写
  11.2.3  简单代理编写实例
  11.2.4  AAFID的过滤器
  11.3  AAFID总体结构分析
  11.3.1  AAFID的总体结构
  11.3.2  AAFID的总体流程
  11.4  关键模块剖析
  11.4.1  基础功能模块
  11.4.2  其他模块
第12章  入侵检测的不对称模型
  12.1  基本模型与不对称指数
  12.2  入侵检测的不对称性
  12.3  不对称模型与信息论
第13章  基于神经网络的入侵检测技术
  13.1  概述
  13.2  基本检测算法描述
  13.3  关键词表的选择
  13.4  量化参数对检测性能的影响
  13.5  BP网络与径向基函数(RBF)网络
  13.6  检测性能与不对称指数
第14章  智能化入侵检测系统的设计
  14.1  系统总体模块结构
  14.2  数据包截获和规则检测模块
  14.3  特征矢量生成器与网络会话模块
  14.4  ANN检测引擎设计
附录  入侵检测技术FAQ