第1章 入侵检测概述 1
1.1 网络安全基本概念 1
1.1.1 网络安全的实质 1
1.1.2 网络系统的安全对策与入侵检测 2
1.1.3 网络安全的P2DR模型与入侵检测 3
1.2 入侵检测的产生与发展 4
1.2.1 早期研究 4
1.2.2 主机入侵检测系统研究 5
1.2.3 网络入侵检测系统研究 6
1.2.4 主机和网络入侵检测系统的集成 7
1.3 入侵检测的基本概念和作用 8
1.3.1 入侵检测的概念 8
1.3.2 入侵检测的作用 9
1.3.3 研究入侵检测的必要性 10
1.4 入侵检测面临的问题 11
1.5 入侵检测技术的发展趋势 12
习题 13
第2章 入侵方法与手段 14
2.1 网络入侵 14
2.1.1 网络入侵的概念 14
2.1.2 网络入侵的一般流程 14
2.1.3 典型网络入侵方法分析 15
2.2 漏洞扫描 20
2.2.1 扫描器简介 20
2.2.2 秘密扫描 20
2.2.3 操作系统指纹技术 22
2.3 拒绝服务攻击 22
2.3.1 拒绝服务攻击的原理 23
2.3.2 典型的拒绝服务攻击的手段 23
2.4 分布式拒绝服务攻击 25
2.5 缓冲区溢出攻击 26
2.5.1 堆栈的基本原理 26
2.5.2 一个简单的例子 27
2.6 格式化字符串攻击 29
2.7 跨站脚本攻击 30
2.8 SQL Injection攻击 30
习题 32
第3章 入侵检测系统 33
3.1 入侵检测系统的基本模型 33
3.1.1 通用入侵检测模型 33
3.1.2 层次化入侵检测模型 35
3.1.3 管理式入侵检测模型 37
3.2 入侵检测系统的工作模式 38
3.3 入侵检测系统的分类 39
3.3.1 按数据源分类 39
3.3.2 按分析方法分类 39
3.3.3 按检测方式分类 40
3.3.4 按检测结果分类 40
3.3.5 按响应方式分类 40
3.3.6 按各模块运行的分布方式分类 41
3.4 入侵检测系统的构架 41
3.4.1 管理者 41
3.4.2 代理 42
3.5 入侵检测系统的部署 42
3.5.1 网络中没有部署防火墙时 43
3.5.2 网络中已经部署防火墙时 43
习题 44
第4章 入侵检测流程 45
4.1 入侵检测的过程 45
4.1.1 信息收集 45
4.1.2 信息分析 45
4.1.3 告警与响应 46
4.2 入侵检测系统的数据源 46
4.2.1 基于主机的数据源 46
4.2.2 基于网络的数据源 48
4.2.3 应用程序日志文件 49
4.2.4 其他入侵检测系统的报警信息 50
4.2.5 其他网络设备和安全产品的信息 50
4.3 入侵分析的概念 50
4.3.1 入侵分析的定义 51
4.3.2 入侵分析的目的 51
4.3.3 入侵分析应考虑的因素 51
4.4 入侵分析的模型 52
4.4.1 构建分析器 52
4.4.2 分析数据 53
4.4.3 反馈和更新 54
4.5 入侵检测的分析方法 55
4.5.1 误用检测 55
4.5.2 异常检测 58
4.5.3 其他检测方法 64
4.6 告警与响应 67
4.6.1 对响应的需求 68
4.6.2 响应的类型 69
4.6.3 按策略配置响应 72
4.6.4 联动响应机制 74
习题 75
第5章 基于主机的入侵检测技术 76
5.1 审计数据的获取 76
5.1.1 系统日志与审计信息 77
5.1.2 数据获取系统结构设计 78
5.2 审计数据的预处理 79
5.3 基于统计模型的入侵检测技术 82
5.4 基于专家系统的入侵检测技术 84
5.5 基于状态转移分析的入侵检测技术 87
5.6 基于完整性检验的入侵检测技术 87
5.7 基于智能体的入侵检测技术 89
5.8 系统配置分析技术 92
5.9 检测实例分析 92
习题 96
第6章 基于网络的入侵检测技术 97
6.1 分层协议模型与TCP/IP簇 97
6.1.1 TCP/IP模型 97
6.1.2 TCP/IP报文格式 99
6.2 网络数据包的捕获 101
6.2.1 局域网和网络设备的工作原理 102
6.2.2 Sniffer介绍 103
6.2.3 共享和交换网络环境下的数据捕获 104
6.3 包捕获机制与BPF模型 104
6.3.1 包捕获机制 104
6.3.2 BPF模型 106
6.4 基于Libpcap库的数据捕获技术 107
6.4.1 Libpcap介绍 107
6.4.2 Windows平台下的Winpcap库 110
6.5 检测引擎的设计 113
6.5.1 模式匹配技术 113
6.5.2 协议分析技术 114
6.6 网络入侵特征实例分析 115
6.6.1 特征的基本概念 115
6.6.2 典型特征——报头值 116
6.6.3 候选特征 116
6.6.4 最佳特征 117
6.6.5 通用特征 117
6.6.6 报头值关键元素 118
6.7 检测实例分析 118
6.7.1 数据包捕获 119
6.7.2 端口扫描的检测 119
6.7.3 拒绝服务攻击的检测 120
习题 120
第7章 基于存储的入侵检测技术 121
7.1 主动存储设备 121
7.2 块存储设备的数据存取过程 123
7.3 存储级入侵检测研究现状 126
7.4 存储级入侵检测框架 127
7.4.1 数据采集 128
7.4.2 数据特征分析 129
7.4.3 数据预处理和规约 130
7.5 基于数据挖掘的攻击模式自动生成 131
7.5.1 基于判定树分类的攻击模式自动生成 131
7.5.2 判定树分类生成算法 134
7.6 存储级异常检测方法 136
7.6.1 D-S证据理论 137
7.6.2 基于D-S证据理论的异常检测特征融合算法 138
7.7 IDS间基于协作的联合防御 141
7.7.1 预定义 141
7.7.2 相关工作介绍 141
7.7.3 典型协作模式分析 142
7.7.4 协作方式 144
习题 146
第8章 基于Hadoop海量日志的入侵检测技术 147
8.1 Hadoop相关技术 148
8.1.1 Hadoop简介 148
8.1.2 HDFS文件系统 148
8.1.3 MapReduce并行计算框架 148
8.1.4 Mahout简介 149
8.1.5 Hive简介 150
8.2 Web日志 150
8.3 基于Hadoop海量日志的入侵检测算法 150
8.3.1 K-Means算法基本原理 151
8.3.2 改进的并行化K-Means算法CPK-Means 152
8.3.3 FP-Growth算法基本原理 154
8.3.4 改进的并行化FP-Growth算法LBPEP 155
8.4 基于Hadoop海量日志的入侵检测系统的实现 161
8.4.1 系统实现框架 161
8.4.2 数据收集 162
8.4.3 数据预处理 163
8.4.4 Hadoop平台下入侵规则的挖掘 165
习题 171
第9章 基于流量分析的入侵检测技术 172
9.1 概述 172
9.2 检测框架设计 173
9.3 IARF检测模型 174
9.4 加密流量会话日志转化 176
9.5 加密流量特征关联融合 176
9.6 基于误分类样本学习的改进型自适应随机森林算法 177
9.7 检测效果验证 179
9.7.1 验证环境 179
9.7.2 结果及分析 180
习题 185
第10章 入侵检测系统的标准与评估 186
10.1 入侵检测的标准化工作 186
10.1.1 CIDF 186
10.1.2 IDMEF 190
10.1.3 标准化工作总结 198
10.2 入侵检测系统的性能指标 198
10.2.1 评价入侵检测系统性能的标准 198
10.2.2 影响入侵检测系统性能的参数 199
10.2.3 评价检测算法性能的测度 201
10.3 网络入侵检测系统测试评估 202
10.4 测试评估内容 203
10.4.1 功能性测试 203
10.4.2 性能测试 204
10.4.3 产品可用性测试 205
10.5 测试环境和测试软件 205
10.5.1 测试环境 205
10.5.2 测试软件 206
10.6 用户评估标准 207
10.7 入侵检测系统评估方案 209
10.7.1 离线评估方案 209
10.7.2 实时评估方案 212
习题 214
附录A Snort的安装与使用 216
附录A.1 Snort简介 216
附录A.2 使用Snort构建入侵检测系统实例 224
附录B 开放环境下基于机器学习的恶意流量检测 230
附录B.1 恶意流量检测技术发展过程 230
附录B.2 基于机器学习的恶意流量分类方法 230
附录B.3 开放动态环境对基于机器学习恶意流量检测的影响 231
参考文献 236