入侵检测技术教程.docVIP

入侵检测技术教程 目录 第1章 入侵检测基础知识 1.1 网络安全基本概念 1.1.1 网络安全的基本观点 1.1.2 P2DR模型 1.1.3 入侵检测：在P2DR模型中的位置与作用 1.2 入侵检测的产生与发展 1.2.1 早期研究 1.2.2 主机IDS研究 1.2.3 网络IDS研究 1.2.4 主机和网络入侵检测的集成 1.3 入侵检测的基本概念 1.3.1 入侵检测的概念 1.3.2 入侵检测的作用 1.3.3 研究入侵检测的必要性 1.4 习题 第2章 入侵方法与手段 2.1 黑客入侵模型与原理 2.1.1 黑客入侵的步骤 2.1.2 黑客攻击的原理和方法 2.1.3 主要入侵攻击方法简介 2.2 漏洞扫描 2.2.1 扫描器简介 2.2.2 秘密扫描 2.2.3 OS Fingerprint技术 2.3 口令破解 2.3.1 Windows口令文件的格式及安全机制 2.3.2 Unix口令文件的格式及安全机制 2.3.3 破解原理及典型工具 2.4 拒绝服务攻击 2.4.1 拒绝服务攻击原理 2.4.2 典型拒绝服务攻击手段 2.5 分布式拒绝服务攻击 2.6 缓冲区溢出攻击 2.6.1 堆栈的基本原理 2.6.2 一个简单的例子 2.6.3 高级技巧 2.7 格式化字符串攻击 2.7.1 与缓冲区溢出攻击的比较 2.7.2 格式化函数 2.7.3 漏洞产生的原因 2.7.4 攻击方法 2.8 习题 第3章 入侵检测系统 3.1 入侵检测系统的基本模型 3.1.1 通用入侵检测模型 3.1.2 IDM模型 3.1.3 SNMP－IDSM模型 3.2 入侵检测系统的工作模式 3.3 入侵检测系统的分类 3.3.1 按照信息源的分类 3.3.2 按照检测方法的分类 3.3.3 其他的分类标准 3.4 入侵检测系统的部署 3.5 习题 第4章 入侵检测流程 4.1 入侵检测的过程 4.1.1 信息收集 4.1.2 信息分析 4.1.3 告警与响应 4.2 入侵检测系统的数据源 4.2.1 基于主机的数据源 4.2.2 基于网络的数据源 4.2.3 应用程序日志文件 4.2.4 其他入侵检测系统的报警信息 4.3 入侵分析的概念 4.3.1 入侵分析的定义 4.3.2 入侵分析的目的 4.3.3 入侵分析需要考虑的因素 4.4 入侵分析的模型 4.4.1 构建分析器 4.4.2 对现场数据进行分析 4.4.3 反馈和提炼 4.5 入侵分析的方法 4.5.1 误用检测 4.5.2 异常检测 4.5.3 可代替的检测方案 4.6 告警与响应 4.6.1 对响应的需求 4.6.2 响应的类型 4.6.3 调查期间掩盖跟踪 4.6.4 按策略配置响应 4.7 入侵追踪 4.7.1 通信过程的记录设定 4.7.2 查找记录 4.7.3 地理位置的追踪 4.7.4 来电显示 4.7.5 使用IP地址和域名 4.7.6 Web欺骗的攻击和策略 4.8 习题 第5章 基于主机的入侵检测技术 5.1 审计数据的获取 5.1.1 审计数据类型与来源 5.1.2 审计数据的预处理 5.1.3 审计数据获取模块的设计 5.2 基于统计模型的入侵检测技术 5.3 基于专家系统的入侵检测技术 5.4 基于状态转移分析的入侵检测技术 5.5 基于完整性检查的入侵检测技术 5.6 系统配置分析技术 5.7 习题 第6章 基于网络的入侵检测技术 6.1 分层协议模型与TCP/IP协议 6.1.1 TCP/IP协议模型 6.1.2 TCP/IP协议报文格式 6.2 网络数据包的截获 6.2.1 以太网环境下的数据截获 6.2.2 交换网络环境下的数据截获 6.3 检测引擎的设计 6.3.1 嵌入式规则检测引擎设计 6.3.2 可编程的检测引擎设计 6.3.3 特征分析与协议分析技术 6.4 BPF过滤机制分析 6.4.1 BPF模型概述 6.4.2 BPF过滤虚拟机设计 6.5 基于Libpcap库的通用数据捕获技术 6.5.1 Libpcap库函数介绍 6.5.2 Windows平台下的Winpcap库 6.6 习题 第7章 入侵检测系统的标准与评估 7.1 入侵检测的标准化工作 7.1.1 CIDF的标准化工作 7.1.2 IDWG的标准化 7.1.3 标准化工作总结 7.2 影响入侵检测系统性能的参数 7.3 评价检测算法性能的测度 7.4 评价入侵检测系统性能的标准 7.5 网络入侵检测系统测试评估 7.6 测试评估内容 7.6.1 功能性测试 7.6.2 性能测试 7.6.3 产品可用性测试 7.7 测试环境和测试软件 7.7.1 测试环境 7.7.2 测试软件 7.8 用户评估标准 7.9 入侵检测评估现状 7.9.1 离线评估方案