入侵檢測(cè)理論與技術(shù)

前言

顧名思義，入侵檢測(cè)就是檢測(cè)入侵行為。目前的入侵檢測(cè)系統(tǒng)（IDS）大致可以分為兩類：基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS。前者是一種集中式的IDS，相當(dāng)于直接針對(duì)敵方總部，一旦發(fā)現(xiàn)敵情馬上報(bào)告，并采取相應(yīng)的措施。后者是一種分散式的IDS，它廣泛收集敵方各軍事點(diǎn)的情報(bào)，加以綜合分析，一旦發(fā)現(xiàn)敵情，馬上采取措施加以應(yīng)對(duì)。最近，基于網(wǎng)絡(luò)的IDS又進(jìn)一步發(fā)展成為分布式IDS和大規(guī)模分布式IDS。形象地說(shuō)，分布式IDS不但要對(duì)敵國(guó)的各軍事點(diǎn)情報(bào)進(jìn)行綜合和分析，而且也不放過(guò)敵國(guó)其他領(lǐng)域的情報(bào)，比如，根據(jù)敵國(guó)大量屯集醫(yī)藥用品的事實(shí)來(lái)判斷敵國(guó)可能發(fā)動(dòng)戰(zhàn)爭(zhēng)等。而大規(guī)模分布式IDS則將刺探敵情的范圍擴(kuò)大到敵國(guó)的伙伴國(guó)家，因?yàn)椋@些國(guó)家的異常舉動(dòng)可能泄露某種攻擊信息。本書(shū)將對(duì)包括基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS進(jìn)行研究，重點(diǎn)研究分布式IDS和大規(guī)模分布式IDS系統(tǒng)的理論和技術(shù)。全書(shū)共分為7章，各章內(nèi)容與安排如下。第l章著重分析了當(dāng)今主流網(wǎng)絡(luò)攻擊手段，并針對(duì)每一種攻擊，盡量提出相應(yīng)的檢測(cè)、防御方法。當(dāng)前的入侵方法中，有的是尋找并利用操作系統(tǒng)的漏洞，有的是利用應(yīng)用程序的實(shí)現(xiàn)上的漏洞，有的是針對(duì)網(wǎng)絡(luò)協(xié)議漏洞而進(jìn)行攻擊，有的是尋找加密算法的弱點(diǎn)進(jìn)行密碼破解，有的是利用網(wǎng)絡(luò)協(xié)議在特定的操作系統(tǒng)上的實(shí)現(xiàn)的漏洞進(jìn)行入侵，等等。本章重點(diǎn)分析了目前常見(jiàn)的拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊的原理和手段，包括了CP標(biāo)志位攻擊、通用洪流攻擊、反射式攻擊等；介紹了常用的分布式拒絕服務(wù)攻擊工具，包括Trinoo、TFN、TFN2K、Stachcldraht、shaft和stream等；總結(jié)了目前分布式攻擊的類型和特點(diǎn)。在對(duì)目前分布式攻擊的類型和特點(diǎn)分析的基礎(chǔ)上，提出了分布式攻擊的發(fā)展趨勢(shì)，主要包括體系結(jié)構(gòu)及特點(diǎn)。其中主要特點(diǎn)包括可控性強(qiáng)、隱蔽性強(qiáng)、可更新性、智能性和通信安全保密性等。本章將目前針對(duì)分布式拒絕服務(wù)攻擊的防御劃分為三個(gè)層次并進(jìn)行比較，然后提出了源端防御的概念；介紹了源端防御程序設(shè)計(jì)并給出其體系結(jié)構(gòu)及各模塊結(jié)構(gòu)圖。本章在對(duì)分布式拒絕服務(wù)攻擊的防御手段進(jìn)行深入分析后，提出了未來(lái)分布式防御的發(fā)展趨勢(shì)及智能型分布式防御模型，給出了模型的體系結(jié)構(gòu)和特點(diǎn)，并分析了實(shí)現(xiàn)需要解決的一些關(guān)鍵問(wèn)題。

內(nèi)容概要

本書(shū)從理論和技術(shù)兩個(gè)方面對(duì)入侵檢測(cè)相關(guān)知識(shí)進(jìn)行了全面和系統(tǒng)的介紹。全書(shū)共分7章，分別對(duì)常見(jiàn)入侵與防御、入侵檢測(cè)基礎(chǔ)、大規(guī)模分布式入侵檢測(cè)系統(tǒng)（LDIDS）框架結(jié)構(gòu)、LDIDS的互動(dòng)協(xié)議與接口標(biāo)準(zhǔn)、LDIDS的任務(wù)分派機(jī)制、LDIDS的數(shù)據(jù)融合和入侵管理等進(jìn)行了介紹，內(nèi)容包括網(wǎng)絡(luò)安全的主要威脅、常見(jiàn)網(wǎng)絡(luò)攻擊、DDoS攻擊與防御、智能型分布式防御、IDS 系統(tǒng)模型等人侵檢測(cè)理論與技術(shù)方面的知識(shí)。另外，書(shū)中介紹的許多算法、協(xié)議、方案等都可直接應(yīng)用于工程實(shí)踐，書(shū)中提出的許多理論問(wèn)題也有助于激發(fā)更多的后繼研究?！　”緯?shū)可作為信息安全、密碼學(xué)、信息與計(jì)算科學(xué)等專業(yè)的研究生和高年級(jí)大學(xué)生的教學(xué)參考書(shū)，也可作為上述領(lǐng)域相關(guān)科技工作者的實(shí)用工具書(shū)或技術(shù)培訓(xùn)教材。

作者簡(jiǎn)介

　　楊義先，北京郵電大學(xué)教授，博士生導(dǎo)師，首屆長(zhǎng)江學(xué)者特聘教授，首屆政府特殊津貼獲得者。長(zhǎng)期從事信息安全、信號(hào)與信息處理、密碼學(xué)等專業(yè)的教學(xué)、科研和成果轉(zhuǎn)化工作。已發(fā)表論文300余篇、出版著作10余部。本書(shū)相關(guān)研究成果獲郵電部科技進(jìn)步一等獎(jiǎng)、國(guó)家教委科技進(jìn)步二等獎(jiǎng)、中國(guó)通信學(xué)會(huì)科學(xué)技術(shù)二等獎(jiǎng)等多項(xiàng)獎(jiǎng)勵(lì)。

書(shū)籍目錄

第1章　常見(jiàn)入侵與防御　1.1　網(wǎng)絡(luò)安全的主要威脅　　　1.1.1　網(wǎng)絡(luò)安全威脅的層次　　1.1.2　安全漏洞　　1.1.3　攻擊語(yǔ)言　1.2　常見(jiàn)網(wǎng)絡(luò)攻擊　　1.2.1　DOS攻擊與防御　　1.2.2　信息收集型攻擊　　1.2.3　其他攻擊　1.3　DDoS攻擊與防御　　1.3.1　DDoS攻擊及常用工具　　1.3.2　DDoS的當(dāng)前特點(diǎn)與發(fā)展趨勢(shì)　　1.3.3　DDoS攻擊的源端防御　1.4　智能型分布式防御　　1.4.1　體系結(jié)構(gòu)　　1.4.2　異常行為判定　　1.4.3　特點(diǎn)與關(guān)鍵第2章　入侵檢測(cè)基礎(chǔ)　2.1　基礎(chǔ)知識(shí)　　2.1.1　歷史沿革與基本概念　　2.1.2　入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)　　2.1.3　基于知識(shí)和行為的入侵檢測(cè)　　2.1.4　入侵檢測(cè)系統(tǒng)的信息源　2.2　入侵檢測(cè)標(biāo)準(zhǔn)　　2.2.1　入侵檢測(cè)數(shù)據(jù)交換標(biāo)準(zhǔn)化　　2.2.2　通用人侵檢測(cè)框架　　2.2.3　入侵檢測(cè)數(shù)據(jù)交換格式　　2.2.4　通用入侵檢測(cè)框架的語(yǔ)言　2.3　入侵檢測(cè)系統(tǒng)模型　　2.3.1　基于系統(tǒng)行為分類的檢測(cè)模型　　2.3.2　面向數(shù)據(jù)處理的檢測(cè)模型　　2.3.3　入侵檢測(cè)系統(tǒng)和算法的性能分析　　2.3.4　入侵檢測(cè)系統(tǒng)的機(jī)制協(xié)作　2.4　基于進(jìn)程行為的入侵檢測(cè)　　2.4.1　基于神經(jīng)網(wǎng)絡(luò)的行為分類器　　2.4.2　基于概率統(tǒng)計(jì)的貝葉斯分類器　　2.4.3　基于進(jìn)程行為分類器的入侵檢測(cè)　　2.4.4　基于進(jìn)程檢測(cè)器的入侵檢測(cè)系統(tǒng)原型　2.5　基于網(wǎng)絡(luò)數(shù)據(jù)分析的入侵檢測(cè)系統(tǒng)　　2.5.1　網(wǎng)絡(luò)事件的多維模型結(jié)構(gòu)　　2.5.2　基于網(wǎng)絡(luò)端口業(yè)務(wù)數(shù)據(jù)的統(tǒng)計(jì)性特征輪廓　　2.5.3　基于規(guī)則的入侵檢測(cè)與數(shù)據(jù)挖掘技術(shù)　　2.5.4　網(wǎng)絡(luò)入侵檢測(cè)的關(guān)鍵技術(shù)第3章　大規(guī)模分布式入侵檢測(cè)系統(tǒng)框架結(jié)構(gòu)　3.1　LDIDS模型　　3.1.1　樹(shù)狀結(jié)構(gòu)　　3.1.2　運(yùn)作機(jī)制　　3.1.3　功能模塊　　3.1.4　分層結(jié)構(gòu)　3.2　采集層　　3.2.1　數(shù)據(jù)收集機(jī)制　　3.2.2　日志　　3.2.3　網(wǎng)絡(luò)數(shù)據(jù)報(bào)　　3.2.4　其他信息源　3.3　數(shù)據(jù)分析層　　3.3.1　數(shù)據(jù)預(yù)處理　　3.3.2　分布式分析和集中式分析　　3.3.3　分析方法　　3.3.4　分析過(guò)程　3.4　數(shù)據(jù)融合層　　3.4.1　數(shù)據(jù)融合　　3.4.2　聚集模塊　　3.4.3　合并模塊　　3.4.4　關(guān)聯(lián)模塊　3.5　協(xié)調(diào)管理層　　3.5.1　決策模塊　　3.5.2　協(xié)調(diào)模塊　　3.5.3　響應(yīng)模塊　　3.5.4　管理平臺(tái)　　3.5.5　交互接口第4章　大規(guī)模分布式入侵檢測(cè)系統(tǒng)交互協(xié)議與接口標(biāo)準(zhǔn)　4.1　背景知識(shí)　　4.1.1　現(xiàn)狀與趨勢(shì)　　4.1.2　設(shè)計(jì)交互協(xié)議與接口標(biāo)準(zhǔn)的意義　4.2　安全部件交換協(xié)議ScxP　　4.2.1　協(xié)議工作環(huán)境與功能目標(biāo)　　4.2.2　SCXP協(xié)議的設(shè)計(jì)　　4.2.3　安全性分析　4.3　SCIMF數(shù)據(jù)模型　　4.3.1　用XML實(shí)現(xiàn)SCIMF　　4.3.2　SCIMF數(shù)據(jù)模型和XML　DTD　　4.3.3　SCIMF消息格式的擴(kuò)展第5章　大規(guī)模分布式入侵檢測(cè)系統(tǒng)的任務(wù)分派機(jī)制　5.1　移動(dòng)代理　　5.1.1　移動(dòng)代理簡(jiǎn)介　　5.1.2　移動(dòng)代理的優(yōu)點(diǎn)　　5.1.3　典型移動(dòng)代理實(shí)例　5.2　移動(dòng)代理在入侵檢測(cè)中的應(yīng)用　　5.2.1　為什么使用移動(dòng)代理　　5.2.2　IDA系統(tǒng)　　5.2.3　移動(dòng)代理引起的問(wèn)題　5.3　任務(wù)分派機(jī)制　　5.3.1　功能層的代理設(shè)計(jì)　　5.3.2　任務(wù)分派過(guò)程中的消息和通信　　5.3.3　任務(wù)分派機(jī)制描述第6章　大規(guī)模分布式入侵檢測(cè)系統(tǒng)中的數(shù)據(jù)融合　6.1　數(shù)據(jù)融合與入侵檢測(cè)　　6.1.1　數(shù)據(jù)融合的定義　　6.1.2　數(shù)據(jù)融合的關(guān)鍵問(wèn)題　　6.1.3　數(shù)據(jù)融合在入侵檢測(cè)系統(tǒng)中的應(yīng)用　6.2　數(shù)據(jù)融合部件的功能模塊　　6.2.1　預(yù)備知識(shí)　　6.2.2　需求分析　　6.2.3　功能模塊　6.3　數(shù)據(jù)融合算法　　6.3.1　聚類　　6.3.2　合并　　6.3.3　關(guān)聯(lián)第7章　入侵管理　7.1　入侵防御關(guān)鍵技術(shù)　　7.1.1　降低開(kāi)銷　　7.1.2　均衡負(fù)載　　7.1.3　協(xié)議分析　　7.1.4　應(yīng)用于入侵防御的數(shù)據(jù)挖掘算法　7.2　入侵容忍　　7.2.1　基于多閾值的入侵容忍　　7.2.2　基于移動(dòng)代理的入侵容忍　　7.2.3　具有入侵容忍功能的分布式協(xié)同入侵檢測(cè)系統(tǒng)　7.3　入侵管理　　7.3.1　基于移動(dòng)代理的入侵管理　　7.3.2　入侵管理的告警融合　　7.3.3　大規(guī)模分布式入侵管理參考文獻(xiàn)

章節(jié)摘錄

插圖：系統(tǒng)狀態(tài)監(jiān)控模塊和網(wǎng)絡(luò)數(shù)據(jù)包檢測(cè)模塊發(fā)現(xiàn)異常狀態(tài)后，提交至事件處理模塊，由該模塊負(fù)責(zé)處理，處理時(shí)參照的規(guī)則是程序預(yù)先設(shè)定或者由用戶通過(guò)配置模塊設(shè)置的。處理完畢后，由日志記錄模塊負(fù)責(zé)記錄相應(yīng)的處理結(jié)果。同時(shí)，日志記錄模塊還負(fù)責(zé)對(duì)其他配置信息等進(jìn)行記錄。源端防御的程序流程如圖1.9所示。程序啟動(dòng)時(shí)，用戶可以對(duì)默認(rèn)配置進(jìn)行修改。啟動(dòng)后，隱藏模塊首先啟動(dòng)，與隱藏模塊相關(guān)的所有進(jìn)程、文件、注冊(cè)表等內(nèi)容均被隱藏，可以很好地保護(hù)源端程序。然后，系統(tǒng)狀態(tài)監(jiān)控模塊和網(wǎng)絡(luò)數(shù)據(jù)包檢測(cè)模塊啟動(dòng)，針對(duì)系統(tǒng)狀態(tài)和網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)監(jiān)測(cè)，一旦發(fā)現(xiàn)異常狀態(tài)或流量，將其轉(zhuǎn)人事件處理模塊進(jìn)行處理。整個(gè)流程中的重要信息由日志記錄模塊進(jìn)行記錄。源端防御各模塊之間的交互如圖1.10所示。隱藏模塊是所有模塊的基石，為系統(tǒng)中所用到的程序、文件、注冊(cè)表項(xiàng)等實(shí)現(xiàn)隱藏功能，保護(hù)防御程序自身。配置模塊與系統(tǒng)中其他模塊均進(jìn)行交互，可以配置監(jiān)控選項(xiàng)，如進(jìn)程、端口、特定目錄和特定注冊(cè)表等；也可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)包檢測(cè)的規(guī)則進(jìn)行修改、添加和刪除等操作；還可以設(shè)置異常事件發(fā)生時(shí)處理的規(guī)則；同樣也可以配置待隱藏的特征值。需要注意的是，配置模塊應(yīng)該定期對(duì)以上各規(guī)則進(jìn)行更新，以達(dá)到更好的保護(hù)效果。

編輯推薦

《入侵檢測(cè)理論與技術(shù)》是由高等教育出版社出版的。

圖書(shū)封面

圖書(shū)標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    入侵檢測(cè)理論與技術(shù) PDF格式下載

---