網絡入侵檢測系統(tǒng)的設計與實現(xiàn)

內容概要

這是國內第一本全面覆蓋網絡入侵檢測系統(tǒng)從設計基礎到源碼實現(xiàn)的技術書籍。本書所介紹的知識清晰全面，從入侵檢測的概念、網絡數據流的捕獲技術開始，到入侵檢測的不同方法，如基于專家系統(tǒng)的入侵檢測、基于統(tǒng)計分析的入侵檢測等等，最后是對系統(tǒng)具體源代碼實現(xiàn)內核的深入剖析，可使用戶對于入侵檢測技術有一個比較全面的理解。讀者如果想要學習入侵檢測技術，可以從閱讀本書中介紹的知識開始。

書籍目錄

目    錄?
第1章  概述
1.1  入侵檢測系統(tǒng)的組成部分
1.2  濫用入侵檢測系統(tǒng)?
1.3  非規(guī)則入侵檢測系統(tǒng)?
1.4  兩種分析技術的比較?
1.5  入侵檢測系統(tǒng)的層次體系?
1.6  進一步發(fā)展的若干方向
    1.6.1  寬帶高速網絡的實時入侵檢測技術
    1.6.2  大規(guī)模分布式入侵檢測技術
    1.6.3  入侵檢測的數據融合技術
    1.6.4  先進檢測算法的應用?
1.7  面臨的挑戰(zhàn)?
    第2章  網絡編程基礎知識?
        2.1  分層協(xié)議模型?
        2.2  開放系統(tǒng)互聯(lián)參考模型OSI/ISO?
        2.3  TCP/IP參考模型?
        2.4  UNIX網絡編程技術概述?
        2.5  TCP/IP協(xié)議
            2.5.1  網絡接口層協(xié)議
            2.5.2  ARP協(xié)議和RARP協(xié)議
            2.5.3  IP協(xié)議
            2.5.4  ICMP協(xié)議
            2.5.5  TCP協(xié)議
            2.5.6  UDP協(xié)議?
    第3章  網絡數據包截獲機制分析?
        3.1  基本的網絡數據包截獲機制?
        3.2  高效的數據包截獲/過濾機制
            3.2.1  概述
            3.2.2  BPF的工作原理
            3.2.3  BPF虛擬機的實現(xiàn)
            3.2.4  BPF程序源代碼?
        3.3  數據包截獲的Libpcap庫函數接口
            3.3.1  概述
            3.3.2  Libpcap庫函數接口
            3.3.3  采用Libpcap庫的數據包截獲實例?
    第4章  入侵檢測引擎的設計?
        4.1  IDES系統(tǒng)概述
            4.1.1  什么是IDES系統(tǒng)
            4.1.2  IDES的系統(tǒng)設計
            4.1.3  IDES的審計記錄格式?
        4.2  用于入侵檢測的統(tǒng)計分析測量值
            4.2.1  用戶測量值
            4.2.2  目標系統(tǒng)
            4.2.3  遠程主機?
        4.3  基于統(tǒng)計分析的分析算法
            4.3.1  IDES分數值（score）
            4.3.2  分數值T2如何從單個測量值獲得
            4.3.3  單個測量值類型
            4.3.4  S與Q聯(lián)系的啟發(fā)式描述
            4.3.5  從Q計算S的算法
            4.3.6  計算Q的頻率分布
            4.3.7  計算活動強度測量值的Q值
            4.3.8  計算審計記錄分布測量值的Q值
            4.3.9  計算類別測量值的統(tǒng)計值Q
            4.3.10  計算序數測量值的Q值?
        4.4  相關的數據結構及函數接口
            4.4.1  數據結構
            4.4.2  函數接口?
    第5章  專家系統(tǒng)的應用?
        5.1  概述?
        5.2  由一個簡單實例開始?
        5.3  PBEST的基本語法?
        5.4  更詳細的語法介紹?
        5.5  專家系統(tǒng)的外部接口?
        5.6  一個示例Makefile?
        5.7  PBEST語法圖表?
        5.8  帶參數的pbcc調用?
    第6章  入侵檢測規(guī)則語言的設計?
        6.1  概述?
        6.2  N-Code語言的詞法元素
            6.2.1  字符集
            6.2.2  注釋
            6.2.3  運算符
            6.2.4  變量
            6.2.5  保留字
            6.2.6  常量?
        6.3  N-Code語言的數據類型
            6.3.1  概述
            6.3.2  array
            6.3.3  ethmac
            6.3.4  error
            6.3.5  int
            6.3.6  ipv4host
            6.3.7  ipv4net
            6.3.8  list
            6.3.9  recorder
            6.3.10  str
            6.3.11  pattern?
        6.4  N-Code的表達式
            6.4.1  概述
            6.4.2  算術運算符
            6.4.3  賦值運算符
            6.4.4  位運算符
            6.4.5  邏輯運算符
            6.4.6  關系運算符
            6.4.7  其他運算符?
        6.5  N-Code語句
            6.5.1  概述
            6.5.2  assignment
            6.5.3  block
            6.5.4  break
            6.5.5  declare
            6.5.6  expression
            6.5.7  foreach
            6.5.8  If
            6.5.9  off
            6.5.10  on
            6.5.11  record
            6.5.12  requires
            6.5.13  return
            6.5.14  while?
        6.6  N-Code中的函數?
        6.7  N-Code中的函數聲明
            6.7.1  概述
            6.7.2  函數的聲明
            6.7.3  過濾器的聲明
            6.7.4  作用域
            6.7.5  聲明與賦值
            6.7.6  訪問?
        6.8  N-Code數據包變量
            6.8.1  ethernet變量組
            6.8.2  fddi變量組
            6.8.3  icmp變量組
            6.8.4  ip變量組
            6.8.5  llc變量組
            6.8.6  packet變量組
            6.8.7  system變量組
            6.8.8  tcp變量組
            6.8.9  udp變量組?
        6.9  N-Code異常
            6.9.1  長度異常
            6.9.2  校驗和異常
            6.9.3  協(xié)議異常
            6.9.4  內部異常?
第7章  NFR入侵檢測系統(tǒng)實例?
        7.1  IDA系統(tǒng)的基本工作原理
            7.1.1  NFR IDA系統(tǒng)功能概述
            7.1.2  IDA系統(tǒng)環(huán)境構成
            7.1.3  NFR IDA系統(tǒng)架構
            7.1.4  IDA引擎組件
            7.1.5  后端組件
            7.1.6  警報
            7.1.7  查詢
            7.1.8  后臺進程
            7.1.9  分布式環(huán)境中的應用?
        7.2  如何使用IDA系統(tǒng)
            7.2.1  啟動NFR IDA系統(tǒng)
            7.2.2  終止NFR IDA系統(tǒng)
            7.2.3  使用NFR控制臺?
        7.3  查詢數據
            7.3.1  建立簡單查詢
            7.3.2  打印查詢結果
            7.3.3  限制查詢
            7.3.4  保存查詢
            7.3.5  載入查詢
            7.3.6  將數據導出到數據庫
            7.3.7  使用Perl查詢附件（Perl Query Add-on）?
        7.4  查看警告
            7.4.1  概述
            7.4.2  理解警告組件
            7.4.3  使用警告查看器?
        7.5  配置包與后端組?
            7.5.1  啟用包與后端組件
            7.5.2  禁用包與后端組件
            7.5.3  配置磁盤空間
            7.5.4  配置值
            7.5.5  添加包與后端組件
            7.5.6  刪除包或后端組件?
        7.6  配置警告
            7.6.1  理解警告組
            7.6.2  改變警告規(guī)則
            7.6.3  建立新規(guī)則?
        7.7  配置訪問控制
            7.7.1  理解訪問控制
            7.7.2  理解用戶管理
            7.7.3  設置權限
            7.7.4  配置用戶賬戶?
        7.8  ?控IDA性能
            7.8.1  理解系統(tǒng)狀態(tài)報表
            7.8.2  查看系統(tǒng)歷史狀態(tài)
            7.8.3  查看系統(tǒng)狀態(tài)報表?
        7.9  包與后端組件列表
            7.9.1  具有可配置值的后端組件
            7.9.2  郵件
            7.9.3  網絡統(tǒng)計
            7.9.4  網絡服務
            7.9.5  攻擊特征
            7.9.6  拒絕服務（DoS）檢測
            7.9.7  產品特定模塊
            7.9.8  入侵檢測
            7.9.9  掃描器?
        7.10  理解數據類型?
        7.11  術語表?
    第8?  網絡入侵檢測系統(tǒng)的具體實現(xiàn)?
        8.1  概述
            8.1.1  Snort系統(tǒng)概述
            8.1.2  系統(tǒng)程序架構?
        8.2  初始化、主函數和命令行解析
            8.2.1  初始化、主函數和命令行參數分析例程
            8.2.2  Snort使用方法
            8.2.3  PV數據結構
            8.2.4  ParseCmdLine（325）
            8.2.5  SetPktProcessor（548）
            8.2.6  OpenPcap（666）
            8.2.7  主函數main（153）
            8.2.8  ProcessPacket（759）?
        8.3  協(xié)議解析?程分析
            8.3.1  協(xié)議解析器（Decoder）例程
            8.3.2  Packet數據結構（1243）
            8.3.3  DecodeEthPkt（1303）
            8.3.4  DecodePppPkt（1573）
            8.3.5  DecodeTRPkt（1395）
            8.3.6  DecodeNullPkt（1368）
            8.3.7  其他的數據鏈路層協(xié)議解析例程
            8.3.8  DecodeIP（1681）
            8.3.9  DecodeTCP（1800）
            8.3.10  DecodeUDP（1845）
            8.3.11  DecodeICMP（1877）
            8.3.12  DecodeARP（1916）
            8.3.13  DecodeIPV6（1935）、DecodeIPX（1951）
            8.3.14  DecodeTCPOptions（1967）
            8.3.15  DecodeIPOptions（2037）?
        8.4  如何編寫Snort的規(guī)則
            8.4.1  規(guī)則頭
            8.4.2  規(guī)則選項
            8.4.3  預處理器
            8.4.4  輸出模塊
            8.4.5  高級規(guī)則概念?
        8.5  規(guī)則解析例程分析
            8.5.1  規(guī)則（Rule）解析例程
            8.5.2  RuleTreeNode數據結構（2162）
            8.5.3  OptTreeNode數據結構（2142）
            8.5.4  RuleFpList（2129）、RuleOptList（2137）
            8.5.5  ListHead數據結構（2182）
            8.5.6  mSplit（3210）
            8.5.7  ParseRulesFile（2224）
            8.5.8  規(guī)則解析器ParseRule（2287）
            8.5.9  規(guī)則鏈表頭處理例程ProcessHeadNode（2397）
            8.5.10  AddRuleFuncToList（2487）
            8.5.11  SetupRTNFuncList（2523）
            8.5.12  AddrToFunc（2563）和PortToFunc（2604）
            8.5.13  ParsePreprocessor（2681）
            8.5.14  ParseOutputPlugin（2749）
            8.5.15  ParseListFile（2895）
            8.5.16  CreateRule（2939）
            8.5.17  ParseRuleOptions（2966）
            8.5.18  ParseMessage（3110）
            8.5.19  ParseLogto（3147）
            8.5.20  ParseResponse（3178）?
        8.6  檢測引擎例程分析
            8.6.1  檢測引擎（Detection Engine）例程
            8.6.2  Preprocess（3328）
            8.6.3  Detect（3351）
            8.6.4  EvalPacket（3398）
            8.6.5  EvalHeader（3453）
            8.6.6  EvalOpts（3501）
            8.6.7  CheckBidirectional（3534）
            8.6.8  CheckSrcIPEqual（3590）
            8.6.9  CheckSrcIPNotEq（3602）
            8.6.10  CheckDstIPEqual（3631）
            8.6.11  CheckDstIPNotEq（3649）
            8.6.12  CheckSrcPortEqual（3658）
            8.6.13  CheckSrcPortNotEq（3666）
            8.6.14  CheckDstPortEqual（3674）
            8.6.15  CheckDstPortNotEq（3682）
            8.6.16  CheckAddrPort（3698）?
        8.7  插件模塊管理例程分析
            8.7.1  插件（Plugins）管理例程
            8.7.2  KeywordXlateList（3841）
            8.7.3  PreprocessKeywordList（3852）
            8.7.4  OutputKeywordList（3875）
            8.7.5  InitPlugins（3896）
            8.7.6  InitPreprocessors（3917）
            8.7.7  InitOutputPlugins（3929）
            8.7.8  RegisterPlugin（3951）
            8.7.9  SetupIcmpCodeCheck（4081）
            8.7.10  IcmpCodeCheckInit（4095）
            8.7.11  ParseIcmpCode（4118）
            8.7.12  IcmpCodeCheck（4152）
            8.7.13  SetupMinfrag（4169）
            8.7.14  MinfragInit（4173）
            8.7.15  ProcessMinfragArgs（4178）
            8.7.16  CheckMinfrag（4216）
            8.7.17  SetupFastAlert（4253）
            8.7.18  FastAlertInit（4265）
            8.7.19  SpoAlertFast（4275）
            8.7.20  ParseFastAlertArgs（4291）
            8.7.21  FastAlertCleanExitFunc（4308）和FastAlertRestartFunc（4315）?
        8.8  預處理器插件模塊分析
            8.8.1  預處理器（Preprocessor）插件模塊
            8.8.2  PortList數據結構（4323）
            8.8.3  http decode預處理器插件管理例程
            8.8.4  SetPorts（4362）
            8.8.5  預處理器主模塊PreprocUrlDecode（4387）
            8.8.6  一組用于端口掃描（Portscan）預處理器插件的數據結構
            8.8.7  Portscan預處理器插件管理例程
            8.8.8  ParsePortscanArgs（4567）
            8.8.9  Portscan?ignorehosts?處理器插件管理例程?
            8.8.10  CreateServerList（4640）
            8.8.11  預處理器主模塊PortscanPreprocFunction（4673）
            8.8.12  CheckTCPFlags（4784）
            8.8.13  ExpireConnections(4877)
            8.8.14  RemoveConnection（4955）
            8.8.15  NewScan（5041）
            8.8.16  NewConnection(5164)
            8.8.17  AddConnection（5206）
            8.8.18  ClearConnectionInfoFromSource（5272）
            8.8.19  LogScanInfoToSeparateFile（5303）
            8.8.20  AlertIntermediateInfo（5424）
            8.8.21  其他的連接管理例程
            8.8.22  幾個工具例程?
        8.9  規(guī)則選項關鍵字插件模塊分析
            8.9.1  規(guī)則選項關鍵字（Keyword）插件模塊
            8.9.2  參數解析例程ParseDsize（5470）
            8.9.3  dsize插件模塊CheckDsizeGT（5505）、CheckDsizeLT（5515）和CheckDsizeEQ（5495）
            8.9.4  PatternMatchData數據結構（5527）
            8.9.5  content插件管理例程
            8.9.6  參數解析例程ParsePattern（5646）
            8.9.7  content插件處理模塊CheckPatternMatch（5836）
    8.9.8  參數解析例程ParseSession（5914）
    8.9.9  session插件處理模塊LogSessionData（5934）
    8.9.10  DumpSessionData（5953）
    8.9.11  OpenSessionFile（5993）
    8.9.12  參數解析例程ParseIpOptionData（6082）
    8.9.13  ipoptions插件主處理模塊CheckIpOptions（6148）
    8.9.14  resp插件主模塊Respond（6165）
    8.9.15  SendICMP-UNREACH（6203）和SendTCPRST（6237）
    8.9.16  其他的選項關鍵字插件處理模塊?
8.10  輸出插件模塊分析
    8.10.1  輸出（Output）插件模塊
    8.10.2  主處理模塊AlertFast（6778）
    8.10.3  OpenAlertFile（6826）
    8.10.4  ProcessFileOption（6853）
    8.10.5  FastAlertCleanExitFunc（6881）和FastAlertRestartFunc（6888）
    8.10.6  主處理函數AlertFull（6921）
    8.10.7  PrintIPHeader（6971）
    8.10.8  參數解析例程ParseTcpdumpArgs（7108）
    8.10.9  TcpdumpInitLogFile（7129）
    8.10.10  主處理函數LogTcpdump（7154）
    8.10.11  pcap-dump-open（7160）和pcap-dump（7176）
??

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    網絡入侵檢測系統(tǒng)的設計與實現(xiàn) PDF格式下載

---