入侵检测2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

入侵检测PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 入侵检测系统的历史1

1．1 审计：入侵检测的舞台1

1．1．1 金融审计和安全审计的区别2

1．1．2 作为管理工具的审计2

1．1．3 EDP审计和早期的计算机安全3

1．1．4 计算机安全和审计的军事模型3

1．2 入侵检测的诞生4

1．2．1 Anderson和精简审计问题4

1．2．2 Denning,Neumann和IDES5

1．2．3 80年代的入侵检测系统热6

1．2．4 基于主机和网络入侵检测的集成10

1．2．5 商业产品的出现11

1．3 本章小结13

第2章 概念和定义15

2．1 入侵检测简介15

2．2 安全概念16

2．2．1 计算机和网络安全的文化视角16

2．2．2 计算机安全的实际定义16

2．2．3 计算机安全的形式定义16

2．2．4 信任17

2．2．5 威胁17

2．2．6 脆弱性18

2．2．7 安全策略18

2．2．8 系统安全基础设施中的其它要素19

2．2．9 安全问题是怎样发生的21

2．3 入侵检测概念22

2．3．1 体系结构22

2．3．2 监测策略22

2．3．3 分析类型23

2．3．4 时间性23

2．3．5 检测目标24

2．3．6 控制问题25

2．3．7 确定入侵检测的策略26

2．4 本章小结26

第3章 信息源27

3．1 本章的组织27

3．1．1 哪个信息源是正确的信息源27

3．1．2 一直存在的问题28

3．2 基于主机的信息源28

3．2．1 操作系统审计踪迹28

3．2．2 构造审计踪迹的方法29

3．2．3 商业审计系统的问题29

3．2．4 操作系统审计踪迹的正反面29

3．2．5 审计踪迹的内容30

3．2．6 审计精简34

3．2．7 系统日志35

3．2．8 应用信息37

3．2．9 基于目标的监测40

3．3 基于网络的信息源41

3．3．1 为什么采用网络源41

3．3．2 网络包42

3．3．3 TCP/IP网络42

3．3．4 包俘获44

3．3．5 网络设备45

3．3．6 带外(Out-of-Band)信息源46

3．4 来自其它安全产品的信息46

3．4．1 一个安全产品数据源的例子46

3．4．2 分析之前的信息组织47

3．4．3 作为数据源的其它系统部分48

3．5 本章小结48

第4章 分析方案49

4．1 入侵的思考49

4．1．1 定义分析49

4．1．2 目标49

4．1．3 支持目标50

4．1．4 检测入侵51

4．2 一个入侵分析模型52

4．2．1 构建分析器53

4．2．2 执行分析55

4．2．3 反馈和提炼56

4．3 方法56

4．3．1 误用检测57

4．3．2 异常检测62

4．3．3 可代替的检测方案68

4．4 本章小结72

第5章 响应73

5．1 对响应的需求73

5．1．1 操作环境74

5．1．2 系统目标和优先权75

5．1．3 规则的或法令的需求75

5．1．4 老专业技术传授给用户75

5．2 响应的类型76

5．2．1 主动响应76

5．2．2 被动响应78

5．3 调查期间掩盖跟踪79

5．3．1 对响应部件自动防故障装置的考虑79

5．3．2 处理错误告警79

5．3．3 存档和报告80

5．4 按策略配置响应80

5．4．1 立即或紧急行动80

5．4．2 适时行动81

5．4．3 本地的长期行动81

5．4．4 全局的长期行动81

5．5 本章小结82

第6章 脆弱性分析：一个特殊范例83

6．1 脆弱性分析83

6．1．1 脆弱性分析的基本原理84

6．1．2 COPS——一个脆弱性分析的范例84

6．1．3 问题与考虑87

6．2 证书式(Credentialed)方法87

6．2．1 证书式方法的定义88

6．2．2 为证书式方法确定主题88

6．2．3 证书式方法的策略和优化88

6．3 非证书式(noncredentialed)方法89

6．3．1 非证书式(noncredentialed)方法的定义90

6．3．2 非证书式脆弱性分析的方法90

6．3．3 使用攻击程序的测试90

6．3．4 推断方法90

6．3．5 一个历史的注记91

6．3．6 SATAN的结构92

6．3．7 自动防故障特性94

6．3．8 与SATAN有关的问题94

6．4 口令破解94

6．4．1 实施操作的概念与原理94

6．4．2 作为脆弱性分析的口令破解器95

6．5 脆弱性分析的优点与缺点95

6．5．1 证书式分析技术的优点95

6．5．2 非证书式分析技术的优点96

6．5．3 不利因素96

6．6 本章小结96

第7章 技术性问题99

7．1 可扩展性99

7．1．1 基于时间上的扩展99

7．1．2 基于空间上的扩展100

7．1．3 例子研究——GrIDS100

7．2 可管理性101

7．2．1 网络管理101

7．2．2 传感器的控制102

7．2．3 对调查研究的支持102

7．2．4 性能装载103

7．3 可靠性103

7．3．1 信息来源的可靠性103

7．3．2 分析引擎的可靠性104

7．3．3 响应装置的可靠性104

7．3．4 通信链接的可靠性105

7．4 分析问题106

7．4．1 基于人工智能的检测器的训练集106

7．4．2 异常事件检测中的错误肯定和错误否定106

7．4．3 趋势分析106

7．4．4 策略的编写106

7．5 互操作性108

7．5．1 CIDF/CRISIS的努力108

7．5．2 审计踪迹标准109

7．6 集成性110

7．7 用户接口110

7．8 本章小结111

第8章 认识现实世界的挑战113

8．1 安全性问题的根本113

8．1．1 设计和开发中的问题114

8．1．2 管理的问题116

8．1．3 信任的问题118

8．2 在一位黑客的眼中120

8．2．1 确定攻击目标121

8．2．2 勘探性连接121

8．2．3 获取访问权限122

8．2．4 实施攻击122

8．3 安全和传统工程125

8．3．1 传统工程125

8．3．2 安全工程125

8．3．3 整理的规则125

8．4 入侵检测系统的规则126

8．5 本章小结127

第9章 法律问题129

9．1 对付讨厌的法律130

9．1．1 法律系统130

9．1．2 立法131

9．1．3 民事诉讼/民事侵权法律侵权法律132

9．1．4 在计算机网络中运用法律的复杂性133

9．2 证据规则134

9．2．1 证据的种类134

9．2．2 证据的可用性135

9．2．3 限制和例外135

9．2．4 处理证据的规定136

9．2．5 适用于系统记录和审计136

9．3 与监视行为有关的法律137

9．3．1 当一个系统管理员监视一个系统时137

9．3．2 当法律执行代理监视一个系统时137

9．3．3 监视通知单138

9．4 我们从实例中学到了什么138

9．4．1 Mitnick案例138

9．4．2 罗马实验室事件140

9．4．3 教训142

9．5 本章小结142

第10章 作为用户143

10．1 确定你的要求143

10．1．1 你的系统环境143

10．1．2 目标和结果143

10．1．3 回顾你的策略144

10．1．4 要求和限制144

10．2 了解产品145

10．2．1 了解问题空间145

10．2．2 产品是否可升级145

10．2．3 如何进行测试146

10．2．4 本产品是一个工具还是一种应用146

10．2．5 响亮口号和聪明才智147

10．2．6 推测产品的寿命147

10．2．7 培训支持148

10．2．8 产品目标的先后次序148

10．2．9 产品差异148

10．3 使策略与配置匹配148

10．3．1 策略转变为规则148

10．3．2 真实世界的主体与客体149

10．3．3 监视策略与安全策略149

10．3．4 测试声明150

10．4 显示时间、事故处理和调查150

10．4．1 侦察员的荣誉150

10．4．2 最佳操作150

10．4．3 当气球升上天空151

10．4．4 法律执行151

10．4．5 期望152

10．4．6 破坏控制153

10．4．7 应付政治迫害153

10．5 本章小结153

第11章 作为策略专家155

11．1 建立安全方案155

11．1．1 搜集信息155

11．1．2 组织要实现什么目标156

11．1．3 安全怎样适应全部的商业目标156

11．1．4 信息安全应该嵌入到企业的风险管理程序的什么地方156

11．1．5 保护系统我们需要做些什么157

11．1．6 寻找盟友158

11．1．7 克服管理上的阻力159

11．2 定义IDS需求159

11．2．1 再谈安全目标159

11．2．2 威胁是什么160

11．2．3 我们的局限是什么160

11．2．4 关于引进入侵检测和系统监测的几点考虑161

11．3 天花乱坠的广告宣传与实际的解决方案161

11．3．1 什么样的产品最适合你161

11．3．2 安装这一产品将有多么痛苦162

11．3．3 运行这个产品将有多么痛苦162

11．3．4 员工的期望是什么162

11．3．5 谁是这个产品的梦幻用户163

11．4 在原有的安全系统环境中集成新的安全特性163

11．4．1 评估现存系统163

11．4．2 平衡安全投资163

11．4．3 处理“湿件”(Wetware)——系统中与人相关的因素164

11．4．4 处理冲突165

11．5 处理企业变动的影响165

11．5．1 合并和获取166

11．5．2 战略伙伴166

11．5．3 全球化166

11．5．4 扩张与缩减166

11．5．5 从私有到公开167

11．6 本章小结167

第12章 作为设计者考虑169

12．1 需求169

12．1．1 好的和极好的入侵检测170

12．1．2 达到安全的不同途径171

12．1．3 策略173

12．2 安全设计原则173

12．2．1 机制的经济性174

12．2．2 可靠缺省174

12．2．3 完全调节174

12．2．4 开放设计175

12．2．5 特权分割175

12．2．6 最小权限175

12．2．7 最小通用机制175

12．2．8 心理上可接受性176

12．3 在设计过程中生存下来176

12．3．1 建立优先级176

12．3．2 关于威胁者177

12．3．3 打破和维持平衡177

12．4 产品定位178

12．4．1 衡量成功178

12．4．2 虚假的起点178

12．4．3 测试方法179

12．4．4 测试网络入侵检测的性能179

12．5 来自前辈们的建议180

12．5．1 使用好的工程实现180

12．5．2 安全的传感器180

12．5．3 注意正确地重新组装180

12．5．4 不要低估硬件需求181

12．5．5 不要期望可信的统计数据源181

12．5．6 考虑对策181

12．5．7 不支持辨论181

12．5．8 支持现代安全特点182

12．6 本章小结182

第13章 将来的需要183

13．1 将来的社会趋势183

13．1．1 地球村和全球市场183

13．1．2 隐私是一个经济驱动力184

13．1．3 不同的战争184

13．1．4 主权184

13．2 将来的技术趋势185

13．2．1 网络结构的变化185

13．2．2 开放源码软件185

13．2．3 无线网络的进步185

13．2．4 分布式计算186

13．3 未来的安全趋势186

13．3．1 管理186

13．3．2 保护隐私安全187

13．3．3 信息质量与访问控制187

13．3．4 加密、加密，到处都加密188

13．3．5 边界侵蚀188

13．3．6 可靠传输与信任管理188

13．4 入侵检测的前景188

13．4．1 能力189

13．4．2 高度分布式结构189

13．4．3 安全管理的911190

13．4．4 普遍信息源190

13．4．5 硬件防护190

13．4．6 重点在于服务，而不在于产品190

13．5 本章小结191

术语表193