入侵偵測技術(第2版)（簡體書）

本書全面、系統地介紹了入侵檢測的基本概念、基本原理和檢測流程，較為詳細地講述了基於主機的入侵檢測技術、基於網絡的入侵檢測技術、基於存儲的入侵檢測技術和基於Hadoop 海量日誌的入侵檢測技術，在此基礎上介紹了入侵檢測系統的標準與評估，並以開源軟件Snort 為例對入侵檢測的應用進行了分析。本書語言通俗，層次分明， 理論與實例結合，可以作為高等學校計算機相關專業或信息安全專業本科生高年級的選修課教材，對從事信息和網絡安全方面的管理人員和技術人員也有參考價值。

第1章　入侵偵測概述　1
1.1　網路安全基本概念　1
1.1.1　網路安全的實質　1
1.1.2　網路系統的安全對策與入侵偵測　2
1.1.3　網路安全的P2DR模型與入侵偵測　3
1.2　入侵偵測的產生與發展　4
1.2.1　早期研究　4
1.2.2　主機IDS研究　5
1.2.3　網路IDS研究　6
1.2.4　主機和網路IDS的集成　7
1.3　入侵偵測的基本概念　8
1.3.1　入侵偵測的概念　9
1.3.2　入侵偵測的作用　9
1.3.3　研究入侵偵測的必要性　10
1.4　入侵偵測面臨的問題　11
1.5　入侵偵測技術的發展趨勢　12
習　題　13
第2章　入侵方法與手段　14
2.1　網路入侵　14
2.1.1　什麼是網路入侵　14
2.1.2　網路入侵的一般流程　14
2.1.3　典型網路入侵方法分析　16
2.2　漏洞掃描　20
2.2.1　掃描器簡介　20
2.2.2　秘密掃描　21
2.2.3　OS Fingerprint技術　22
2.3　拒絕服務攻擊　23
2.3.1　拒絕服務攻擊的原理　24
2.3.2　典型拒絕服務攻擊的手段　24
2.4　分散式拒絕服務攻擊　25
2.5　緩衝區溢位攻擊　27
2.5.1　堆疊的基本原理　27
2.5.2　一個簡單的例子　28
2.6　格式化字串攻擊　31
2.7　跨站腳本攻擊　31
2.8　SQL Injection攻擊　32
習　題　34
第3章　入侵偵測系統　35
3.1　入侵偵測系統的基本模型　35
3.1.1　通用入侵偵測模型（Denning模型）　35
3.1.2　層次化入侵偵測模型（IDM）　37
3.1.3　管理式入侵偵測模型（SNMP-IDSM）　39
3.2　入侵偵測系統的工作模式　40
3.3　入侵偵測系統的分類　41
3.3.1　按資料來源分類　41
3.3.2　按分析方法分類　42
3.3.3　按檢測方式分類　42
3.3.4　按檢測結果分類　42
3.3.5　按回應方式分類　43
3.3.6　按各模組運行的分佈方式分類　43
3.4　入侵偵測系統的構架　43
3.4.1　管理者　44
3.4.2　代理　44
3.5　入侵偵測系統的部署　45
3.5.1　網路中沒有部署防火牆時　45
3.5.2　網路中部署防火牆時　45
習　題　46
第4章　入侵偵測流程　48
4.1　入侵偵測的過程　48
4.1.1　資訊收集　48
4.1.2　資訊分析　48
4.1.3　告警與回應　49
4.2　入侵偵測系統的資料來源　49
4.2.1　基於主機的資料來源　49
4.2.2　基於網路的資料來源　51
4.2.3　應用程式日誌檔　52
4.2.4　其他入侵偵測系統的報警資訊　53
4.2.5　其他網路設備和安全產品的資訊　53
4.3　入侵分析的概念　53
4.3.1　入侵分析的定義　54
4.3.2　入侵分析的目的　54
4.3.3　入侵分析應考慮的因素　54
4.4　入侵分析的模型　55
4.4.1　構建分析器　55
4.4.2　分析資料　56
4.4.3　回饋和更新　57
4.5　入侵偵測的分析方法　58
4.5.1　誤用檢測　58
4.5.2　異常檢測　61
4.5.3　其他檢測方法　68
4.6　告警與回應　71
4.6.1　對回應的需求　71
4.6.2　回應的類型　73
4.6.3　按策略配置回應　76
4.6.4　聯動回應機制　77
習　題　78
第5章　基於主機的入侵偵測技術　79
5.1　審計資料的獲取　79
5.1.1　系統日誌與審計資訊　80
5.1.2　資料獲取系統結構設計　81
5.2　審計數據的預處理　82
5.3　基於統計模型的入侵偵測技術　86
5.4　基於專家系統的入侵偵測技術　87
5.5　基於狀態轉移分析的入侵偵測技術　91
5.6　基於完整性檢查的入侵偵測技術　91
5.7　基於智慧體的入侵偵測技術　93
5.8　系統組態分析技術　96
5.9　檢測實例分析　96
習　題　100
第6章　基於網路的入侵偵測技術　101
6.1　分層協定模型與TCP/IP協定簇　101
6.1.1　TCP/IP協定模型　101
6.1.2　TCP/IP報文格式　102
6.2　網路資料包的捕獲　106
6.2.1　局域網和網路設備的工作原理　106
6.2.2　Sniffer介紹　107
6.2.3　共用和切換式網路環境下的資料捕獲　108
6.3　包捕獲機制與BPF模型　109
6.3.1　包捕獲機制　109
6.3.2　BPF模型　110
6.4　基於Libpcap庫的資料捕獲技術　111
6.4.1　Libpcap介紹　111
6.4.2　Windows平臺下的Winpcap庫　114
6.5　檢測引擎的設計　118
6.5.1　模式匹配技術　119
6.5.2　協議分析技術　119
6.6　網路入侵特徵實例分析　120
6.6.1　特徵（Signature）的基本概念　120
6.6.2　典型特徵——報頭值　121
6.6.3　候選特徵　121
6.6.4　最佳特徵　122
6.6.5　通用特徵　122
6.6.6　報頭值關鍵元素　123
6.7　檢測實例分析　123
6.7.1　數據包捕獲　124
6.7.2　埠掃描的檢測　124
6.7.3　拒絕服務攻擊的檢測　125
習　題　125
第7章　基於存儲的入侵偵測技術　126
7.1　主動存放裝置　126
7.2　塊存放裝置的資料存取過程　128
7.3　存儲級入侵偵測研究現狀　131
7.4　存儲級入侵偵測框架　132
7.4.1　資料獲取　133
7.4.2　資料特徵分析　135
7.4.3　數據預處理和規約　135
7.5　基於資料採擷的攻擊模式自動生成　136
7.5.1　基於決策樹分類的攻擊模式自動生成　137
7.5.2　決策樹分類生成演算法　140
7.6　存儲級異常檢測方法　143
7.6.1　D-S證據理論　143
7.6.2　基於D-S證據理論的異常檢測特徵融合演算法　145
7.7　IDS間基於協作的聯合防禦　149
7.7.1　預定義　149
7.7.2　相關工作介紹　149
7.7.3　典型協作模式分析　150
7.7.4　協作方式　153
習　題　154
第8章　基於Hadoop海量日誌的入侵偵測技術　156
8.1　Hadoop相關技術　157
8.1.1　Hadoop簡介　157
8.1.2　HDFS檔案系統　157
8.1.3　MapReduce平行計算框架　157
8.1.4　Mahout簡介　158
8.1.5　Hive簡介　159
8.2　Web日誌　159
8.3　基於Hadoop海量日誌的入侵偵測演算法　159
8.3.1　K-Means演算法基本原理　160
8.3.2　改進的並行化K-Means演算法CPK-Means　162
8.3.3　FP-Growth演算法基本原理　164
8.3.4　改進的並行化FP-Growth演算法LBPEP　165
8.4　基於Hadoop海量日誌的入侵偵測系統的實現　173
8.4.1　系統實現框架　174
8.4.2　資料收集　174
8.4.3　數據預處理　175
8.4.4　Hadoop平臺下入侵規則的挖掘　178
習　題　186
第9章　入侵偵測系統的標準與評估　187
9.1　入侵偵測的標準化工作　187
9.1.1　CIDF　187
9.1.2　IDMEF　192
9.1.3　標準化工作總結　200
9.2　入侵偵測系統的性能指標　200
9.2.1　評價入侵偵測系統性能的標準　200
9.2.2　影響入侵偵測系統性能的參數　200
9.2.3　評價檢測演算法性能的測度　202
9.3　網路入侵偵測系統測試評估　204
9.4　測試評估內容　205
9.4.1　功能性測試　205
9.4.2　性能測試　206
9.4.3　產品可用性測試　206
9.5　測試環境和測試軟體　207
9.5.1　測試環境　207
9.5.2　測試軟體　208
9.6　用戶評估標準　209
9.7　入侵偵測評估方案　211
9.7.1　離線評估方案　211
9.7.2　即時評估方案　215
習　題　216
附錄　Snort的安裝與使用　218
附1　Snort簡介　218
附2　使用Snort構建入侵偵測系統實例　226
參考文獻