入侵检测技术教程.doc

《入侵检测技术教程.doc》由会员分享，可在线阅读，更多相关《入侵检测技术教程.doc（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、入侵检测技术教程目录第1章 入侵检测基础知识1.1 网络安全基本概念1.1.1 网络安全的基本观点1.1.2 P2DR模型1.1.3 入侵检测：在P2DR模型中的位置与作用1.2 入侵检测的产生与发展1.2.1 早期研究1.2.2 主机IDS研究1.2.3 网络IDS研究1.2.4 主机和网络入侵检测的集成1.3 入侵检测的基本概念1.3.1 入侵检测的概念1.3.2 入侵检测的作用1.3.3 研究入侵检测的必要性1.4 习题第2章 入侵方法与手段2.1 黑客入侵模型与原理2.1.1 黑客入侵的步骤2.1.2 黑客攻击的原理和方法2.1.3 主要入侵攻击方法简介2.2 漏洞扫描2.2.1 扫描

2、器简介2.2.2 秘密扫描2.2.3 OS Fingerprint技术2.3 口令破解2.3.1 Windows口令文件的格式及安全机制2.3.2 Unix口令文件的格式及安全机制2.3.3 破解原理及典型工具2.4 拒绝服务攻击2.4.1 拒绝服务攻击原理2.4.2 典型拒绝服务攻击手段2.5 分布式拒绝服务攻击2.6 缓冲区溢出攻击2.6.1 堆栈的基本原理2.6.2 一个简单的例子2.6.3 高级技巧2.7 格式化字符串攻击2.7.1 与缓冲区溢出攻击的比较2.7.2 格式化函数2.7.3 漏洞产生的原因2.7.4 攻击方法2.8 习题第3章 入侵检测系统3.1 入侵检测系统的基本模型3

3、.1.1 通用入侵检测模型3.1.2 IDM模型3.1.3 SNMPIDSM模型3.2 入侵检测系统的工作模式3.3 入侵检测系统的分类3.3.1 按照信息源的分类3.3.2 按照检测方法的分类3.3.3 其他的分类标准3.4 入侵检测系统的部署3.5 习题第4章 入侵检测流程4.1 入侵检测的过程4.1.1 信息收集4.1.2 信息分析4.1.3 告警与响应 4.2 入侵检测系统的数据源4.2.1 基于主机的数据源4.2.2 基于网络的数据源4.2.3 应用程序日志文件4.2.4 其他入侵检测系统的报警信息4.3 入侵分析的概念4.3.1 入侵分析的定义4.3.2 入侵分析的目的4.3.3

4、入侵分析需要考虑的因素4.4 入侵分析的模型4.4.1 构建分析器4.4.2 对现场数据进行分析4.4.3 反馈和提炼4.5 入侵分析的方法4.5.1 误用检测4.5.2 异常检测4.5.3 可代替的检测方案4.6 告警与响应4.6.1 对响应的需求4.6.2 响应的类型4.6.3 调查期间掩盖跟踪4.6.4 按策略配置响应4.7 入侵追踪4.7.1 通信过程的记录设定4.7.2 查找记录4.7.3 地理位置的追踪4.7.4 来电显示4.7.5 使用IP地址和域名4.7.6 Web欺骗的攻击和策略4.8 习题第5章 基于主机的入侵检测技术5.1 审计数据的获取5.1.1 审计数据类型与来源5.

5、1.2 审计数据的预处理5.1.3 审计数据获取模块的设计5.2 基于统计模型的入侵检测技术5.3 基于专家系统的入侵检测技术5.4 基于状态转移分析的入侵检测技术5.5 基于完整性检查的入侵检测技术5.6 系统配置分析技术5.7 习题第6章 基于网络的入侵检测技术6.1 分层协议模型与TCP/IP协议6.1.1 TCP/IP协议模型6.1.2 TCP/IP协议报文格式6.2 网络数据包的截获6.2.1 以太网环境下的数据截获6.2.2 交换网络环境下的数据截获6.3 检测引擎的设计6.3.1 嵌入式规则检测引擎设计6.3.2 可编程的检测引擎设计6.3.3 特征分析与协议分析技术6.4 BP

6、F过滤机制分析6.4.1 BPF模型概述6.4.2 BPF过滤虚拟机设计6.5 基于Libpcap库的通用数据捕获技术6.5.1 Libpcap库函数介绍6.5.2 Windows平台下的Winpcap库 6.6 习题第7章 入侵检测系统的标准与评估7.1 入侵检测的标准化工作7.1.1 CIDF的标准化工作7.1.2 IDWG的标准化7.1.3 标准化工作总结7.2 影响入侵检测系统性能的参数7.3 评价检测算法性能的测度7.4 评价入侵检测系统性能的标准7.5 网络入侵检测系统测试评估7.6 测试评估内容7.6.1 功能性测试7.6.2 性能测试7.6.3 产品可用性测试7.7 测试环境和

7、测试软件7.7.1 测试环境7.7.2 测试软件7.8 用户评估标准7.9 入侵检测评估现状7.9.1 离线评估方案7.9.2 实时评估方案7.10 习题第8章 主要入侵检测系统简介8.1 国外主要入侵检测系统简介8.1.1 RealSecure8.1.2 Cisco公司的Cisco Secure IDS8.1.3 AAFID8.2 国内主要入侵检测系统简介8.2.1 “天眼”网络入侵检测系统8.2.2 “天阗”黑客入侵检测系统8.2.3 “冰之眼”网络入侵检测系统8.2.4 ERCIST-IDS网络入侵检测系统8.3 研究型入侵检测系统简介8.4 入侵检测系统的选购8.5 习题第9章 Sno

8、rt分析9.1 Snort的安装与配置9.1.1 Snort简介9.1.2 底层库的安装与配置9.1.3 Snort的安装9.1.4 Snort的配置9.1.5 其他应用支撑的安装与配置9.2 Snort的使用9.2.1 Libpcap的命令行9.2.2 Snort的命令行9.2.3 高性能的配置方式9.3 Snort的规则9.3.1 规则的语法9.3.2 常用攻击手段对应规则举例9.3.3 规则的设计9.4 Snort总体结构分析9.4.1 Snort的模块结构9.4.2 插件机制9.4.3 libpcap应用的流程9.4.4 Snort的总体流程9.4.5 入侵检测流程9.5 习题第10章

9、 入侵检测的先进技术10.1 采用先进检测算法的必要性10.2 神经网络与入侵检测技术10.3 数据挖掘与入侵检测技术10.4 数据融合与入侵检测技术10.5 计算机免疫学与入侵检测技术10.6 进化计算与入侵检测技术10.7 分布式的入侵检测架构10.8 IPS技术10.9 习题第11章 入侵检测的发展趋势11.1 入侵检测技术现状分析11.2 目前的技术趋势11.2.1 大规模网络的问题11.2.2 网络结构的变化11.2.3 网络复杂化的思考11.2.4 高速网络的挑战11.2.5 无线网络的进步11.2.6 分布式计算11.2.7 入侵复杂化11.2.8 多种分析方法并存的局面11.3 入侵检测的前景11.3.1 入侵检测的能力11.3.2 高度的分布式结构11.3.3 广泛的信息源11.3.4 硬件防护11.3.5 高效的安全服务11.4 习题