内容简介
这是国内第一本全面覆盖网络入侵检测系统从设计基础到源码实现的技术书籍。本书所介绍的知识清晰全面,从入侵检测的概念、网络数据流的捕获技术开始,到入侵检测的不同方法,如基于专家系统的入侵检测、基于统计分析的入侵检测等等,是对系统具体源代码实现内核的深入剖析,可使用户对于入侵检测技术有一个比较全面的理解。读者如果想要学习入侵检测技术,可以从阅读本书中介绍的知识开始。
目录
目 录 第1章 概述 1.1 入侵检测系统的组成部分 1.2 滥用入侵检测系统 1.3 非规则入侵检测系统 1.4 两种分析技术的比较 1.5 入侵检测系统的层次体系 1.6 进一步发展的若干方向 1.6.1 宽带高速网络的实时入侵检测技术 1.6.2 大规模分布式入侵检测技术 1.6.3 入侵检测的数据融合技术 1.6.4 检测算法的应用 1.7 面临的挑战 第2章 网络编程基础知识 2.1 分层协议模型 2.2 开放系统互联参考模型OSI/ISO 2.3 TCP/IP参考模型 2.4 UNIX网络编程技术概述 2.5 TCP/IP协议 2.5.1 网络接口层协议 2.5.2 ARP协议和RARP协议 2.5.3 IP协议 2.5.4 ICMP协议 2.5.5 TCP协议 2.5.6 UDP协议 第3章 网络数据包截获机制分析 3.1 基本的网络数据包截获机制 3.2 的数据包截获/过滤机制 3.2.1 概述 3.2.2 BPF的工作原理 3.2.3 BPF虚拟机的实现 3.2.4 BPF程序源代码 3.3 数据包截获的Libpcap库函数接口 3.3.1 概述 3.3.2 Libpcap库函数接口 3.3.3 采用Libpcap库的数据包截获实例 第4章 入侵检测引擎的设计 4.1 IDES系统概述 4.1.1 什么是IDES系统 4.1.2 IDES的系统设计 4.1.3 IDES的审计记录格式 4.2 用于入侵检测的统计分析测量值 4.2.1 用户测量值 4.2.2 目标系统 4.2.3 远程主机 4.3 基于统计分析的分析算法 4.3.1 IDES分数值(score) 4.3.2 分数值T2如何从单个测量值获得 4.3.3 单个测量值类型 4.3.4 S与Q联系的启发式描述 4.3.5 从Q计算S的算法 4.3.6 计算Q的频率分布 4.3.7 计算活动强度测量值的Q值 4.3.8 计算审计记录分布测量值的Q值 4.3.9 计算类别测量值的统计值Q 4.3.10 计算序数测量值的Q值 4.4 相关的数据结构及函数接口 4.4.1 数据结构 4.4.2 函数接口 第5章 专家系统的应用 5.1 概述 5.2 由一个简单实例开始 5.3 PBEST的基本语法 5.4 更详细的语法介绍 5.5 专家系统的外部接口 5.6 一个示例Makefile 5.7 PBEST语法图表 5.8 带参数的pbcc调用 第6章 入侵检测规则语言的设计 6.1 概述 6.2 N-Code语言的词法元素 6.2.1 字符集 6.2.2 注释 6.2.3 运算符 6.2.4 变量 6.2.5 保留字 6.2.6 常量 6.3 N-Code语言的数据类型 6.3.1 概述 6.3.2 array 6.3.3 ethmac 6.3.4 error 6.3.5 int 6.3.6 ipv4host 6.3.7 ipv4net 6.3.8 list 6.3.9 recorder 6.3.10 str 6.3.11 pattern
