系统安全与入侵检测

　　信息安全是指对整个信息系统的保护和防御，包括对信息的保护、检测、反应和恢复能力等。入侵检测作为信息安全保障中的一个重要环节，它很好地弥补了访问控制、身份认证等传统机制所不能解决的问题，是网络安全中极为重要的一个研究课题。本书重点介绍了入侵检测的方法、响应及攻击的手段。此外，还介绍了如何用数据挖掘的方法分析安全审计数据。最后简单介绍国外在入侵检测方面的有关产品。

暂缺《系统安全与入侵检测》作者简介

第1章 系统安全概要</font><br></font><br>1.1 信息安全概述</font><br>1.1.1 信息安全的内容</font><br>1.1.2 工程的定义</font><br>1.2 基本概念</font><br>1.2.1 信任</font><br>1.2.2 威胁</font><br>1.2.3 系统的脆弱性</font><br>1.2.4 安全策略</font><br>1.3 已有的安全组件</font><br>1.3.1 访问控制</font><br>1.3.2 鉴别与认证</font><br>1.3.3 加密</font><br>1.3.4 现有产品</font><br>1.4 安全问题的产生</font><br>1.4.1 系统设计及开发</font><br>1.4.2 系统管理(包括安全意识)</font><br>1.4.3 信任关系</font><br>1.5 安全的相对性和协作性</font><br>1.6 小结</font><br></font><br>第2章 入侵检测简介</font><br></font><br>2.1 传统安全模型的局限性</font><br>2.2 网络安全体系结构</font><br>2.3 入侵检测的产生</font><br>2.3.1 安全审计</font><br>2.3.2 入侵检测系统的诞生</font><br>2.3.3 入侵检测模型(IDES)的提出</font><br>2.4 入侵检测系统(IDS)术语</font><br>2.5 基本概念</font><br>2.5.1 系统结构--检测系统与被检测系统的分离</font><br>2.5.2 监视策略</font><br>2.5.3 检测方法的类型</font><br>2.5.4 检测的定时</font><br>2.5.5 检测的目标</font><br>2.6 功能模块</font><br>2.7 系统要求</font><br>2.7.1 可扩展性</font><br>2.7.2 监测器的管理</font><br>2.7.3 对深入调查的支持</font><br>2.7.4 系统负荷</font><br>2.7.5 漏报和误报</font><br>2.7.6 用户的参与程度</font><br>2.7.7 易用性</font><br></font><br>第3章 数据源</font><br></font><br>3.1 入侵检测系统原理及构成</font><br>3.2 数据源的选择</font><br>3.2.1 正确的数据源</font><br>3.2.2 相关问题</font><br>3.3 基于主机的数据源</font><br>3.3.1 操作系统审计记录</font><br>3.3.2 系统日志</font><br>3.3.3 应用日志信息</font><br>3.3.4 基于目标的数据源</font><br>3.4 基于网络的数据源</font><br>3.4.1 网络数据的获取</font><br>3.4.2 网络数据的解析</font><br>3.4.3 抓包工具</font><br>3.4.4 其他网络设备</font><br>3.5 其他数据来源</font><br>3.5.1 带外数据源</font><br>3.5.2 其他安全产品</font><br>3.5.3 信息综合</font><br>3.5.4 其他系统组件</font><br>3.6 小结</font><br></font><br>第4章 数据分析</font><br></font><br>4.1 入侵分析</font><br>4.1.1 分析的定义</font><br>4.1.2 分析的目标</font><br>4.1.3 检测入侵</font><br>4.2 入侵分析模型</font><br>4.2.1 构建分析引擎</font><br>4.2.2 分析的执行</font><br>4.2.3 反馈和精化</font><br>4.3 分析技术</font><br>4.3.1 误用检测</font><br>4.3.2 异常检测</font><br>4.3.3 其他检测技术</font><br>4.4 小结</font><br></font><br>第5章 数据挖掘</font><br></font><br>5.1 基本概念</font><br>5.2 审计数据源的选择</font><br>5.2.1 网络数据源</font><br>5.2.2 主机数据源</font><br>5.2.3 数据来源</font><br>5.2.4 数据源质量分析</font><br>5.3 国外研究现状</font><br>5.4 数据挖掘算法简介</font><br>5.4.1 关联分析算法</font><br>5.4.2 序列分析算法</font><br>5.4.3 分类算法</font><br>5.4.4 算法的扩展</font><br>5.5 系统原理与模块结构</font><br>5.5.1 网络数据挖掘模块</font><br>5.5.2 主机系统调用挖掘模块</font><br>5.5.3 其他模块</font><br>5.6 网络数据挖掘</font><br>5.6.1 数据预处理及特征属性选取</font><br>5.6.2 数据挖掘</font><br>5.6.3 挖掘结果分析</font><br>5.7 主机系统调用数据挖掘</font><br>5.7.1 马尔可夫链相关分析</font><br>5.7.2 滑动窗口序列分析</font><br>5.7.3 序列预测</font><br>5.8 小结</font><br></font><br>第6章 响应</font><br></font><br>6.1 响应需求</font><br>6.1.1 操作环境</font><br>6.1.2 系统目标和优先权</font><br>6.1.3 法律法规及安全准则</font><br>6.1.4 向用户转达专家意见</font><br>6.2 响应的类型</font><br>6.2.1 主动响应</font><br>6.2.2 被动响应</font><br>6.3 入侵追踪</font><br>6.4 其他响应性能</font><br>6.4.1 隐蔽调查过程</font><br>6.4.2 响应组件的自动防故障装置</font><br>6.4.3 处理错误警报</font><br>6.4.4 存档和报告</font><br>6.5 响应与安全策略相协调</font><br>6.5.1 即时措施</font><br>6.5.2 及时措施</font><br>6.5.3 本地长期措施</font><br>6.5.4 全局长期措施</font><br>6.6 小结</font><br></font><br>第7章 攻击技术分析</font><br></font><br>7.1 漏洞扫描</font><br>7.1.1 扫描器简介</font><br>7. 1.2 秘密扫描</font><br>7.1.3 OS Fingerprint技术</font><br>7. 1.4 检测扫描</font><br>7.2 口令破解</font><br>7. 2.1 Unix口令文件的格式及安全机制</font><br>7.2.2 构造一个Crack程序</font><br>7.3 拒绝服务攻击</font><br>7.3.1 邮件炸弹</font><br>7.3.2 Flood</font><br>7.3.3 Smurf</font><br>7.3. 4 OOB Nuke</font><br>7.3.5 Teardrop</font><br>7.3.6 Land</font><br>7.3.7 Kiss of Death</font><br>7.4 分布式拒绝服务攻击</font><br>7.5 系统后门</font><br>7.6 缓冲区溢出</font><br>7.6.1 堆栈的基本原理</font><br>7.6.2 一个简单的例子</font><br>7.6.3 高级技巧</font><br>7.6.4 小结</font><br>7.7 格式化字符串攻击</font><br>7.7.1 与缓冲区溢出攻击的比较</font><br>7.7.2　格式化函数</font><br>7.7.3 漏洞产生的原因</font><br>7.7.4 攻击方法</font><br>7.7.5 小结</font><br>7.8　基于信号的攻击</font><br>7.8.1 概述</font><br>7.8.2 信号处理程序的重入</font><br>7.8.3 深入free()</font><br>7.8.4 一个简单的例子</font><br>7.8.5 Sendmail的一个信号处理漏洞</font><br>7.8.6 远程攻击</font><br>7.8.7　解决的办法</font><br>7.9　Web攻击方法</font><br>7.9.1 CGI安全</font><br>7.9.2　IIS的安全性</font><br>7.9.3 PC Week测试</font><br>7.10 攻击者如何消除证据</font><br>7.10.1 了解syslog</font><br>7.10.2 日志文件</font><br>7.10. 3　进程审计文件</font><br>7.10. 4 Tripwire</font><br>7.10.5 TCP Wrapper</font><br>7.10，6 修改日志</font><br>7.11 计算机病毒</font><br>7.11. 1 计算机病毒的普遍问题</font><br>7.11.2 "恶意程序代码"的定义</font><br>7.11. 3 "计算机病毒"的类型</font><br>7.11. 4 病毒隐藏技术</font><br>7.11.5 病毒构造装置</font><br>7.11.6 新一代病毒</font><br>7.11.7 "红色代码"蠕虫分析</font><br></font><br>第8章 托管式安全监控系统</font><br></font><br>8.1 风险管理及托管式安全监控(MSM)</font><br>8.2 MSM系统特性</font><br>8.3 MSM商业服务组织</font><br>8.4 安全监控系统的改进</font><br>8.5 小结</font><br></font><br>第9章 IDS应用中的问题</font><br></font><br>9.1 IDS的部署</font><br>9.2 应用于交换机环境时的问题</font><br>9.3 Anti-Sniffer技术</font><br>9.4 隐秘攻击技术</font><br>9.4.1 简单模式匹配技术的缺点</font><br>9.4.2 隐秘攻击</font><br>9.5 IDS在安全体系结构中的层次</font><br></font><br>第10章 国外入侵检测系统产品简介</font><br></font><br>10.1 入侵检测系统产品市场分析</font><br>10.2 典型入侵检测系统产品介绍</font><br>10.2.1 ISS RealSecure入侵检测系统</font><br>10.2.2 Cisco NetRanger入侵检测系统</font><br>10.2.3 Axent入侵检测系统</font><br>10.2.4 CyberCop入侵保护系统</font><br>10.3 典型入侵检测系统比较</font><br>10.3.1 基本特点</font><br>10.3.2 属性</font><br>10.3.3 详细的适用性</font><br></font><br>附录I Snort工作原理</font><br></font><br>附录II 数据挖掘算法描述</font><br></font><br>A 关联分析算法</font><br></font><br>A.1 概述</font><br>A.2 算法描述</font><br>A.2.1 发掘大数据项集(Discovering Large Itemsets)</font><br>A.2.2 发掘规则(Discovering Rules)</font><br></font><br>B 序列分析算法</font><br></font><br>B.1 概念定义</font><br>B.2 挖掘序列模式</font><br>B.3 AprioriAll算法</font><br>B.3.1 Apriori-candidate-generation()函数</font><br>B.3.2 Subsequence()函数</font><br>B.4 AprioriSome算法</font><br>B.4.1 前向阶段</font><br>B.4.2 后向阶段</font><br>B.5 DynamicSome算法</font><br>B.5.1 初始化阶段</font><br>B.5.2 前向阶段</font><br>B.5.3 后向阶段</font><br>B.5.4 中间阶段</font><br>B.6 算法比较</font><br></font><br>C 数据分类算法</font><br></font><br>C.1 RIPPER算法</font><br>C.2 Naive-Bayes算法</font><br>C.3 ID3,MC4</font><br></font><br>参考文献