书籍详情
入侵检测
作者:(美)Rebecca Gurley Bace著;陈明奇等译
出版社:人民邮电出版社
出版时间:2001-01-01
ISBN:9787115092878
定价:¥30.00
购买这本书可以去
内容简介
本书是关于入侵检测技术的一本实用性手册。书中详细介绍了入侵检测技术发展的过程,系统深入地讨论了入侵检测的设计和实施过程中需要考虑的问题。通过讨论和分析影响入侵检测的各方面因素,读者将了解到入侵检测系统的历史、现状和未来,进而可以评估所设计的或已有的入侵检测系统。本书适合于网络管理员、关注网络安全的技术人员以及从事网络安全咨询服务的人员阅读。
作者简介
RebeccaGurleyBace是Infidel.Inc的总裁,专长是入侵检测和网络安全技术及策略方面的咨询业务。在成立Infidel之前,Bace女士在美国政府部门工作了15年,前12年是国家安全局(NSA)的雇员。1989年至1995年,作为NSA的信息安全研究和技术办公室的创办者,她领导了计算机不正当使用和异常检测研究计划。作为CMAD研究计划的领导者,Bace女士在入侵检测的早期研究中付出了许多努力,在Purdue大学、California大学Davis分校、NewMexico大学和Tulane大学发起了学术研究。她还曾在LosAlamos国家实验室的WisdomandSewmcse及STAR异常检测研究项目中作为政府的技术监督员。Bace女士和联邦调查局DavidIcove博士的合作研究成果包括《计算机犯罪调查手册》的出版和有罪黑客的政府研究报告。她和由她发起并盗助的CMAD工作组于1995年一起参与对KevinMitnick的监测、跟踪和拘捕。KevinMitnick是当时被FBI通缉的头号计算机罪犯。关于刀子的这段经历在TsutomuShimomra和Takedown一书中也被提及。Bace女士于1995年被授予NSA的杰出领导奖,以表彰她在建立全家的CMAD团体方面的贡献。1996年,离开NSA后,Bace女士在LosAlamos国家实验室的计算/通信部门任安全副主管。她负责制定保护策略,以使实验室在安全需求和可用性及性能之间取得平衡。Bace女士是Alabama州Leeds人,在纽约州立大学获科学学士学位,并在Loyal学院获工程科学硕士学位。
目录
第1章 入侵检测系统的历史
1.1 审计:入侵检测的舞台
1.1.1 金融审计和安全审计的区别
1.1.2 作为管理工具的审计
1.1.3 EDP审计和早期的计算机安全
1.1.4 计算机安全和审计的军事模型
1.2 入侵检测的诞生
1.2.1 Anderson和精简审计问题
1.2.2 Denning,Neumann和IDES
1.2.3 80年代的入侵检测系统热
1.2.4 基于主机和网络入侵检测的集成
1.2.5 商业产品的出现
1.3 本章小结
第2章 概念和定义
2.1 入侵检测简介
2.2 安全概念
2.2.1 计算机和网络安全的文化视角
2.2.2 计算机安全的实际定义
2.2.3 计算机安全的形式定义
2.2.4 信任
2.2.5 威胁
2.2.6 脆弱性
2.2.7 安全策略
2.2.8 系统安全基础设施中的其它要素
2.2.9 安全问题是怎样发生的
2.3 入侵检测概念
2.3.1 体系结构
2.3.2 监测策略
2.3.3 分析类型
2.3.4 时间性
2.3.5 检测目标
2.3.6 控制问题
2.3.7 确定入侵检测的策略
2.4 本章小结
第3章 信息源
3.1 本章的组织
3.1.1 哪个信息源是正确的信息源
3.1.2 一直存在的问题
3.2 基于主机的信息源
3.2.1 操作系统审计踪迹
3.2.2 构造审计踪迹的方法
3.2.3 商业审计系统的问题
3.2.4 操作系统审计踪迹的正反面
3.2.5 审计踪迹的内容
3.2.6 审计精简
3.2.7 系统日志
3.2.8 应用信息
3.2.9 基于目标的监测
3.3 基于网络的信息源
3.3.1 为什么采用网络源
3.3.2 网络包
3.3.3 TCP/IP网络
3.3.4 包俘获
3.3.5 网络设备
3.3.6 带外(Out-of-Band)信息源
3.4 来自其它安全产品的信息
3.4.1 一个安全产品数据源的例子
3.4.2 分析之前的信息组织
3.4.3 作为数据源的其它系统部分
3.5 本章小结
第4章 分析方案
4.1 入侵的思考
4.1.1 定义分析
4.1.2 目标
4.1.3 支持目标
4.1.4 检测入侵
4.2 一个入侵分析模型
4.2.1 构建分析器
4.2.2 执行分析
4.2.3 反馈和提炼
4.3 方法
4.3.1 误用检测
4.3.2 异常检测
4.3.3 可代替的检测方案
4.4 本章小结
第5章 响应
5.1 对响应的需求
5.1.1 操作环境
5.1.2 系统目标和优先权
5.1.3 规则的或法令的需求
5.1.4 把专业技术传授给用户
5.2 响应的类型
5.2.1 主动响应
5.2.2 被动响应
5.3 调查期间掩盖跟踪
5.3.1 对响应部件自动防故障装置的考虑
5.3.2 处理错误告警
5.3.3 存档和报告
5.4 按策略配置响应
5.4.1 立即或紧急行动
5.4.2 适时行动
5.4.3 本地的长期行动
5.4.4 全局的长期行动
5.5 本章小结
第6章 脆弱性分析:一个特殊范例
6.1 脆弱性分析
6.1.1 脆弱性分析的基本原理
6.1.2 COPS——一个脆弱性分析的范例
6.1.3 问题与考虑
6.2 证书式(Credentialed)方法
6.2.1 证书式方法的定义
6.2.2 为证书式方法确定主题
6.2.3 证书式方法的策略和优化
6.3 非证书式(noncredentialed)方法
6.3.1 大量证书式(noncredentialed)方法的定义
6.3.2 非证书式脆弱性分析的方法
6.3.3 使用攻击程序的测试
6.3.4 推断方法
6.3.5 一个历史的注记
6.3.6 SATAN的结构
6.3.7 自动防故障特性
6.3.8 与SATAN有关的问题
6.4 口令破解
6.4.1 实施操作的概念与原理
6.4.2 作为脆弱性分析的口令破解器
6.5 脆弱性分析的优点与缺点
6.5.1 证书式分析技术的优点
6.5.2 非证书式分析技术的优点
6.5.3 不利因素
6.6 本章小结
第7章 技术性问题
7.1 可扩展性
7.1.1 基于时间上的扩展
7.1.2 基于空间上的扩展
7.1.3 例子研究——GrIDS
7.2 可管理性
7.2.1 网络管理
7.2.2 传感器的控制
7.2.3 对调查研究的支持
7.2.4 性能装载
7.3 可靠性
7.3.1 信息来源的可靠性
7.3.2 分析引擎的可靠性
7.3.3 响应装置的可靠性
7.3.4 通信链接的可靠性
7.4 分析问题
7.4.1 基于人工智能的检测器的训练集
7.4.2 异常事件检测中的错误肯定和错误否定
7.4.3 趋势分析
7.4.4 策略的编写
7.5 互操作性
7.5.1 CIDF/CRISIS的努力
7.5.2 审计踪迹标准
7.6 集成性
7.7 用户接口
7.8 本章小结
第8章 认识现实世界的挑战
8.1 安全性问题的根本
8.1.1 设计和开发中的问题
8.1.2 管理的问题
8.1.3 信任的问题
8.2 在一位黑客的眼中
8.2.1 确定攻击目标
8.2.2 勘探性连接
8.2.3 获取访问权限
8.2.4 实施攻击
8.3 安全和传统工程
8.3.1 传统工程
8.3.2 安全工程
8.3.3 整理的规则
8.4 入侵检测系统的规则
8.5 本章小结
第9章 法律问题
9.1 对付讨厌的法律
9.1.1 法律系统
9.1.2 立法
9.1.3 民事诉讼/民事侵权法律
9.1.4 在计算机网络中运用法律的复杂性
9.2 证据规则
9.2.1 证据的种类
9.2.2 证据的可用性
9.2.3 限制和例外
9.2.4 处理证据的规定
9.2.5 适用于系统记录和审计
9.3 与监视行为有关的法律
9.3.1 当一个系统管理员监视一个系统时
9.3.2 当法律执行代理监视一个系统时
9.3.3 监视通知单
9.4 我们从实例中学到了什么
9.4.1 Mitnick案例
9.4.2 罗马实验室事件
9.4.3 教训
9.5 本章小结
第10章 作为用户
10.1 确定你的要求
10.1.1 你的系统环境
10.1.2 目标和结果
10.1.3 回顾你的策略
10.1.4 要求和限制
10.2 了解产品
10.2.1 了解问题空间
10.2.2 产品是否可升级
10.2.3 如何进行测试
10.2.4 本产品是一个工具还是一种应用
10.2.5 响亮口号和聪明才智
10.2.6 推测产品的寿命
10.2.7 培训支持
10.2.8 产品目标的先后次序
10.2.9 产品差异
10.3 使策略与配置匹配
10.3.1 策略转变为规则
10.3.2 真实世界的主体与客体
10.3.3 监视策略与安全策略
10.3.4 测试声明
10.4 显示时间、事故处理和调查
10.4.1 侦察员的荣誉
10.4.2 最佳操作
10.4.3 当气球升上天空
10.4.4 法律执行
10.4.5 期望
10.4.6 破坏控制
10.4.7 应付政治迫害
10.5 本章小结
第11章 作为策略专家
11.1 建立安全方案
11.1.1 搜集信息
11.1.2 组织要实现什么目标
11.1.3 安全怎样适应全部的商业目标
11.1.4 信息安全应该嵌入到企业的风险管理程序的什么地方
11.1.5 保护系统我们需要做些什么
11.1.6 寻找盟友
11.1.7 克服管理上的阻力
11.2 定义IDS需求
11.2.1 再谈安全目标
11.2.2 威胁是什么
11.2.3 我们的局限是什么
11.2.4 关于引进入侵检测和系统监测的几点考虑
11.3 天花乱坠的广告宣传与实际的解决方案
11.3.1 什么样的产品最适合你
11.3.2 安装这一产品将有多么痛苦
11.3.3 运行这个产品将有多么痛苦
11.3.4 员工的期望是什么
11.3.5 谁是这个产品的梦幻用户
11.4 在原有的安全系统环境中集成新的安全特性
11.4.1 评估现在系统
11.4.2 平衡安全投资
11.4.3 处理“湿件”(Wetware)——系统中与人相关的因素
11.4.4 处理冲突
11.5 处理企业变动的影响
11.5.1 合并和获取
11.5.2 战略伙伴
11.5.3 全球化
11.5.4 扩张与缩减
11.5.5 从私有到公开
11.6 本章小结
第12章 作为设计者考虑
12.1 需求
12.1.1 好的和极好的入侵检测
12.1.2 达到安全的不同途径
12.1.3 策略
12.2 安全设计原则
12.2.1 机制的经济性
12.2.2 可靠缺省
12.2.3 完全调节
12.2.4 开放设计
12.2.5 特权分割
12.2.6 最小权限
12.2.7 最小通用机制
12.2.8 心理上可接受性
12.3 在设计过程中生存下来
12.3.1 建立优先级
12.3.2 关于威胁者
12.3.3 打破和维持平衡
12.4 产品定位
12.4.1 衡量成功
12.4.2 虚假的起点
12.4.3 测试方法
12.4.4 测试网络入侵检测的性能
12.5 来自前辈们的建议
12.5.1 使用好的工程实现
12.5.2 安全的传感器
12.5.3 注意正确地重新组装
12.5.4 不要低估硬件需求
12.5.5 不要期望可信的统计数据源
12.5.6 考虑对策
12.5.7 不支持辩论
12.5.8 支持现代安全特点
12.6 本章小结
第13章 将来的需要
13.1 将来的社会趋势
13.1.1 地球村和全球市场
13.1.2 隐私是一个经济驱动力
13.1.3 不同的战争
13.1.4 主权
13.2 将来的技术趋势
13.2.1 网络结构的变化
13.2.2 开放源码软件
13.2.3 无线网络的进步
13.2.4 分布式计算
13.3 未来的安全趋势
13.3.1 管理
13.3.2 保护隐私安全
13.3.3 信息质量与访问控制
13.3.4 加密、加密,到处都加密
13.3.5 边界侵蚀
13.3.6 可靠传输与信息管理
13.4 入侵检测的前景
13.4.1 能力
13.4.2 高度分布式结构
13.4.3 安全管理的911
13.4.4 普遍信息源
13.4.5 硬件防护
13.4.6 重点在于服务,而不在于产品
13.5 本章小结
术语表
1.1 审计:入侵检测的舞台
1.1.1 金融审计和安全审计的区别
1.1.2 作为管理工具的审计
1.1.3 EDP审计和早期的计算机安全
1.1.4 计算机安全和审计的军事模型
1.2 入侵检测的诞生
1.2.1 Anderson和精简审计问题
1.2.2 Denning,Neumann和IDES
1.2.3 80年代的入侵检测系统热
1.2.4 基于主机和网络入侵检测的集成
1.2.5 商业产品的出现
1.3 本章小结
第2章 概念和定义
2.1 入侵检测简介
2.2 安全概念
2.2.1 计算机和网络安全的文化视角
2.2.2 计算机安全的实际定义
2.2.3 计算机安全的形式定义
2.2.4 信任
2.2.5 威胁
2.2.6 脆弱性
2.2.7 安全策略
2.2.8 系统安全基础设施中的其它要素
2.2.9 安全问题是怎样发生的
2.3 入侵检测概念
2.3.1 体系结构
2.3.2 监测策略
2.3.3 分析类型
2.3.4 时间性
2.3.5 检测目标
2.3.6 控制问题
2.3.7 确定入侵检测的策略
2.4 本章小结
第3章 信息源
3.1 本章的组织
3.1.1 哪个信息源是正确的信息源
3.1.2 一直存在的问题
3.2 基于主机的信息源
3.2.1 操作系统审计踪迹
3.2.2 构造审计踪迹的方法
3.2.3 商业审计系统的问题
3.2.4 操作系统审计踪迹的正反面
3.2.5 审计踪迹的内容
3.2.6 审计精简
3.2.7 系统日志
3.2.8 应用信息
3.2.9 基于目标的监测
3.3 基于网络的信息源
3.3.1 为什么采用网络源
3.3.2 网络包
3.3.3 TCP/IP网络
3.3.4 包俘获
3.3.5 网络设备
3.3.6 带外(Out-of-Band)信息源
3.4 来自其它安全产品的信息
3.4.1 一个安全产品数据源的例子
3.4.2 分析之前的信息组织
3.4.3 作为数据源的其它系统部分
3.5 本章小结
第4章 分析方案
4.1 入侵的思考
4.1.1 定义分析
4.1.2 目标
4.1.3 支持目标
4.1.4 检测入侵
4.2 一个入侵分析模型
4.2.1 构建分析器
4.2.2 执行分析
4.2.3 反馈和提炼
4.3 方法
4.3.1 误用检测
4.3.2 异常检测
4.3.3 可代替的检测方案
4.4 本章小结
第5章 响应
5.1 对响应的需求
5.1.1 操作环境
5.1.2 系统目标和优先权
5.1.3 规则的或法令的需求
5.1.4 把专业技术传授给用户
5.2 响应的类型
5.2.1 主动响应
5.2.2 被动响应
5.3 调查期间掩盖跟踪
5.3.1 对响应部件自动防故障装置的考虑
5.3.2 处理错误告警
5.3.3 存档和报告
5.4 按策略配置响应
5.4.1 立即或紧急行动
5.4.2 适时行动
5.4.3 本地的长期行动
5.4.4 全局的长期行动
5.5 本章小结
第6章 脆弱性分析:一个特殊范例
6.1 脆弱性分析
6.1.1 脆弱性分析的基本原理
6.1.2 COPS——一个脆弱性分析的范例
6.1.3 问题与考虑
6.2 证书式(Credentialed)方法
6.2.1 证书式方法的定义
6.2.2 为证书式方法确定主题
6.2.3 证书式方法的策略和优化
6.3 非证书式(noncredentialed)方法
6.3.1 大量证书式(noncredentialed)方法的定义
6.3.2 非证书式脆弱性分析的方法
6.3.3 使用攻击程序的测试
6.3.4 推断方法
6.3.5 一个历史的注记
6.3.6 SATAN的结构
6.3.7 自动防故障特性
6.3.8 与SATAN有关的问题
6.4 口令破解
6.4.1 实施操作的概念与原理
6.4.2 作为脆弱性分析的口令破解器
6.5 脆弱性分析的优点与缺点
6.5.1 证书式分析技术的优点
6.5.2 非证书式分析技术的优点
6.5.3 不利因素
6.6 本章小结
第7章 技术性问题
7.1 可扩展性
7.1.1 基于时间上的扩展
7.1.2 基于空间上的扩展
7.1.3 例子研究——GrIDS
7.2 可管理性
7.2.1 网络管理
7.2.2 传感器的控制
7.2.3 对调查研究的支持
7.2.4 性能装载
7.3 可靠性
7.3.1 信息来源的可靠性
7.3.2 分析引擎的可靠性
7.3.3 响应装置的可靠性
7.3.4 通信链接的可靠性
7.4 分析问题
7.4.1 基于人工智能的检测器的训练集
7.4.2 异常事件检测中的错误肯定和错误否定
7.4.3 趋势分析
7.4.4 策略的编写
7.5 互操作性
7.5.1 CIDF/CRISIS的努力
7.5.2 审计踪迹标准
7.6 集成性
7.7 用户接口
7.8 本章小结
第8章 认识现实世界的挑战
8.1 安全性问题的根本
8.1.1 设计和开发中的问题
8.1.2 管理的问题
8.1.3 信任的问题
8.2 在一位黑客的眼中
8.2.1 确定攻击目标
8.2.2 勘探性连接
8.2.3 获取访问权限
8.2.4 实施攻击
8.3 安全和传统工程
8.3.1 传统工程
8.3.2 安全工程
8.3.3 整理的规则
8.4 入侵检测系统的规则
8.5 本章小结
第9章 法律问题
9.1 对付讨厌的法律
9.1.1 法律系统
9.1.2 立法
9.1.3 民事诉讼/民事侵权法律
9.1.4 在计算机网络中运用法律的复杂性
9.2 证据规则
9.2.1 证据的种类
9.2.2 证据的可用性
9.2.3 限制和例外
9.2.4 处理证据的规定
9.2.5 适用于系统记录和审计
9.3 与监视行为有关的法律
9.3.1 当一个系统管理员监视一个系统时
9.3.2 当法律执行代理监视一个系统时
9.3.3 监视通知单
9.4 我们从实例中学到了什么
9.4.1 Mitnick案例
9.4.2 罗马实验室事件
9.4.3 教训
9.5 本章小结
第10章 作为用户
10.1 确定你的要求
10.1.1 你的系统环境
10.1.2 目标和结果
10.1.3 回顾你的策略
10.1.4 要求和限制
10.2 了解产品
10.2.1 了解问题空间
10.2.2 产品是否可升级
10.2.3 如何进行测试
10.2.4 本产品是一个工具还是一种应用
10.2.5 响亮口号和聪明才智
10.2.6 推测产品的寿命
10.2.7 培训支持
10.2.8 产品目标的先后次序
10.2.9 产品差异
10.3 使策略与配置匹配
10.3.1 策略转变为规则
10.3.2 真实世界的主体与客体
10.3.3 监视策略与安全策略
10.3.4 测试声明
10.4 显示时间、事故处理和调查
10.4.1 侦察员的荣誉
10.4.2 最佳操作
10.4.3 当气球升上天空
10.4.4 法律执行
10.4.5 期望
10.4.6 破坏控制
10.4.7 应付政治迫害
10.5 本章小结
第11章 作为策略专家
11.1 建立安全方案
11.1.1 搜集信息
11.1.2 组织要实现什么目标
11.1.3 安全怎样适应全部的商业目标
11.1.4 信息安全应该嵌入到企业的风险管理程序的什么地方
11.1.5 保护系统我们需要做些什么
11.1.6 寻找盟友
11.1.7 克服管理上的阻力
11.2 定义IDS需求
11.2.1 再谈安全目标
11.2.2 威胁是什么
11.2.3 我们的局限是什么
11.2.4 关于引进入侵检测和系统监测的几点考虑
11.3 天花乱坠的广告宣传与实际的解决方案
11.3.1 什么样的产品最适合你
11.3.2 安装这一产品将有多么痛苦
11.3.3 运行这个产品将有多么痛苦
11.3.4 员工的期望是什么
11.3.5 谁是这个产品的梦幻用户
11.4 在原有的安全系统环境中集成新的安全特性
11.4.1 评估现在系统
11.4.2 平衡安全投资
11.4.3 处理“湿件”(Wetware)——系统中与人相关的因素
11.4.4 处理冲突
11.5 处理企业变动的影响
11.5.1 合并和获取
11.5.2 战略伙伴
11.5.3 全球化
11.5.4 扩张与缩减
11.5.5 从私有到公开
11.6 本章小结
第12章 作为设计者考虑
12.1 需求
12.1.1 好的和极好的入侵检测
12.1.2 达到安全的不同途径
12.1.3 策略
12.2 安全设计原则
12.2.1 机制的经济性
12.2.2 可靠缺省
12.2.3 完全调节
12.2.4 开放设计
12.2.5 特权分割
12.2.6 最小权限
12.2.7 最小通用机制
12.2.8 心理上可接受性
12.3 在设计过程中生存下来
12.3.1 建立优先级
12.3.2 关于威胁者
12.3.3 打破和维持平衡
12.4 产品定位
12.4.1 衡量成功
12.4.2 虚假的起点
12.4.3 测试方法
12.4.4 测试网络入侵检测的性能
12.5 来自前辈们的建议
12.5.1 使用好的工程实现
12.5.2 安全的传感器
12.5.3 注意正确地重新组装
12.5.4 不要低估硬件需求
12.5.5 不要期望可信的统计数据源
12.5.6 考虑对策
12.5.7 不支持辩论
12.5.8 支持现代安全特点
12.6 本章小结
第13章 将来的需要
13.1 将来的社会趋势
13.1.1 地球村和全球市场
13.1.2 隐私是一个经济驱动力
13.1.3 不同的战争
13.1.4 主权
13.2 将来的技术趋势
13.2.1 网络结构的变化
13.2.2 开放源码软件
13.2.3 无线网络的进步
13.2.4 分布式计算
13.3 未来的安全趋势
13.3.1 管理
13.3.2 保护隐私安全
13.3.3 信息质量与访问控制
13.3.4 加密、加密,到处都加密
13.3.5 边界侵蚀
13.3.6 可靠传输与信息管理
13.4 入侵检测的前景
13.4.1 能力
13.4.2 高度分布式结构
13.4.3 安全管理的911
13.4.4 普遍信息源
13.4.5 硬件防护
13.4.6 重点在于服务,而不在于产品
13.5 本章小结
术语表
猜您喜欢