书籍详情
Snort入侵检测实用解决方案
作者:(美)Jack Koziol著;吴溥峰[等]译
出版社:机械工业出版社
出版时间:2005-01-01
ISBN:9787111157014
定价:¥33.00
购买这本书可以去
内容简介
本书在介绍入侵检测系统的基础上,对Snort进行深入地剖析,详细介绍了Snort在实际应用中的安装、使用及维护。全书共14章,分别介绍了入侵检测基础、利用Snort进行入侵检测、剖析Snort、安装Snort的计划、Snort运行的基础——硬件和操作系统、建立服务器、建立传感器、建立分析员控制台、其他操作系统下的安装、调整和减少误报、实时报警、基本规则的编写、升级和维护Snort以及有关入侵防范的高级话题。本书内容涵盖了Snort实际应用的各个方面。本书无论是对具体的商业应用,还是对教学、科研工作都有相当大的参考价值。
作者简介
JackKoziol是芝加哥地区一家主要财政机构的信息安全长官,负责企业范围内的安全。先前,他在一家在线健康护理公司和网络药店的信息安全部门供职。Jack为信息安全杂志供稿,并发表了一些有关入侵检测的文章。他教授有关CISSP考试和“黑客及其防护”的课程。自从1998年以来,Jack在一些大的生产环境中构建、维护及管理Snort和其他的入侵检测系统。他也为一些专门的应用软件撰写Snort特征集。相关图书安全协议的建模与分析:CSP方式网络信息安全
目录
第1章 入侵检测基础
1.1 不同类型的入侵检测系统
1.1.1 基于主机的入侵检测系统
1.1.2 基于网络的入侵检测系统
1.1.3 一种混合的方法
1.2 检测入侵的方法
1.2.1 特征检测
1.2.2 异常检测
1.2.3 完整性检验
1.3 攻击的来源
1.3.1 外部威胁
1.3.2 内部威胁
1.4 攻击的步骤
1.4.1 计划阶段
1.4.2 侦察阶段
1.4.3 攻击阶段
1.4.4 后攻击阶段
1.5 入侵检测系统的现状
1.5.1 入侵检测系统不能检测所有的入侵事件
1.5.2 入侵检测系统不能地攻击作出响应
1.5.3 入侵检测系统的配置及维护比较困难
1.6 小结
第2章 利用Snort进行网络入侵检测
2.1 Snort的规格说明
2.1.1 安装的必要条件
2.1.2 带宽考虑
2.1.3 Snort是一种开放源代码的应用程序
2.2 通过特征检测可疑流量
2.2.1 检测可疑净荷
2.2.2 检测具体协议元素
2.2.3 用客户规则扩展覆盖面
2.3 启发式的可疑流量检测
2.4 采集入侵数据
2.4.1 评估威胁
2.4.2 预处理
2.5 利用输出插件进行报警
2.5.1 聚集数据
2.5.2 用统一格式和Barnyard程序记录日志
2.5.3 报警
2.6 分层报警
2.6.1 无优先级报警
2.6.2 严格编码的优先级报警
2.6.3 可定制的优先级报警
2.7 分布式Snort体系
2.7.1 第一层——传感器层
2.7.2 第二层——服务器层
2.7.3 第三层——分析员控制台
2.8 安全的Snort
2.9 Snort的缺陷
2.9.1 灵活性带来复杂性
2.9.2 误报的问题
2.9.3 市场因素
2.10 小结
第3章 剖析Snort
3.1 用Libpcap输送Snort包
3.2 预处理程序
3.2.1 frag2
3.2.2 stream4
3.2.3 stream4_reassemble
3.2.4 HTTP_decode
3.2.5 RPC_decode
3.2.6 BO
3.2.7 Telnet_decode
3.2.8 ARPspoof
3.2.9 ASN1_decode
3.2.10 fnord
3.2.11 conversation
3.2.12 portscan2
3.2.13 SPADE
3.3 检测引擎
3.4 输出插件
3.4.1 Alert_fast
3.4.2 Alert_full
3.4.3 Alert_smb
3.4.4 Alert_unixsock
3.4.5 Log_tcpdump
3.4.6 CSV
3.4.7 XML
3.4.8 Alert_syslog
3.4.9 数据库输出
3.4.10 统一格式输出
3.5 小结
第4章 安装Snort的计划
4.1 制定入侵检测系统的策略
4.1.1 恶意行为
4.1.2 可疑行为
4.1.3 异常行为
4.1.4 不适当行为
4.2 决定要监控的内容
4.2.1 外部网络连接监控
4.2.2 内部网络关键点监控
4.2.3 重要计算资源监控
4.3 设计Snort体系结构
4.3.1 三层结构
4.3.2 单层结构
4.3.3 监控网段
4.4 维护计划
4.5 事件响应
4.5.1 事件响应计划
4.5.2 事件响应
4.5.3 恢复
4.5.4 测试计划
4.6 小结
第5章 基础——硬件和操作系统
5.1 硬件性能的度量
5.2 操作系统平台的选择
5.3 监控网段
5.3.1 网内Hub监控
5.3.2 SPAN端口监控
5.3.3 Taps监控
5.4 多传感器分流
5.5 小结
第6章 建立服务器
6.1 安装指南
6.2 Red Hat Linux 7.3的安装
6.2.1 分区策略
6.2.2 网络配置
6.2.3 防火墙配置
6.2.4 时区选择
6.2.5 帐号设置
6.2.6 选择需要安装的软件包
6.3 后安装任务
6.4 安装Snort服务器组件
6.4.1 安装OpenaSSL
6.4.2 安装Stunnel
6.4.3 安装OpenSSH
6.4.4 下载Apache
6.4.5 安装MySQL
6.4.6 配置mod_ssl
6.4.7 安装gd
6.4.8 安装PHP
6.4.9 安装Apache
6.4.10 安装ADODB
6.4.11 安装ACID
6.5 小结
第7章 建立传感器
7.1 安装指南
7.1.1 Red Hat Linux 7.3的安装
7.1.2 后安装任务
7.2 安装Snort传感器组件
7.2.1 安装libpcap
7.2.2 安装tcpdump
7.2.3 安装OpenSSL
7.2.4 安装Stunnel
7.2.5 安装OpenSSH
7.2.6 安装MySQL客户端
7.2.7 安装NTP
7.3 安装Snrot
7.3.1 配置snort.conf
7.3.2 运行Snort
7.4 安装Barnyard
7.4.1 配置barnyard.conf
7.4.2 运行Barnyard
7.4.3 用barnyard.server脚本实现Barnyard的自动启动与停止
7.5 小结
第8章 建立分析员控制台
8.1 Windows下的安装
8.1.1 安装SSH
8.1.2 Web浏览器
8.2 Linux下的安装
8.2.1 安装OpenSSH
8.2.2 Web浏览器
8.3 测试控制台
8.4 使用ACID
8.4.1 搜索
8.4.2 警报组
8.5 小结
第9章 其他操作系统下的安装方法
9.1 混合服务器/传感器
9.2 基于OpenBSD的Snort
9.3 基于Windows的Snort
9.3.1 Windows的安装
9.3.2 基本程序的安装
9.3.3 Snort应用程序的安装
9.3.4 入侵检测中心的安装
9.4 小结
第10章 调整和减少误报
10.1 预调行为
10.2 调整网络
10.3 用Snort过滤流量
10.3.1 网络变量
10.3.2 Berkeley包过滤
10.4 调整预处理程序
10.4.1 调整bo
10.4.2 调整arpspoof,asnl_decoe和fnord
10.4.3 调整frag2
10.4.4 调整stream4
10.4.5 调整stream4_reassemable
10.4.6 调整http_decode、rpc_decode和telnet_decode
10.4.7 调整portscan2和conversation
10.5 细化规则集
10.5.1 chat.rules规则
10.5.2 ddos.rules规则
10.5.3 ftp.rules规则
10.5.4 icmp-info.rules规则(1)
10.5.5 icmp-info.rules规则(2)
10.5.6 info.rules规则
10.5.7 misc.rules规则
10.5.8 multimedia.rules规则
10.5.9 other-ides.rules规则
10.5.10 p2p.rules规则
10.5.11 policy.rules规则
10.5.12 porn.rules规则
10.5.13 shellcode.rules规则
10.5.14 virus.rules规则
10.6 组织规则
10.7 设计目标规则集
10.8 调整MyQSL
10.9 调整ACID
10.9.1报警的存档
10.9.2 报警的删除
10.9.3 缓存属性的调整
10.10 小结
第11章 实时报警
11.1 概述
11.2 警报的分级
11.2.1 事件
11.2.2 有目标的攻击
11.2.3 自定义规则
11.2.4 用classification.config定义优先级
11.2.5 优先级(priority)选项
11.3 混合型报警
11.3.1 安装Swatch
11.3.2 配置Swatch
11.4 分布式Snort报警
11.4.1 配置Snort并安装Sendmail
11.4.2 在传感器上安装syslog-ng
11.4.3 为传感器配置syslog-ng
11.4.4 在服务器上安装Syslog-ng
11.4.5 为服务器配置Syslog-ng
11.4.6 为实时报警配置syslog-ng
11.4.7 用Stunnel加密Syslog-ng会话
11.5 小结
第12章 基础规则的编写
12.1 概念
12.2 语法
12.2.1 规则头
12.2.2 规则选项
12.3 编写规则的方法
12.3.1 修改已存在的规则
12.3.2 利用网络知识创造新规则
12.3.3 利用流量分析创建新规则
12.4 小结
第13章 升级和维护Snort
13.1 选择Snort管理应用软件
13.2 入侵检测系统策略管理器
13.2.1 安装
13.2.2 配置
13.3 SnortCenter
13.3.1 SnortCenter安装
13.3.2 SnortCenter传感器代理安装
13.3.3 配置
13.4 升级Snort
13.5 小结
第14章 入侵防范高级话题
14.1 一个关于入侵防范的警告
14.2 制定入侵防范策略
14.2.1 未打补丁的服务器
14.2.2 新的漏洞
14.2.3 公开的可访问的高权限主机
14.2.4 从不产生误报的规则
14.3 Snort Inline修补程序
14.3.1 安装
14.3.2 配置
14.3.3 Inline Snort(防范型Snort)规则编写
14.3.4 建立规则集
14.4 SnortSam
14.4.1 安装
14.4.2 配置
14.4.3 在规则中插入阻塞响应
14.5 小结
附录
附录A 疑难解答
附录B 规则文件
1.1 不同类型的入侵检测系统
1.1.1 基于主机的入侵检测系统
1.1.2 基于网络的入侵检测系统
1.1.3 一种混合的方法
1.2 检测入侵的方法
1.2.1 特征检测
1.2.2 异常检测
1.2.3 完整性检验
1.3 攻击的来源
1.3.1 外部威胁
1.3.2 内部威胁
1.4 攻击的步骤
1.4.1 计划阶段
1.4.2 侦察阶段
1.4.3 攻击阶段
1.4.4 后攻击阶段
1.5 入侵检测系统的现状
1.5.1 入侵检测系统不能检测所有的入侵事件
1.5.2 入侵检测系统不能地攻击作出响应
1.5.3 入侵检测系统的配置及维护比较困难
1.6 小结
第2章 利用Snort进行网络入侵检测
2.1 Snort的规格说明
2.1.1 安装的必要条件
2.1.2 带宽考虑
2.1.3 Snort是一种开放源代码的应用程序
2.2 通过特征检测可疑流量
2.2.1 检测可疑净荷
2.2.2 检测具体协议元素
2.2.3 用客户规则扩展覆盖面
2.3 启发式的可疑流量检测
2.4 采集入侵数据
2.4.1 评估威胁
2.4.2 预处理
2.5 利用输出插件进行报警
2.5.1 聚集数据
2.5.2 用统一格式和Barnyard程序记录日志
2.5.3 报警
2.6 分层报警
2.6.1 无优先级报警
2.6.2 严格编码的优先级报警
2.6.3 可定制的优先级报警
2.7 分布式Snort体系
2.7.1 第一层——传感器层
2.7.2 第二层——服务器层
2.7.3 第三层——分析员控制台
2.8 安全的Snort
2.9 Snort的缺陷
2.9.1 灵活性带来复杂性
2.9.2 误报的问题
2.9.3 市场因素
2.10 小结
第3章 剖析Snort
3.1 用Libpcap输送Snort包
3.2 预处理程序
3.2.1 frag2
3.2.2 stream4
3.2.3 stream4_reassemble
3.2.4 HTTP_decode
3.2.5 RPC_decode
3.2.6 BO
3.2.7 Telnet_decode
3.2.8 ARPspoof
3.2.9 ASN1_decode
3.2.10 fnord
3.2.11 conversation
3.2.12 portscan2
3.2.13 SPADE
3.3 检测引擎
3.4 输出插件
3.4.1 Alert_fast
3.4.2 Alert_full
3.4.3 Alert_smb
3.4.4 Alert_unixsock
3.4.5 Log_tcpdump
3.4.6 CSV
3.4.7 XML
3.4.8 Alert_syslog
3.4.9 数据库输出
3.4.10 统一格式输出
3.5 小结
第4章 安装Snort的计划
4.1 制定入侵检测系统的策略
4.1.1 恶意行为
4.1.2 可疑行为
4.1.3 异常行为
4.1.4 不适当行为
4.2 决定要监控的内容
4.2.1 外部网络连接监控
4.2.2 内部网络关键点监控
4.2.3 重要计算资源监控
4.3 设计Snort体系结构
4.3.1 三层结构
4.3.2 单层结构
4.3.3 监控网段
4.4 维护计划
4.5 事件响应
4.5.1 事件响应计划
4.5.2 事件响应
4.5.3 恢复
4.5.4 测试计划
4.6 小结
第5章 基础——硬件和操作系统
5.1 硬件性能的度量
5.2 操作系统平台的选择
5.3 监控网段
5.3.1 网内Hub监控
5.3.2 SPAN端口监控
5.3.3 Taps监控
5.4 多传感器分流
5.5 小结
第6章 建立服务器
6.1 安装指南
6.2 Red Hat Linux 7.3的安装
6.2.1 分区策略
6.2.2 网络配置
6.2.3 防火墙配置
6.2.4 时区选择
6.2.5 帐号设置
6.2.6 选择需要安装的软件包
6.3 后安装任务
6.4 安装Snort服务器组件
6.4.1 安装OpenaSSL
6.4.2 安装Stunnel
6.4.3 安装OpenSSH
6.4.4 下载Apache
6.4.5 安装MySQL
6.4.6 配置mod_ssl
6.4.7 安装gd
6.4.8 安装PHP
6.4.9 安装Apache
6.4.10 安装ADODB
6.4.11 安装ACID
6.5 小结
第7章 建立传感器
7.1 安装指南
7.1.1 Red Hat Linux 7.3的安装
7.1.2 后安装任务
7.2 安装Snort传感器组件
7.2.1 安装libpcap
7.2.2 安装tcpdump
7.2.3 安装OpenSSL
7.2.4 安装Stunnel
7.2.5 安装OpenSSH
7.2.6 安装MySQL客户端
7.2.7 安装NTP
7.3 安装Snrot
7.3.1 配置snort.conf
7.3.2 运行Snort
7.4 安装Barnyard
7.4.1 配置barnyard.conf
7.4.2 运行Barnyard
7.4.3 用barnyard.server脚本实现Barnyard的自动启动与停止
7.5 小结
第8章 建立分析员控制台
8.1 Windows下的安装
8.1.1 安装SSH
8.1.2 Web浏览器
8.2 Linux下的安装
8.2.1 安装OpenSSH
8.2.2 Web浏览器
8.3 测试控制台
8.4 使用ACID
8.4.1 搜索
8.4.2 警报组
8.5 小结
第9章 其他操作系统下的安装方法
9.1 混合服务器/传感器
9.2 基于OpenBSD的Snort
9.3 基于Windows的Snort
9.3.1 Windows的安装
9.3.2 基本程序的安装
9.3.3 Snort应用程序的安装
9.3.4 入侵检测中心的安装
9.4 小结
第10章 调整和减少误报
10.1 预调行为
10.2 调整网络
10.3 用Snort过滤流量
10.3.1 网络变量
10.3.2 Berkeley包过滤
10.4 调整预处理程序
10.4.1 调整bo
10.4.2 调整arpspoof,asnl_decoe和fnord
10.4.3 调整frag2
10.4.4 调整stream4
10.4.5 调整stream4_reassemable
10.4.6 调整http_decode、rpc_decode和telnet_decode
10.4.7 调整portscan2和conversation
10.5 细化规则集
10.5.1 chat.rules规则
10.5.2 ddos.rules规则
10.5.3 ftp.rules规则
10.5.4 icmp-info.rules规则(1)
10.5.5 icmp-info.rules规则(2)
10.5.6 info.rules规则
10.5.7 misc.rules规则
10.5.8 multimedia.rules规则
10.5.9 other-ides.rules规则
10.5.10 p2p.rules规则
10.5.11 policy.rules规则
10.5.12 porn.rules规则
10.5.13 shellcode.rules规则
10.5.14 virus.rules规则
10.6 组织规则
10.7 设计目标规则集
10.8 调整MyQSL
10.9 调整ACID
10.9.1报警的存档
10.9.2 报警的删除
10.9.3 缓存属性的调整
10.10 小结
第11章 实时报警
11.1 概述
11.2 警报的分级
11.2.1 事件
11.2.2 有目标的攻击
11.2.3 自定义规则
11.2.4 用classification.config定义优先级
11.2.5 优先级(priority)选项
11.3 混合型报警
11.3.1 安装Swatch
11.3.2 配置Swatch
11.4 分布式Snort报警
11.4.1 配置Snort并安装Sendmail
11.4.2 在传感器上安装syslog-ng
11.4.3 为传感器配置syslog-ng
11.4.4 在服务器上安装Syslog-ng
11.4.5 为服务器配置Syslog-ng
11.4.6 为实时报警配置syslog-ng
11.4.7 用Stunnel加密Syslog-ng会话
11.5 小结
第12章 基础规则的编写
12.1 概念
12.2 语法
12.2.1 规则头
12.2.2 规则选项
12.3 编写规则的方法
12.3.1 修改已存在的规则
12.3.2 利用网络知识创造新规则
12.3.3 利用流量分析创建新规则
12.4 小结
第13章 升级和维护Snort
13.1 选择Snort管理应用软件
13.2 入侵检测系统策略管理器
13.2.1 安装
13.2.2 配置
13.3 SnortCenter
13.3.1 SnortCenter安装
13.3.2 SnortCenter传感器代理安装
13.3.3 配置
13.4 升级Snort
13.5 小结
第14章 入侵防范高级话题
14.1 一个关于入侵防范的警告
14.2 制定入侵防范策略
14.2.1 未打补丁的服务器
14.2.2 新的漏洞
14.2.3 公开的可访问的高权限主机
14.2.4 从不产生误报的规则
14.3 Snort Inline修补程序
14.3.1 安装
14.3.2 配置
14.3.3 Inline Snort(防范型Snort)规则编写
14.3.4 建立规则集
14.4 SnortSam
14.4.1 安装
14.4.2 配置
14.4.3 在规则中插入阻塞响应
14.5 小结
附录
附录A 疑难解答
附录B 规则文件
猜您喜欢