《入侵檢測理論與技術》從理論和技術兩個方面對入侵檢測相關知識進行了全面和系統(tǒng)的介紹��。全書共分7章�,分別對常見入侵與防御����、入侵檢測基礎�、大規(guī)模分布式入侵檢測系統(tǒng)(LDIDS)框架結構、LDIDS的互動協(xié)議與接口標準��、LDIDS的任務分派機制����、LDIDS的數據融合和入侵管理等進行了介紹��,內容包括網絡安全的主要威脅����、常見網絡攻擊、DDoS攻擊與防御����、智能型分布式防御、IDS 系統(tǒng)模型等人侵檢測理論與技術方面的知識�。另外,書中介紹的許多算法��、協(xié)議�、方案等都可直接應用于工程實踐����,書中提出的許多理論問題也有助于激發(fā)更多的后繼研究�����。
《入侵檢測理論與技術》可作為信息安全���、密碼學�、信息與計算科學等專業(yè)的研究生和高年級大學生的教學參考書��,也可作為上述領域相關科技工作者的實用工具書或技術培訓教材��。
顧名思義��,入侵檢測就是檢測入侵行為�����。目前的入侵檢測系統(tǒng)(IDS)大致可以分為兩類:基于主機的IDS和基于網絡的IDS��。前者是一種集中式的IDS���,相當于直接針對敵方總部�,一旦發(fā)現敵情馬上報告,并采取相應的措施�����。后者是一種分散式的IDS����,它廣泛收集敵方各軍事點的情報,加以綜合分析���,一旦發(fā)現敵情,馬上采取措施加以應對���。
最近���,基于網絡的IDS又進一步發(fā)展成為分布式IDS和大規(guī)模分布式IDS。形象地說�����,分布式IDS不但要對敵國的各軍事點情報進行綜合和分析�����,而且也不放過敵國其他領域的情報,比如�,根據敵國大量屯集醫(yī)藥用品的事實來判斷敵國可能發(fā)動戰(zhàn)爭等。而大規(guī)模分布式IDS則將刺探敵情的范圍擴大到敵國的伙伴國家��,因為���,這些國家的異常舉動可能泄露某種攻擊信息�。
本書將對包括基于主機的IDS和基于網絡的IDS進行研究�,重點研究分布式IDS和大規(guī)模分布式IDS系統(tǒng)的理論和技術。全書共分為7章��,各章內容與安排如下��。
第l章著重分析了當今主流網絡攻擊手段�����,并針對每一種攻擊���,盡量提出相應的檢測��、防御方法�。當前的入侵方法中�,有的是尋找并利用操作系統(tǒng)的漏洞�,有的是利用應用程序的實現上的漏洞����,有的是針對網絡協(xié)議漏洞而進行攻擊,有的是尋找加密算法的弱點進行密碼破解�,有的是利用網絡協(xié)議在特定的操作系統(tǒng)上的實現的漏洞進行入侵,等等��。本章重點分析了目前常見的拒絕服務攻擊和分布式拒絕服務攻擊的原理和手段�����,包括了CP標志位攻擊��、通用洪流攻擊�、反射式攻擊等��;介紹了常用的分布式拒絕服務攻擊工具��,包括Trinoo���、TFN����、TFN2K、Stachcldraht����、shaft和stream等;總結了目前分布式攻擊的類型和特點���。在對目前分布式攻擊的類型和特點分析的基礎上����,提出了分布式攻擊的發(fā)展趨勢���,主要包括體系結構及特點����。其中主要特點包括可控性強�、隱蔽性強、可更新性��、智能性和通信安全保密性等���。本章將目前針對分布式拒絕服務攻擊的防御劃分為三個層次并進行比較�����,然后提出了源端防御的概念�����;介紹了源端防御程序設計并給出其體系結構及各模塊結構圖����。本章在對分布式拒絕服務攻擊的防御手段進行深入分析后,提出了未來分布式防御的發(fā)展趨勢及智能型分布式防御模型��,給出了模型的體系結構和特點���,并分析了實現需要解決的一些關鍵問題�����。
楊義先�����,北京郵電大學教授,博士生導師�����,首屆長江學者特聘教授,首屆政府特殊津貼獲得者�。長期從事信息安全、信號與信息處理��、密碼學等專業(yè)的教學���、科研和成果轉化工作���。已發(fā)表論文300余篇、出版著作10余部���。本書相關研究成果獲郵電部科技進步一等獎�、國家教委科技進步二等獎�����、中國通信學會科學技術二等獎等多項獎勵����。
第1章 常見入侵與防御
1.1 網絡安全的主要威脅
1.1.1 網絡安全威脅的層次
1.1.2 安全漏洞
1.1.3 攻擊語言
1.2 常見網絡攻擊
1.2.1 DOS攻擊與防御
1.2.2 信息收集型攻擊
1.2.3 其他攻擊
1.3 DDoS攻擊與防御
1.3.1 DDoS攻擊及常用工具
1.3.2 DDoS的當前特點與發(fā)展趨勢
1.3.3 DDoS攻擊的源端防御
1.4 智能型分布式防御
1.4.1 體系結構
1.4.2 異常行為判定
1.4.3 特點與關鍵
第2章 入侵檢測基礎
2.1 基礎知識
2.1.1 歷史沿革與基本概念
2.1.2 入侵檢測系統(tǒng)的體系結構
2.1.3 基于知識和行為的入侵檢測
2.1.4 入侵檢測系統(tǒng)的信息源
2.2 入侵檢測標準
2.2.1 入侵檢測數據交換標準化
2.2.2 通用人侵檢測框架
2.2.3 入侵檢測數據交換格式
2.2.4 通用入侵檢測框架的語言
2.3 入侵檢測系統(tǒng)模型
2.3.1 基于系統(tǒng)行為分類的檢測模型
2.3.2 面向數據處理的檢測模型
2.3.3 入侵檢測系統(tǒng)和算法的性能分析
2.3.4 入侵檢測系統(tǒng)的機制協(xié)作
2.4 基于進程行為的入侵檢測
2.4.1 基于神經網絡的行為分類器
2.4.2 基于概率統(tǒng)計的貝葉斯分類器
2.4.3 基于進程行為分類器的入侵檢測
2.4.4 基于進程檢測器的入侵檢測系統(tǒng)原型
2.5 基于網絡數據分析的入侵檢測系統(tǒng)
2.5.1 網絡事件的多維模型結構
2.5.2 基于網絡端口業(yè)務數據的統(tǒng)計性特征輪廓
2.5.3 基于規(guī)則的入侵檢測與數據挖掘技術
2.5.4 網絡入侵檢測的關鍵技術
第3章 大規(guī)模分布式入侵檢測系統(tǒng)框架結構
3.1 LDIDS模型
3.1.1 樹狀結構
3.1.2 運作機制
3.1.3 功能模塊
3.1.4 分層結構
3.2 采集層
3.2.1 數據收集機制
3.2.2 日志
3.2.3 網絡數據報
3.2.4 其他信息源
3.3 數據分析層
3.3.1 數據預處理
3.3.2 分布式分析和集中式分析
3.3.3 分析方法
3.3.4 分析過程
3.4 數據融合層
3.4.1 數據融合
3.4.2 聚集模塊
3.4.3 合并模塊
3.4.4 關聯(lián)模塊
3.5 協(xié)調管理層
3.5.1 決策模塊
3.5.2 協(xié)調模塊
3.5.3 響應模塊
3.5.4 管理平臺
3.5.5 交互接口
第4章 大規(guī)模分布式入侵檢測系統(tǒng)交互協(xié)議與接口標準
4.1 背景知識
4.1.1 現狀與趨勢
4.1.2 設計交互協(xié)議與接口標準的意義
4.2 安全部件交換協(xié)議ScxP
4.2.1 協(xié)議工作環(huán)境與功能目標
4.2.2 SCXP協(xié)議的設計
4.2.3 安全性分析
4.3 SCIMF數據模型
4.3.1 用XML實現SCIMF
4.3.2 SCIMF數據模型和XML DTD
4.3.3 SCIMF消息格式的擴展
第5章 大規(guī)模分布式入侵檢測系統(tǒng)的任務分派機制
5.1 移動代理
5.1.1 移動代理簡介
5.1.2 移動代理的優(yōu)點
5.1.3 典型移動代理實例
5.2 移動代理在入侵檢測中的應用
5.2.1 為什么使用移動代理
5.2.2 IDA系統(tǒng)
5.2.3 移動代理引起的問題
5.3 任務分派機制
5.3.1 功能層的代理設計
5.3.2 任務分派過程中的消息和通信
5.3.3 任務分派機制描述
第6章 大規(guī)模分布式入侵檢測系統(tǒng)中的數據融合
6.1 數據融合與入侵檢測
6.1.1 數據融合的定義
6.1.2 數據融合的關鍵問題
6.1.3 數據融合在入侵檢測系統(tǒng)中的應用
6.2 數據融合部件的功能模塊
6.2.1 預備知識
6.2.2 需求分析
6.2.3 功能模塊
6.3 數據融合算法
6.3.1 聚類
6.3.2 合并
6.3.3 關聯(lián)
第7章 入侵管理
7.1 入侵防御關鍵技術
7.1.1 降低開銷
7.1.2 均衡負載
7.1.3 協(xié)議分析
7.1.4 應用于入侵防御的數據挖掘算法
7.2 入侵容忍
7.2.1 基于多閾值的入侵容忍
7.2.2 基于移動代理的入侵容忍
7.2.3 具有入侵容忍功能的分布式協(xié)同入侵檢測系統(tǒng)
7.3 入侵管理
7.3.1 基于移動代理的入侵管理
7.3.2 入侵管理的告警融合
7.3.3 大規(guī)模分布式入侵管理
參考文獻
