《网络入侵检测系统的设计与实现》求取 ⇩

第1章 概述1

1.1 入侵检测系统的组成部分1

1.2 滥用入侵检测系统2

1.3 非规则入侵检测系统3

1.4 两种分析技术的比较3

1.5 入侵检测系统的层次体系4

1.6 进一步发展的若干方向5

1.6.1 宽带高速网络的实时入侵检测技术5

1.6.2 大规模分布式入侵检测技术5

1.6.3 入侵检测的数据融合技术6

1.6.4 先进检测算法的应用6

1.7 面临的挑战7

第2章 网络编程基础知识9

2.1 分层协议模型9

2.2 开放系统互联参考模型OSI/ISO10

2.3 TCP/IP参考模型10

2.4 UNIX网络编程技术概述12

2.5 TCP/IP协议13

2.5.1 网络接口层协议13

2.5.2 ARP协议和RARP协议14

2.5.3 IP协议15

2.5.4 ICMP协议18

2.5.5 TCP协议21

2.5.6 UDP协议22

第3章 网络数据包截获机制分析25

3.1 基本的网络数据包截获机制25

3.2 高效的数据包截获/过滤机制35

3.2.1 概述35

3.2.2 BPF的工作原理36

3.2.3 BPF虚拟机的实现37

3.2.4 BPF程序源代码39

3.3 数据包截获的Libpcap库函数接口59

3.3.1 概述59

3.3.2 Libpcap库函数接口59

3.3.3 采用Libpcap库的数据包截获实例71

第4章 入侵检测引擎的设计85

4.1 IDES系统概述85

4.1.1 什么是IDES系统85

4.1.2 IDES的系统设计86

4.1.3 IDES的审计记录格式89

4.2 用于入侵检测的统计分析测量值93

4.2.1 用户测量值93

4.2.2 目标系统95

4.2.3 远程主机95

4.3 基于统计分析的分析算法96

4.3.1 IDES分数值(score)96

4.3.2 分数值T2如何从单个测量值获得96

4.3.3 单个测量值类型97

4.3.4 S与Q联系的启发式描述98

4.3.5 从Q计算S的算法98

4.3.6 计算Q的频率分布99

4.3.7 计算活动强度测量值的Q值100

4.3.8 计算审计记录分布测量值的Q值101

4.3.9 计算类别测量值的统计值Q102

4.3.10 计算序数测量值的Q值103

4.4 相关的数据结构及函数接口104

4.4.1 数据结构104

4.4.2 函数接口107

第5章 专家系统的应用111

5.1 概述111

5.2 由一个简单实例开始111

5.3 PBEST的基本语法114

5.4 更详细的语法介绍116

5.5 专家系统的外部接口121

5.6 一个示例Makefile124

5.7 PBEST语法图表126

5.8 带参数的pbcc调用129

第6章 入侵检测规则语言的设计131

6.1 概述131

6.2 N-Code语言的词法元素131

6.2.1 字符集131

6.2.2 注释132

6.2.3 运算符132

6.2.4 变量133

6.2.5 保留字133

6.2.6 常量133

6.3 N-Code语言的数据类型134

6.3.1 概述134

6.3.2 array134

6.3.3 ethmac135

6.3.4 error135

6.3.5 int135

6.3.6 ipv4host135

6.3.7 ipv4net136

6.3.8 list136

6.3.9 recorder136

6.3.10 str136

6.3.11 pattern137

6.4 N-Code的表达式137

6.4.1 概述137

6.4.2 算术运算符137

6.4.3 赋值运算符139

6.4.4 位运算符139

6.4.5 逻辑运算符141

6.4.6 关系运算符143

6.4.7 其他运算符145

6.5 N-Code语句146

6.5.1 概述146

6.5.2 assignment146

6.5.3 block146

6.5.4 break147

6.5.5 declare147

6.5.6 expression148

6.5.7 foreach148

6.5.8 If149

6.5.9 off150

6.5.10 on150

6.5.11 record153

6.5.12 requires153

6.5.13 return154

6.5.14 while154

6.6 N-Code中的函数154

6.7 N-Code中的函数声明178

6.7.1 概述178

6.7.2 函数的声明178

6.7.3 过滤器的声明179

6.7.4 作用域180

6.7.5 声明与赋值181

6.7.6 访问181

6.8 N-Code数据包变量181

6.8.1 ethernet变量组181

6.8.2 fddi变量组182

6.8.3 icmp变量组182

6.8.4 ip变量组183

6.8.5 llc变量组184

6.8.6 packet变量组185

6.8.7 system变量组186

6.8.8 tcp变量组186

6.8.9 udp变量组189

6.9 N-Code异常190

6.9.1 长度异常190

6.9.2 校验和异常190

6.9.3 协议异常190

6.9.4 内部异常191

第7章 NFR入侵检测系统实例192

7.1 IDA系统的基本工作原理192

7.1.1 NFR IDA系统功能概述192

7.1.2 IDA系统环境构成193

7.1.3 NFR IDA系统架构193

7.1.4 IDA引擎组件195

7.1.5 后端组件195

7.1.6 警报197

7.1.7 查询198

7.1.8 后台进程198

7.1.9 分布式环境中的应用198

7.2 如何使用IDA系统199

7.2.1 启动NFR IDA系统200

7.2.2 终止NFR IDA系统200

7.2.3 使用NFR控制台200

7.3 查询数据205

7.3.1 建立简单查询205

7.3.2 打印查询结果206

7.3.3 限制查询207

7.3.4 保存查询210

7.3.5 载入查询210

7.3.6 将数据导出到数据库210

7.3.7 使用Perl查询附件(Perl Query Add-on)214

7.4 查看警告217

7.4.1 概述218

7.4.2 理解警告组件218

7.4.3 使用警告查看器220

7.5 配置包与后端组件223

7.5.1 启用包与后端组件224

7.5.2 禁用包与后端组件224

7.5.3 配置磁盘空间225

7.5.4 配置值228

7.5.5 添加包与后端组件228

7.5.6 删除包或后端组件229

7.6 配置警告230

7.6.1 理解警告组230

7.6.2 改变警告规则231

7.6.3 建立新规则231

7.7 配置访问控制232

7.7.1 理解访问控制233

7.7.2 理解用户管理234

7.7.3 设置权限234

7.7.4 配置用户账户235

7.8 监控IDA性能236

7.8.1 理解系统状态报表237

7.8.2 查看系统历史状态238

7.8.3 查看系统状态报表239

7.9 包与后端组件列表239

7.9.1 具有可配置值的后端组件239

7.9.2 邮件241

7.9.3 网络统计241

7.9.4 网络服务242

7.9.5 攻击特征243

7.9.6 拒绝服务(DoS)检测247

7.9.7 产品特定模块248

7.9.8 入侵检测249

7.9.9 扫描器251

7.10 理解数据类型251

7.11 术语表254

第8章 网络入侵检测系统的具体实现256

8.1 概述256

8.1.1 Snort系统概述256

8.1.2 系统程序架构256

8.2 初始化、主函数和命令行解析258

8.2.1 初始化、主函数和命令行参数分析例程258

8.2.2 Snort使用方法284

8.2.3 PV数据结构286

8.2.4 ParseCmdLine(325)287

8.2.5 SetPktProcessor(548)288

8.2.6 OpenPcap(666)288

8.2.7 主函数main(153)289

8.2.8 ProcessPacket(759)290

8.3 协议解析例程分析290

8.3.1 协议解析器(Decoder)例程290

8.3.2 Packet数据结构(1243)331

8.3.3 DecodeEthPkt(1303)332

8.3.4 DecodePppPkt(1573)332

8.3.5 DecodeTRPkt(1395)333

8.3.6 DecodeNullPkt(1368)333

8.3.7 其他的数据链路层协议解析例程334

8.3.8 DecodeIP(1681)334

8.3.9 DecodeTCP(1800)334

8.3.10 DecodeUDP(1845)335

8.3.11 DecodeICMP(1877)335

8.3.12 DecodeARP(1916)335

8.3.13 DecodeIPV6(1935)、DecodeIPX(1951)336

8.3.14 DecodeTCPOptions(1967)336

8.3.15 DecodeIPOptions(2037)337

8.4 如何编写Snort的规则337

8.4.1 规则头337

8.4.2 规则选项339

8.4.3 预处理器345

8.4.4 输出模块347

8.4.5 高级规则概念348

8.5 规则解析例程分析349

8.5.1 规则(Rule)解析例程349

8.5.2 RuleTreeNode数据结构(2162)389

8.5.3 OptTreeNode数据结构(2142)389

8.5.4 RuleFpList(2129)、RuleOptList(2137)389

8.5.5 ListHead数据结构(2182)390

8.5.6 mSplit(3210)390

8.5.7 ParseRulesFile(2224)391

8.5.8 规则解析器ParseRule(2287)391

8.5.9 规则链表头处理例程ProcessHeadNode(2397)392

8.5.10 AddRuleFuncToList(2487)393

8.5.11 SetupRTNFuncList(2523)393

8.5.12 AddrToFunc(2563)和PortToFunc(2604)394

8.5.13 ParsePreprocessor(2681)394

8.5.14 ParseOutputPlugin(2749)395

8.5.15 ParseListFile(2895)395

8.5.16 CreateRule(2939)396

8.5.17 ParseRuleOptions(2966)396

8.5.18 ParseMessage(3110)397

8.5.19 ParseLogto(3147)397

8.5.20 ParseResponse(3178)398

8.6 检测引擎例程分析398

8.6.1 检测引擎(Detection Engine)例程398

8.6.2 Preprocess(3328)413

8.6.3 Detect(3351)413

8.6.4 EvalPacket(3398)413

8.6.5 EvalHeader(3453)414

8.6.6 EvalOpts(3501)414

8.6.7 CheckBidirectional(3534)415

8.6.8 CheckSrcIPEqual(3590)415

8.6.9 CheckSrcIPNotEq(3602)416

8.6.10 CheckDstIPEqual(3631)416

8.6.11 CheckDstIPNotEq(3649)416

8.6.12 CheckSrcPortEqual(3658)416

8.6.13 CheckSrcPortNotEq(3666)416

8.6.14 CheckDstPortEqual(3674)416

8.6.15 CheckDstPortNotEq(3682)417

8.6.16 CheckAddrPort(3698)417

8.7 插件模块管理例程分析418

8.7.1 插件(Plugins)管理例程418

8.7.2 KeywordXlateList(3841)435

8.7.3 PreprocessKeywordList(3852)435

8.7.4 OutputKeywordList(3875)435

8.7.5 InitPlugins(3896)435

8.7.6 InitPreprocessors(3917)436

8.7.7 InitOutputPlugins(3929)436

8.7.8 RegisterPlugin(3951)436

8.7.9 SetupIcmpCodeCheck(4081)437

8.7.10 IcmpCodeCheckInit(4095)437

8.7.11 ParseIcmpCode(4118)437

8.7.12 IcmpCodeCheck(4152)437

8.7.13 SetupMinfrag(4169)438

8.7.14 MinfragInit(4173)438

8.7.15 ProcessMinfragArgs(4178)438

8.7.16 CheckMinfrag(4216)438

8.7.17 SetupFastAlert(4253)439

8.7.18 FastAlertInit(4265)439

8.7.19 SpoAlertFast(4275)439

8.7.20 ParseFastAlertArgs(4291)439

8.7.21 FastAlertCleanExitFunc(4308)和FastAlertRe+++startFunc(4315)439

8.8 预处理器插件模块分析440

8.8.1 预处理器(Preprocessor)插件模块440

8.8.2 PortList数据结构(4323)474

8.8.3 http decode预处理器插件管理例程474

8.8.4 SetPorts(4362)474

8.8.5 预处理器主模块PreprocUrlDecode(4387)474

8.8.6 一组用于端口扫描(Portscan)预处理器插件的数据结构475

8.8.7 Portscan预处理器插件管理例程476

8.8.8 ParsePortscanArgs(4567)476

8.8.9 Portscanignorehosts预处理器插件管理例程477

8.8.10 CreateServerList(4640)477

8.8.11 预处理器主模块PortscanPreprocFunction(4673)478

8.8.12 CheckTCPFlags(4784)479

8.8.13 ExpireConnections(4877)479

8.8.14 RemoveConnection(4955)481

8.8.15 NewScan(5041)481

8.8.16 NewConnection(5164)483

8.8.17 AddConnection(5206)483

8.8.18 ClearConnectionInfoFromSource(5272)483

8.8.19 LogScanInfoToSeparateFile(5303)484

8.8.20 AlertIntermediateInfo(5424)484

8.8.21 其他的连接管理例程484

8.8.22 几个工具例程485

8.9 规则选项关键字插件模块分析485

8.9.1 规则选项关键字(Keyword)插件模块485

8.9.2 参数解析例程ParseDsize(5470)521

8.9.3 dsize插件模块CheckDsizeGT(5505)、CheckDsizeLT(5515)和CheckDsizeEQ(5495)522

8.9.4 PatternMatchData数据结构(5527)522

8.9.5 content插件管理例程522

8.9.6 参数解析例程ParsePattern(5646)523

8.9.7 content插件处理模块CheckPatternMatch(5836)524

8.9.8 参数解析例程ParseSession(5914)524

8.9.9 session插件处理模块LogSessionData(5934)525

8.9.10 DumpSessionData(5953)525

8.9.11 OpenSessionFile(5993)525

8.9.12 参数解析例程ParseIpOptionData(6082)525

8.9.13 ipoptions插件主处理模块CheckIpOptions(6148)526

8.9.14 resp插件主模块Respond(6165)526

8.9.15 SendICMP-UNREACH(6203)和SendTCPRST(6237)526

8.9.16 其他的选项关键字插件处理模块526

8.10 输出插件模块分析527

8.10.1 输出(Output)插件模块527

8.10.2 主处理模块AlertFast(6778)538

8.10.3 OpenAlertFile(6826)539

8.10.4 ProcessFileOption(6853)539

8.10.5 FastAlertCleanExitFunc(6881)和FastAlertRestartFunc(6888)539

8.10.6 主处理函数AlertFull(6921)539

8.10.7 PrintIPHeader(6971)540

8.10.8 参数解析例程ParseTcpdumpArgs(7108)540

8.10.9 TcpdumpInitLogFile(7129)541

8.10.10 主处理函数LogTcpdump(7154)541

8.10.11 pcap-dump-open(7160)和pcap-dump(7176)541

《网络入侵检测系统的设计与实现》由于是年代较久的资料都绝版了,几乎不可能购买到实物。如果大家为了学习确实需要,可向博主求助其电子版PDF文件。对合法合规的求助,我会当即受理并将下载地址发送给你。

高度相关资料

自顶向下网络设计  企业网络设计的系统分析方法(1999 PDF版)
自顶向下网络设计 企业网络设计的系统分析方法
1999 北京:电子工业出版社
高等学校适用教材 机械工程技术基础实习( PDF版)
高等学校适用教材 机械工程技术基础实习
windowsnt网络系统( PDF版)
windowsnt网络系统
网络、信号与系统( PDF版)
网络、信号与系统
防火墙与网络安全:入侵检测和VPNs( PDF版)
防火墙与网络安全:入侵检测和VPNs
局部网络的设计与实现( PDF版)
局部网络的设计与实现
计算机汉字系统的设计与实现(1992 PDF版)
计算机汉字系统的设计与实现
1992 广州:华南理工大学出版社
西北开发史料选辑  1930-1947(1998 PDF版)
西北开发史料选辑 1930-1947
1998 北京:经济科学出版社
网络、信号与系统(1995 PDF版)
网络、信号与系统
1995 西安:西安电子科技大学出版社
基于MATLAB的系统分析与设计 3 神经网络(1998 PDF版)
基于MATLAB的系统分析与设计 3 神经网络
1998 西安:西安电子科技大学出版社
电路电子学(1999 PDF版)
电路电子学
1999 西安:陕西师范大学出版社
计算机网设计与实现(1994 PDF版)
计算机网设计与实现
1994 北京:人民邮电出版社
计算机网络保密系统设计与实现指南(1987 PDF版)
计算机网络保密系统设计与实现指南
1987 北京:科学技术文献出版社
入侵者检测(1999 PDF版)
入侵者检测
1999 北京:电子工业出版社
最新网络系统入门(1997 PDF版)
最新网络系统入门
1997 成都:成都科技大学出版社