入侵檢測

第1章 入侵檢測系統(tǒng)的歷史
1.1 審計：入侵檢測的舞臺
1.1.1 金融審計和安全審計的區(qū)別
1.1.2 作為管理工具的審計
1.1.3 EDP審計和早期的計算機安全
1.1.4 計算機安全和審計的軍事模型
1.2 入侵檢測的誕生
1.2.1 Anderson和精簡審計問題
1.2.2 Denning，Neumann和IDES
1.2.3 80年代的入侵檢測系統(tǒng)熱
1.2.4 基于主機和網(wǎng)絡(luò)入侵檢測的集成
1.2.5 商業(yè)產(chǎn)品的出現(xiàn)
1.3 本章小結(jié)
第2章 概念和定義
2.1 入侵檢測簡介
2.2 安全概念
2.2.1 計算機和網(wǎng)絡(luò)安全的文化視角
2.2.2 計算機安全的實際定義
2.2.3 計算機安全的形式定義
2.2.4 信任
2.2.5 威脅
2.2.6 脆弱性
2.2.7 安全策略
2.2.8 系統(tǒng)安全基礎(chǔ)設(shè)施中的其它要素
2.2.9 安全問題是怎樣發(fā)生的
2.3 入侵檢測概念
2.3.1 體系結(jié)構(gòu)
2.3.2 監(jiān)測策略
2.3.3 分析類型
2.3.4 時間性
2.3.5 檢測目標
2.3.6 控制問題
2.3.7 確定入侵檢測的策略
2.4 本章小結(jié)
第3章 信息源
3.1 本章的組織
3.1.1 哪個信息源是正確的信息源
3.1.2 一直存在的問題
3.2 基于主機的信息源
3.2.1 操作系統(tǒng)審計蹤跡
3.2.2 構(gòu)造審計蹤跡的方法
3.2.3 商業(yè)審計系統(tǒng)的問題
3.2.4 操作系統(tǒng)審計蹤跡的正反面
3.2.5 審計蹤跡的內(nèi)容
3.2.6 審計精簡
3.2.7 系統(tǒng)日志
3.2.8 應(yīng)用信息
3.2.9 基于目標的監(jiān)測
3.3 基于網(wǎng)絡(luò)的信息源
3.3.1 為什么采用網(wǎng)絡(luò)源
3.3.2 網(wǎng)絡(luò)包
3.3.3 TCP/IP網(wǎng)絡(luò)
3.3.4 包俘獲
3.3.5 網(wǎng)絡(luò)設(shè)備
3.3.6 帶外（Out-of-Band）信息源
3.4 來自其它安全產(chǎn)品的信息
3.4.1 一個安全產(chǎn)品數(shù)據(jù)源的例子
3.4.2 分析之前的信息組織
3.4.3 作為數(shù)據(jù)源的其它系統(tǒng)部分
3.5 本章小結(jié)
第4章 分析方案
4.1 入侵的思考
4.1.1 定義分析
4.1.2 目標
4.1.3 支持目標
4.1.4 檢測入侵
4.2 一個入侵分析模型
4.2.1 構(gòu)建分析器
4.2.2 執(zhí)行分析
4.2.3 反饋和提煉
4.3 方法
4.3.1 誤用檢測
4.3.2 異常檢測
4.3.3 可代替的檢測方案
4.4 本章小結(jié)
第5章 響應(yīng)
5.1 對響應(yīng)的需求
5.1.1 操作環(huán)境
5.1.2 系統(tǒng)目標和優(yōu)先權(quán)
5.1.3 規(guī)則的或法令的需求
5.1.4 把專業(yè)技術(shù)傳授給用戶
5.2 響應(yīng)的類型
5.2.1 主動響應(yīng)
5.2.2 被動響應(yīng)
5.3 調(diào)查期間掩蓋跟蹤
5.3.1 對響應(yīng)部件自動防故障裝置的考慮
5.3.2 處理錯誤告警
5.3.3 存檔和報告
5.4 按策略配置響應(yīng)
5.4.1 立即或緊急行動
5.4.2 適時行動
5.4.3 本地的長期行動
5.4.4 全局的長期行動
5.5 本章小結(jié)
第6章 脆弱性分析：一個特殊范例
6.1 脆弱性分析
6.1.1 脆弱性分析的基本原理
6.1.2 COPS——一個脆弱性分析的范例
6.1.3 問題與考慮
6.2 證書式（Credentialed）方法
6.2.1 證書式方法的定義
6.2.2 為證書式方法確定主題
6.2.3 證書式方法的策略和優(yōu)化
6.3 非證書式（noncredentialed）方法
6.3.1 大量證書式（noncredentialed）方法的定義
6.3.2 非證書式脆弱性分析的方法
6.3.3 使用攻擊程序的測試
6.3.4 推斷方法
6.3.5 一個歷史的注記
6.3.6 SATAN的結(jié)構(gòu)
6.3.7 自動防故障特性
6.3.8 與SATAN有關(guān)的問題
6.4 口令破解
6.4.1 實施操作的概念與原理
6.4.2 作為脆弱性分析的口令破解器
6.5 脆弱性分析的優(yōu)點與缺點
6.5.1 證書式分析技術(shù)的優(yōu)點
6.5.2 非證書式分析技術(shù)的優(yōu)點
6.5.3 不利因素
6.6 本章小結(jié)
第7章 技術(shù)性問題
7.1 可擴展性
7.1.1 基于時間上的擴展
7.1.2 基于空間上的擴展
7.1.3 例子研究——GrIDS
7.2 可管理性
7.2.1 網(wǎng)絡(luò)管理
7.2.2 傳感器的控制
7.2.3 對調(diào)查研究的支持
7.2.4 性能裝載
7.3 可靠性
7.3.1 信息來源的可靠性
7.3.2 分析引擎的可靠性
7.3.3 響應(yīng)裝置的可靠性
7.3.4 通信鏈接的可靠性
7.4 分析問題
7.4.1 基于人工智能的檢測器的訓(xùn)練集
7.4.2 異常事件檢測中的錯誤肯定和錯誤否定
7.4.3 趨勢分析
7.4.4 策略的編寫
7.5 互操作性
7.5.1 CIDF/CRISIS的努力
7.5.2 審計蹤跡標準
7.6 集成性
7.7 用戶接口
7.8 本章小結(jié)
第8章 認識現(xiàn)實世界的挑戰(zhàn)
8.1 安全性問題的根本
8.1.1 設(shè)計和開發(fā)中的問題
8.1.2 管理的問題
8.1.3 信任的問題
8.2 在一位黑客的眼中
8.2.1 確定攻擊目標
8.2.2 勘探性連接
8.2.3 獲取訪問權(quán)限
8.2.4 實施攻擊
8.3 安全和傳統(tǒng)工程
8.3.1 傳統(tǒng)工程
8.3.2 安全工程
8.3.3 整理的規(guī)則
8.4 入侵檢測系統(tǒng)的規(guī)則
8.5 本章小結(jié)
第9章 法律問題
9.1 對付討厭的法律
9.1.1 法律系統(tǒng)
9.1.2 立法
9.1.3 民事訴訟/民事侵權(quán)法律
9.1.4 在計算機網(wǎng)絡(luò)中運用法律的復(fù)雜性
9.2 證據(jù)規(guī)則
9.2.1 證據(jù)的種類
9.2.2 證據(jù)的可用性
9.2.3 限制和例外
9.2.4 處理證據(jù)的規(guī)定
9.2.5 適用于系統(tǒng)記錄和審計
9.3 與監(jiān)視行為有關(guān)的法律
9.3.1 當一個系統(tǒng)管理員監(jiān)視一個系統(tǒng)時
9.3.2 當法律執(zhí)行代理監(jiān)視一個系統(tǒng)時
9.3.3 監(jiān)視通知單
9.4 我們從實例中學(xué)到了什么
9.4.1 Mitnick案例
9.4.2 羅馬實驗室事件
9.4.3 教訓(xùn)
9.5 本章小結(jié)
第10章 作為用戶
10.1 確定你的要求
10.1.1 你的系統(tǒng)環(huán)境
10.1.2 目標和結(jié)果
10.1.3 回顧你的策略
10.1.4 要求和限制
10.2 了解產(chǎn)品
10.2.1 了解問題空間
10.2.2 產(chǎn)品是否可升級
10.2.3 如何進行測試
10.2.4 本產(chǎn)品是一個工具還是一種應(yīng)用
10.2.5 響亮口號和聰明才智
10.2.6 推測產(chǎn)品的壽命
10.2.7 培訓(xùn)支持
10.2.8 產(chǎn)品目標的先后次序
10.2.9 產(chǎn)品差異
10.3 使策略與配置匹配
10.3.1 策略轉(zhuǎn)變?yōu)橐?guī)則
10.3.2 真實世界的主體與客體
10.3.3 監(jiān)視策略與安全策略
10.3.4 測試聲明
10.4 顯示時間、事故處理和調(diào)查
10.4.1 偵察員的榮譽
10.4.2 最佳操作
10.4.3 當氣球升上天空
10.4.4 法律執(zhí)行
10.4.5 期望
10.4.6 破壞控制
10.4.7 應(yīng)付政治迫害
10.5 本章小結(jié)
第11章 作為策略專家
11.1 建立安全方案
11.1.1 搜集信息
11.1.2 組織要實現(xiàn)什么目標
11.1.3 安全怎樣適應(yīng)全部的商業(yè)目標
11.1.4 信息安全應(yīng)該嵌入到企業(yè)的風(fēng)險管理程序的什么地方
11.1.5 保護系統(tǒng)我們需要做些什么
11.1.6 尋找盟友
11.1.7 克服管理上的阻力
11.2 定義IDS需求
11.2.1 再談安全目標
11.2.2 威脅是什么
11.2.3 我們的局限是什么
11.2.4 關(guān)于引進入侵檢測和系統(tǒng)監(jiān)測的幾點考慮
11.3 天花亂墜的廣告宣傳與實際的解決方案
11.3.1 什么樣的產(chǎn)品最適合你
11.3.2 安裝這一產(chǎn)品將有多么痛苦
11.3.3 運行這個產(chǎn)品將有多么痛苦
11.3.4 員工的期望是什么
11.3.5 誰是這個產(chǎn)品的夢幻用戶
11.4 在原有的安全系統(tǒng)環(huán)境中集成新的安全特性
11.4.1 評估現(xiàn)在系統(tǒng)
11.4.2 平衡安全投資
11.4.3 處理“濕件”（Wetware）——系統(tǒng)中與人相關(guān)的因素
11.4.4 處理沖突
11.5 處理企業(yè)變動的影響
11.5.1 合并和獲取
11.5.2 戰(zhàn)略伙伴
11.5.3 全球化
11.5.4 擴張與縮減
11.5.5 從私有到公開
11.6 本章小結(jié)
第12章 作為設(shè)計者考慮
12.1 需求
12.1.1 好的和極好的入侵檢測
12.1.2 達到安全的不同途徑
12.1.3 策略
12.2 安全設(shè)計原則
12.2.1 機制的經(jīng)濟性
12.2.2 可靠缺省
12.2.3 完全調(diào)節(jié)
12.2.4 開放設(shè)計
12.2.5 特權(quán)分割
12.2.6 最小權(quán)限
12.2.7 最小通用機制
12.2.8 心理上可接受性
12.3 在設(shè)計過程中生存下來
12.3.1 建立優(yōu)先級
12.3.2 關(guān)于威脅者
12.3.3 打破和維持平衡
12.4 產(chǎn)品定位
12.4.1 衡量成功
12.4.2 虛假的起點
12.4.3 測試方法
12.4.4 測試網(wǎng)絡(luò)入侵檢測的性能
12.5 來自前輩們的建議
12.5.1 使用好的工程實現(xiàn)
12.5.2 安全的傳感器
12.5.3 注意正確地重新組裝
12.5.4 不要低估硬件需求
12.5.5 不要期望可信的統(tǒng)計數(shù)據(jù)源
12.5.6 考慮對策
12.5.7 不支持辯論
12.5.8 支持現(xiàn)代安全特點
12.6 本章小結(jié)
第13章 將來的需要
13.1 將來的社會趨勢
13.1.1 地球村和全球市場
13.1.2 隱私是一個經(jīng)濟驅(qū)動力
13.1.3 不同的戰(zhàn)爭
13.1.4 主權(quán)
13.2 將來的技術(shù)趨勢
13.2.1 網(wǎng)絡(luò)結(jié)構(gòu)的變化
13.2.2 開放源碼軟件
13.2.3 無線網(wǎng)絡(luò)的進步
13.2.4 分布式計算
13.3 未來的安全趨勢
13.3.1 管理
13.3.2 保護隱私安全
13.3.3 信息質(zhì)量與訪問控制
13.3.4 加密、加密，到處都加密
13.3.5 邊界侵蝕
13.3.6 可靠傳輸與信息管理
13.4 入侵檢測的前景
13.4.1 能力
13.4.2 高度分布式結(jié)構(gòu)
13.4.3 安全管理的911
13.4.4 普遍信息源
13.4.5 硬件防護
13.4.6 重點在于服務(wù)，而不在于產(chǎn)品
13.5 本章小結(jié)
術(shù)語表