網(wǎng)絡(luò)入侵檢測原理與技術(shù)

第一章 導(dǎo)論（1）
1.1 信息安全概念體系（1）
1.1.1 信息安全的基本范疇（1）
1.1.2 信息安全、信息保障與信息對抗的關(guān)系（1）
1.1.3 信息安全的基本類型（2）
1.1.4 信息安全的工程概念（3）
1.2 信息安全保障體系（3）
1.2.1 信息安全保障體系的時間-空間-功能特性（3）
1.2.2 信息安全保障模型（5）
1.2.3 信息安全保障體系結(jié)構(gòu)（6）
1.3 網(wǎng)絡(luò)入侵檢測技術(shù)（7）
1.3.1 網(wǎng)絡(luò)入侵檢測系統(tǒng)分類（8）
1.3.2 異常檢測常用技術(shù)（10）
1.3.3 濫用檢測技術(shù)（13）
1.4 網(wǎng)絡(luò)入侵檢測的誤警分析（18）
1.4.1 網(wǎng)絡(luò)入侵檢測方法分類（19）
1.4.2 網(wǎng)絡(luò)入侵檢測環(huán)境分析（20）
1.4.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)產(chǎn)生誤警的原因（20）
1.4.4 知識工程是解決網(wǎng)絡(luò)入侵檢測警問題的技術(shù)途徑（21）
1.5 本書的主要工作與特色（22）
參考文獻（22）
第二章 基于關(guān)鍵主機的異常檢測技術(shù)（23）
2.1 基于關(guān)鍵主機的異常檢測系統(tǒng)體系結(jié)構(gòu)（23）
2.1.1 基于關(guān)鍵主機的異常檢測系統(tǒng)設(shè)計需求（23）
2.1.2 基于關(guān)鍵主機的異常檢測系統(tǒng)總體結(jié)構(gòu)（24）
2.2 基于系統(tǒng)調(diào)用序列的異常檢測方法（26）
2.2.1 基于相對差異度和差異密度的異常檢測方法（CDAN）（27）
2.2.2 基于改進支持向量分類方法的異常檢測（IRSVC）（30）
2.3 基于網(wǎng)絡(luò)輸入流的異常檢測方法（36）
2.3.1 當前常用的網(wǎng)絡(luò)流異常檢測方法（36）
2.3.2 基于分形的網(wǎng)絡(luò)輸入流異常檢測方法（37）
2.4 基于粗糙集的告警信息融合方法（41）
2.4.1 基于粗糙集的告警信息融合系統(tǒng)結(jié)構(gòu)（41）
2.4.2 告警信息在時間方向上的融合（42）
2.4.3 基于粗糙集的告警信息空間方向上的融合（45）
參考文獻（51）
第三章 濫用檢測的不確定性知識表達與推理技術(shù)（53）
3.1 基于模糊不確定性推理的入侵檢測方法（53）
3.1.1 模糊檢測對攻擊變體的檢測能力分析（53）
3.1.2 模糊入侵檢測（56）
3.2 模糊攻擊知識庫的建立（60）
3.2.1 基于網(wǎng)絡(luò)數(shù)據(jù)包的攻擊特征選取（60）
3.2.2 攻擊知識獲?。?1）
3.2.3 模糊集合隸屬函數(shù)的建立（62）
3.3 基于模糊Petri網(wǎng)的攻擊知識表示與推理（63）
3.3.1 基于Petri網(wǎng)的知識表示的優(yōu)點（64）
3.3.2 Petri網(wǎng)原理（64）
3.3.3 基于模糊Petri網(wǎng)的攻擊知識表示與推理方法（65）
3.4 基于Petri網(wǎng)的攻擊知識庫校驗（71）
3.4.1 知識庫校驗的目標（71）
3.4.2 基于Petri網(wǎng)的攻擊知識校驗方法（73）
3.5 基于模糊神經(jīng)網(wǎng)絡(luò)的知識更新與規(guī)則提?。?6）
3.5.1 攻擊規(guī)則學(xué)習(xí)方法（76）
3.5.2 入侵檢測的模糊神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)（77）
3.5.3 模糊神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)算法（79）
參考文獻（82）
第四章 基于本體的網(wǎng)絡(luò)協(xié)同攻擊檢測技術(shù)（83）
4.1 網(wǎng)絡(luò)安全本體（83）
4.1.1 本體技術(shù)概述（83）
4.1.2 網(wǎng)絡(luò)安全本體概念類及其層次結(jié)構(gòu)（85）
4.1.3 網(wǎng)絡(luò)安全體的形式化邏輯（87）
4.1.4 網(wǎng)絡(luò)安全本體模型內(nèi)的概念映射算法（90）
4.2 協(xié)同攻擊檢測的檢測方法（92）
4.2.1 協(xié)同攻擊的時序檢測方法（93）
4.2.2 協(xié)同攻擊的功能檢測方法（96）
4.3 基于本體的協(xié)同攻擊檢測系統(tǒng)（99）
4.3.1 基本框架結(jié)構(gòu)（99）
4.3.2 系統(tǒng)各模塊之間的關(guān)系（99）
4.3.3 本體背景下DIDS的結(jié)構(gòu)和運行機制（100）
4.3.4 入侵檢測本體在Agent檢測領(lǐng)域知識的組織機的機制（106）
4.4 入侵檢測本體對遺留或異構(gòu)Agent的重構(gòu)框架（110）
參考文獻（113）
第五章 基于主動知識庫系統(tǒng)的濫用檢測系統(tǒng)（115）
5.1 主動知識庫系統(tǒng)（115）
5.1.1 主動知識庫系統(tǒng)結(jié)構(gòu)（115）
5.1.2 主動知識庫實現(xiàn)途徑（117）
5.1.3 主動專家系統(tǒng)（117）
5.2 基于主動專家系統(tǒng)的濫用檢測系統(tǒng)（118）
5.2.1 系統(tǒng)結(jié)構(gòu)（118）
5.2.2 系統(tǒng)所應(yīng)實現(xiàn)的主動功能（120）
5.2.3 分析層工作流程（121）
5.2.4 主動功能的ECA規(guī)則實現(xiàn)（122）
5.3 檢測知識的ECA規(guī)則表示（127）
5.3.1 入侵行為描述（127）
5.3.2 入侵事件分類（128）
5.3.3 入侵事件關(guān)系（131）
5.3.4 入侵事件模型（132）
5.3.5 入侵知識表示（139）
5.4 基于ECA規(guī)則的入侵檢測系統(tǒng)（140）
5.4.1 系統(tǒng)體系結(jié)構(gòu)（140）
5.4.2 入侵事件獲?。?41）
5.4.3 入侵事件管理（144）
5.4.4 事件分析（146）
5.4.5 與其他檢測方法比較（147）
參考文獻（149）
第六章 網(wǎng)絡(luò)入侵檢測機器學(xué)習(xí)方法（151）
6.1 網(wǎng)絡(luò)濫用檢測規(guī)則學(xué)習(xí)系統(tǒng)（151）
6.1.1 濫用檢測規(guī)則學(xué)習(xí)過程（151）
6.1.2 濫用檢測規(guī)則學(xué)習(xí)的作用與功能（152）
6.1.3 濫有檢測規(guī)則學(xué)習(xí)系統(tǒng)的總體結(jié)構(gòu)（153）
6.2 基于歸納的數(shù)據(jù)挖掘方法（153）
6.2.1 基于粗集理論的知識處理方法（154）
6.2.2 知識過濾器原理（154）
6.2.3 知識重構(gòu)機制的原理（156）
6.3 基于粗集遺傳算法的分類挖掘算法（157）
6.3.1 粗集理論與遺傳算法的基本思想（158）
6.3.2 基于RSGA的分類挖掘算法（161）
6.3.3 RSGA算法的描述（167）
6.4 RSGA算法在網(wǎng)絡(luò)入侵檢測中的應(yīng)用（168）
6.4.1 應(yīng)用背景（168）
6.4.2 利用RSGA算法挖掘濫用檢測規(guī)則（169）
6.4.3 RSGA算法的應(yīng)用示例（173）
6.4.4 試驗結(jié)果及評價（178）
參考文獻（179）
第七章 分布式入侵檢測與信息融合（181）
7.1 基于信息融合的分布式IDS體系結(jié)構(gòu)（181）
7.2 分布式IDS的Agent分類（183）
7.2.1 基于信息融合分布式IDS體系的Agent實現(xiàn)機制（183）
7.2.2 監(jiān)測層次SA（185）
7.2.3 預(yù)警層次WA（186）
7.2.4 識別層次IA（187）
7.2.5 決策層次DA（187）
7.2.6 響應(yīng)層次RA（187）
7.2.7 公共服務(wù)PSA（188）
7.3 從不確定性與智能的角度看分布式IDS信息融合（188）
7.3.1 環(huán)境與處理方式的特殊性（188）
7.3.2 信息的不確定性及其冗余與互補（188）
7.3.3 不確定性信息的智能融合（189）
7.3.4 信息融合的層次（189）
7.4 分布式IDS信息融合的形式化（189）
7.4.1 信息融合的形式系統(tǒng)觀（189）
7.4.2 信息融合系統(tǒng)的形式化邏輯（189）
7.5 融合信息源選擇及不確定性知識獲取（190）
7.5.1 選擇方法及其優(yōu)劣比較（190）
7.5.2 信息源選擇及權(quán)值獲取的粗集理論法（191）
7.6 分布式IDS多源融合方法（193）
7.6.1 加權(quán)模糊推理方法（193）
7.6.2 證據(jù)組合推理方法（197）
7.7 分布式IDS決策融合方法（201）
7.7.1 博弈論與模糊矩陣博弈（202）
7.7.2 基于FMG模型的威脅評估與全局決策（203）
7.7.3 應(yīng)用示例（203）
參考文獻（204）
第八章 網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展與趨勢（206）
8.1 網(wǎng)絡(luò)安全系統(tǒng)工程（206）
8.2 網(wǎng)絡(luò)入侵檢測的體系對抗概念（208）
8.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)組成（208）
8.4 基于指揮控制的網(wǎng)絡(luò)入侵檢測系統(tǒng)體系結(jié)構(gòu)（210）
8.4.1 強化防護層（210）
8.4.2 監(jiān)測層（211）
8.4.3 功能層（211）
8.5 基于信息保障的網(wǎng)絡(luò)入侵檢測系統(tǒng)自防護技術(shù)（211）
8.5.1 網(wǎng)絡(luò)入侵檢測系統(tǒng)的六類脆弱點（212）
8.5.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)面臨的四類威脅（213）
8.5.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)的自防護原則與技術(shù)途徑（213）
參考文獻（215）