網(wǎng)絡入侵檢測原理與技術

第一章 導論（1）
1.1 信息安全概念體系（1）
1.1.1 信息安全的基本范疇（1）
1.1.2 信息安全、信息保障與信息對抗的關系（1）
1.1.3 信息安全的基本類型（2）
1.1.4 信息安全的工程概念（3）
1.2 信息安全保障體系（3）
1.2.1 信息安全保障體系的時間-空間-功能特性（3）
1.2.2 信息安全保障模型（5）
1.2.3 信息安全保障體系結構（6）
1.3 網(wǎng)絡入侵檢測技術（7）
1.3.1 網(wǎng)絡入侵檢測系統(tǒng)分類（8）
1.3.2 異常檢測常用技術（10）
1.3.3 濫用檢測技術（13）
1.4 網(wǎng)絡入侵檢測的誤警分析（18）
1.4.1 網(wǎng)絡入侵檢測方法分類（19）
1.4.2 網(wǎng)絡入侵檢測環(huán)境分析（20）
1.4.3 網(wǎng)絡入侵檢測系統(tǒng)產(chǎn)生誤警的原因（20）
1.4.4 知識工程是解決網(wǎng)絡入侵檢測警問題的技術途徑（21）
1.5 本書的主要工作與特色（22）
參考文獻（22）
第二章 基于關鍵主機的異常檢測技術（23）
2.1 基于關鍵主機的異常檢測系統(tǒng)體系結構（23）
2.1.1 基于關鍵主機的異常檢測系統(tǒng)設計需求（23）
2.1.2 基于關鍵主機的異常檢測系統(tǒng)總體結構（24）
2.2 基于系統(tǒng)調用序列的異常檢測方法（26）
2.2.1 基于相對差異度和差異密度的異常檢測方法（CDAN）（27）
2.2.2 基于改進支持向量分類方法的異常檢測（IRSVC）（30）
2.3 基于網(wǎng)絡輸入流的異常檢測方法（36）
2.3.1 當前常用的網(wǎng)絡流異常檢測方法（36）
2.3.2 基于分形的網(wǎng)絡輸入流異常檢測方法（37）
2.4 基于粗糙集的告警信息融合方法（41）
2.4.1 基于粗糙集的告警信息融合系統(tǒng)結構（41）
2.4.2 告警信息在時間方向上的融合（42）
2.4.3 基于粗糙集的告警信息空間方向上的融合（45）
參考文獻（51）
第三章 濫用檢測的不確定性知識表達與推理技術（53）
3.1 基于模糊不確定性推理的入侵檢測方法（53）
3.1.1 模糊檢測對攻擊變體的檢測能力分析（53）
3.1.2 模糊入侵檢測（56）
3.2 模糊攻擊知識庫的建立（60）
3.2.1 基于網(wǎng)絡數(shù)據(jù)包的攻擊特征選?。?0）
3.2.2 攻擊知識獲取（61）
3.2.3 模糊集合隸屬函數(shù)的建立（62）
3.3 基于模糊Petri網(wǎng)的攻擊知識表示與推理（63）
3.3.1 基于Petri網(wǎng)的知識表示的優(yōu)點（64）
3.3.2 Petri網(wǎng)原理（64）
3.3.3 基于模糊Petri網(wǎng)的攻擊知識表示與推理方法（65）
3.4 基于Petri網(wǎng)的攻擊知識庫校驗（71）
3.4.1 知識庫校驗的目標（71）
3.4.2 基于Petri網(wǎng)的攻擊知識校驗方法（73）
3.5 基于模糊神經(jīng)網(wǎng)絡的知識更新與規(guī)則提?。?6）
3.5.1 攻擊規(guī)則學習方法（76）
3.5.2 入侵檢測的模糊神經(jīng)網(wǎng)絡結構（77）
3.5.3 模糊神經(jīng)網(wǎng)絡的學習算法（79）
參考文獻（82）
第四章 基于本體的網(wǎng)絡協(xié)同攻擊檢測技術（83）
4.1 網(wǎng)絡安全本體（83）
4.1.1 本體技術概述（83）
4.1.2 網(wǎng)絡安全本體概念類及其層次結構（85）
4.1.3 網(wǎng)絡安全體的形式化邏輯（87）
4.1.4 網(wǎng)絡安全本體模型內的概念映射算法（90）
4.2 協(xié)同攻擊檢測的檢測方法（92）
4.2.1 協(xié)同攻擊的時序檢測方法（93）
4.2.2 協(xié)同攻擊的功能檢測方法（96）
4.3 基于本體的協(xié)同攻擊檢測系統(tǒng)（99）
4.3.1 基本框架結構（99）
4.3.2 系統(tǒng)各模塊之間的關系（99）
4.3.3 本體背景下DIDS的結構和運行機制（100）
4.3.4 入侵檢測本體在Agent檢測領域知識的組織機的機制（106）
4.4 入侵檢測本體對遺留或異構Agent的重構框架（110）
參考文獻（113）
第五章 基于主動知識庫系統(tǒng)的濫用檢測系統(tǒng)（115）
5.1 主動知識庫系統(tǒng)（115）
5.1.1 主動知識庫系統(tǒng)結構（115）
5.1.2 主動知識庫實現(xiàn)途徑（117）
5.1.3 主動專家系統(tǒng)（117）
5.2 基于主動專家系統(tǒng)的濫用檢測系統(tǒng)（118）
5.2.1 系統(tǒng)結構（118）
5.2.2 系統(tǒng)所應實現(xiàn)的主動功能（120）
5.2.3 分析層工作流程（121）
5.2.4 主動功能的ECA規(guī)則實現(xiàn)（122）
5.3 檢測知識的ECA規(guī)則表示（127）
5.3.1 入侵行為描述（127）
5.3.2 入侵事件分類（128）
5.3.3 入侵事件關系（131）
5.3.4 入侵事件模型（132）
5.3.5 入侵知識表示（139）
5.4 基于ECA規(guī)則的入侵檢測系統(tǒng)（140）
5.4.1 系統(tǒng)體系結構（140）
5.4.2 入侵事件獲?。?41）
5.4.3 入侵事件管理（144）
5.4.4 事件分析（146）
5.4.5 與其他檢測方法比較（147）
參考文獻（149）
第六章 網(wǎng)絡入侵檢測機器學習方法（151）
6.1 網(wǎng)絡濫用檢測規(guī)則學習系統(tǒng)（151）
6.1.1 濫用檢測規(guī)則學習過程（151）
6.1.2 濫用檢測規(guī)則學習的作用與功能（152）
6.1.3 濫有檢測規(guī)則學習系統(tǒng)的總體結構（153）
6.2 基于歸納的數(shù)據(jù)挖掘方法（153）
6.2.1 基于粗集理論的知識處理方法（154）
6.2.2 知識過濾器原理（154）
6.2.3 知識重構機制的原理（156）
6.3 基于粗集遺傳算法的分類挖掘算法（157）
6.3.1 粗集理論與遺傳算法的基本思想（158）
6.3.2 基于RSGA的分類挖掘算法（161）
6.3.3 RSGA算法的描述（167）
6.4 RSGA算法在網(wǎng)絡入侵檢測中的應用（168）
6.4.1 應用背景（168）
6.4.2 利用RSGA算法挖掘濫用檢測規(guī)則（169）
6.4.3 RSGA算法的應用示例（173）
6.4.4 試驗結果及評價（178）
參考文獻（179）
第七章 分布式入侵檢測與信息融合（181）
7.1 基于信息融合的分布式IDS體系結構（181）
7.2 分布式IDS的Agent分類（183）
7.2.1 基于信息融合分布式IDS體系的Agent實現(xiàn)機制（183）
7.2.2 監(jiān)測層次SA（185）
7.2.3 預警層次WA（186）
7.2.4 識別層次IA（187）
7.2.5 決策層次DA（187）
7.2.6 響應層次RA（187）
7.2.7 公共服務PSA（188）
7.3 從不確定性與智能的角度看分布式IDS信息融合（188）
7.3.1 環(huán)境與處理方式的特殊性（188）
7.3.2 信息的不確定性及其冗余與互補（188）
7.3.3 不確定性信息的智能融合（189）
7.3.4 信息融合的層次（189）
7.4 分布式IDS信息融合的形式化（189）
7.4.1 信息融合的形式系統(tǒng)觀（189）
7.4.2 信息融合系統(tǒng)的形式化邏輯（189）
7.5 融合信息源選擇及不確定性知識獲取（190）
7.5.1 選擇方法及其優(yōu)劣比較（190）
7.5.2 信息源選擇及權值獲取的粗集理論法（191）
7.6 分布式IDS多源融合方法（193）
7.6.1 加權模糊推理方法（193）
7.6.2 證據(jù)組合推理方法（197）
7.7 分布式IDS決策融合方法（201）
7.7.1 博弈論與模糊矩陣博弈（202）
7.7.2 基于FMG模型的威脅評估與全局決策（203）
7.7.3 應用示例（203）
參考文獻（204）
第八章 網(wǎng)絡入侵檢測技術的發(fā)展與趨勢（206）
8.1 網(wǎng)絡安全系統(tǒng)工程（206）
8.2 網(wǎng)絡入侵檢測的體系對抗概念（208）
8.3 網(wǎng)絡入侵檢測系統(tǒng)組成（208）
8.4 基于指揮控制的網(wǎng)絡入侵檢測系統(tǒng)體系結構（210）
8.4.1 強化防護層（210）
8.4.2 監(jiān)測層（211）
8.4.3 功能層（211）
8.5 基于信息保障的網(wǎng)絡入侵檢測系統(tǒng)自防護技術（211）
8.5.1 網(wǎng)絡入侵檢測系統(tǒng)的六類脆弱點（212）
8.5.2 網(wǎng)絡入侵檢測系統(tǒng)面臨的四類威脅（213）
8.5.3 網(wǎng)絡入侵檢測系統(tǒng)的自防護原則與技術途徑（213）
參考文獻（215）