黑客入侵防护系统源代码分析

第1章　入侵检测系统概述

1．1　入侵检测系统的现状

1．1．1　滥用检测与非规则检测技术

1．1．2　基于主机与基于网络的入侵检测

1．1．3　其他的若干问题

1．2　进一步发展的若干方向

1．2．1　宽带高速网络的实时入侵检测技术

1．2．2　大规模分布式入侵检测

1．2．3　入侵检测的数据融合技术

1．3　我国的发展状况

第2章　ides系统详解

2．1　概述

2．1．1　传统的安全手段

2．1．2　ides概述

2．2　ides设计模型

2．3　审计数据

2．3．1　审计数据类型

2．3．2　sununix上审计数据的生成

2．4　邻域接口

2．4．1　ides审计记录生成器(agen)

.2．4．2　审计记录池(arpool)

2．4．3　ides审计记录设计

2．4．4　具体实现

2．4．5　与ides处理单元的连接

2．5　统计异常检测器

2．5．1　统计分析算法

2．5．2　设计和实现

2．5．3　入侵检测测量值

2．6　ides专家系统

2．7　ides用户接口

2．7．1　设计的概念

2．7．2　用户接口组件

2．7．3　ides用户接口库(libiui)

2．8　glu多处理平台

2．8．1　系统要求

2．8．2　多处理方法

2．8．3　glu多处理的软件平台

2．8．4　使用glu的ides系统实现

2．9　发展方向

第3章　nides系统详解

3．1　概述

3．2　设计概述

3．2．1　原型概述

3．2．2　原型设计描述

3．3　详细设计

3．3．1　基本组件

3．3．2　审计数据生成组件

3．3．1　审计数据收集组件

3．3．4　统计分析组件

3．3．5　基于规则分析组件

3．3. 6　解析器组件

3．3．7　安全管理员用户组件

3．3．8　审计生成服务

3．3．9　审计收集服务

3．3．10　分析服务

3．3．11　安全管理员用户接口服务

3．4　系统性能要求

3．5　nides与ides系统的主要区别

第4章　网络入侵检测系统设计基础

4．1　概述

4．2　网络编程基础知识

4．2．1　分层协议模型

4．2．2　开放系统互连参考模型

4．2．3　tcp/ip参考模型

4．2. 4 unix网络编程技术概述

4. 3 基本的网络嗅探器(sniffer)设计

4．3．1　网络嗅探器的功能

4．3．2　基本sniffer软件源代码分析

4．4 更进一步的sniffer设计

4．4．1 概述

4．4．2 sniffer软件源代码分析

4．5 采用libpcap库的通用设计

4．5．1 概述

4．5．2 什么是bpf

4．5．3　bpf的工作原理

4．5．4　bpf的过滤器模型

4．5. 5　bpf的"过滤器虚拟机"

4．5. 6　bpf的源代码分析

4．5．7　libpcap库函数实例分析

4．5．8 采用libpcap库接口的sniffer实例

第5章 网络入侵检测系统实例--snort源代码节选

5．1 初始化、主函数和命令行参数分析例程

5．2 协议解析器(decoder)例程

5．3 规则(rule)解析例程

5．4 检测引擎(detection engine)例程

5．5 插件(plugins)管理例程

第6章 snort系统源代码分析

6．1　概述

6．1．1　snort系统概述

6. 1．2　系统架构

6．2　初始化、主函数和命令行解析

6．3　协议解析例程分析

6．4　编写snort的规则

6. 4．1　规则头

6. 4．2　规则选项

6. 4．3　预处理器

6．4．4　输出模块

6．4．5　高级规则概念

6．5　规则解析例程分析

6．6　检测引擎例程分析

6．7　插件模块管理例程分析

附录　nides审计记录格式描述

参考文献