| 摘要 | 第2页 |
| 第一章 绪论 | 第5-8页 |
| 1.1 入侵检测和网络安全研究现状 | 第5-6页 |
| 1.2 本论文的研究意义 | 第6-7页 |
| 1.3 本论文的来源和内容安排 | 第7-8页 |
| 第二章 入侵检测和网络安全概述 | 第8-28页 |
| 2.1 入侵检测系统概述 | 第8-20页 |
| 2.1.1 入侵和入侵检测的概念 | 第8-9页 |
| 2.1.2 入侵检测的发展历史和现状 | 第9-11页 |
| 2.1.3 入侵检测系统的分类 | 第11-19页 |
| 2.1.4 NIDS 的基本结构 | 第19-20页 |
| 2.2 入侵的常见手段和防范 | 第20-23页 |
| 2.2.1 网络探测和嗅探 | 第20-21页 |
| 2.2.2 解码类攻击 | 第21页 |
| 2.2.3 未授权访问攻击 | 第21页 |
| 2.2.4 缓冲区溢出 | 第21页 |
| 2.2.5 欺骗攻击 | 第21-22页 |
| 2.2.6 协议攻击 | 第22页 |
| 2.2.7 恶意代码攻击 | 第22-23页 |
| 2.2.8 拒绝服务(DoS)攻击 | 第23页 |
| 2.2.9 网络设备攻击 | 第23页 |
| 2.3 网络安全体系 | 第23-27页 |
| 2.3.1 网络防火墙 | 第24-25页 |
| 2.3.2 网络安全的其它方面 | 第25-27页 |
| 2.4 本章小结 | 第27-28页 |
| 第三章 Snort 入侵检测系统分析 | 第28-44页 |
| 3.1 Snort 系统结构 | 第28-31页 |
| 3.2 Snort 规则和规则解析 | 第31-41页 |
| 3.2.1 Snort 规则 | 第31-33页 |
| 3.2.2 Snort 的规则解析 | 第33-36页 |
| 3.2.3 Snort 的新特性:规则索引 | 第36-39页 |
| 3.2.4 Snort 的新特性:多模式匹配 | 第39-41页 |
| 3.3 Snort 插件 | 第41-42页 |
| 3.3.1 Snort 最新插件介绍 | 第42页 |
| 3.4 关于Snort 性能的讨论 | 第42-43页 |
| 3.5 本章小结 | 第43-44页 |
| 第四章 Snorting—支持动态配置的Snort | 第44-54页 |
| 4.1 Snort 部分源代码分析 | 第44-48页 |
| 4.1.1 Snort 主程序 | 第44-46页 |
| 4.1.2 快速匹配引擎的创建 | 第46-47页 |
| 4.1.3 规则的编译 | 第47-48页 |
| 4.2 Snorting 系统的总体结构 | 第48-50页 |
| 4.2.1 动态配置的设计 | 第48-49页 |
| 4.2.2 动态配置的难点 | 第49-50页 |
| 4.3 Snorting 的实现 | 第50-53页 |
| 4.3.1 动态配置模块 | 第50-51页 |
| 4.3.2 管理控制台 | 第51-53页 |
| 4.4 本章小结 | 第53-54页 |
| 第五章 入侵检测系统的测试 | 第54-70页 |
| 5.1 DARPA 与IDS 测试理论 | 第54-55页 |
| 5.2 测试IDS 需要解决的问题 | 第55-56页 |
| 5.3 衡量IDS 的指标和测试方法 | 第56-60页 |
| 5.3.1 完备性 | 第56-58页 |
| 5.3.2 误报率、检测率和漏报率 | 第58-59页 |
| 5.3.3 处理性能 | 第59-60页 |
| 5.3.4 其它指标 | 第60页 |
| 5.4 测试Snort 和Snorting | 第60-69页 |
| 5.4.1 UDP 背景流测试 | 第62-65页 |
| 5.4.2 TCP 背景流测试 | 第65-66页 |
| 5.4.3 Avalanche 背景流测试 | 第66页 |
| 5.4.4 Nessus 与XScan 完备性测试 | 第66页 |
| 5.4.5 Blade IDS Informer 和Traffic IQ 完备性测试 | 第66-68页 |
| 5.4.6 Stick 与Mucus 攻击测试 | 第68-69页 |
| 5.4.7 背景流混合攻击测试 | 第69页 |
| 5.5 本章小结 | 第69-70页 |
| 第六章 结束语 | 第70-72页 |
| 参考文献 | 第72-77页 |
| 致谢 | 第77-78页 |
| 攻读学位期间发表的论文 | 第78-80页 |
