| 前言 | 第1-9页 |
| 第一章 概述 | 第9-15页 |
| 1.1 计算机安全研究的内容 | 第9-13页 |
| 1.1.1 计算机安全技术的含义 | 第9页 |
| 1.1.2 计算机安全的主要研究内容 | 第9-10页 |
| 1.1.3 计算机安全标准及机构 | 第10-12页 |
| 1.3 入侵检测的基本概念 | 第12-13页 |
| 1.4 Denning的入侵检测模型 | 第13页 |
| 1.5 相关术语 | 第13-14页 |
| 1.6 本文的主要贡献 | 第14-15页 |
| 第二章 入侵检测的分类及分布式入侵检测系统 | 第15-25页 |
| 2.1 入侵检测的分类 | 第15-16页 |
| 2.2 异常入侵检测 | 第16-18页 |
| 2.2.1 统计方法(Statistical Approach) | 第16-17页 |
| 2.2.2 指标选择(Feature Selection) | 第17页 |
| 2.2.3 单指标方法 | 第17页 |
| 2.2.3.1 贝叶斯统计(Bayesian Statistics) | 第17页 |
| 2.2.3.2 协方差矩阵(Covariance Matrices) | 第17页 |
| 2.2.4 预测模式生成(Predictive pattern generation) | 第17页 |
| 2.2.5 神经网络(Neural Network) | 第17页 |
| 2.2.6 贝叶斯分类(Bayesian Classification) | 第17-18页 |
| 2.3 基于特征的入侵检测 | 第18-19页 |
| 2.3.1 使用条件概率(Conditional Probability) | 第18页 |
| 2.3.2 产生式/专家系统(Production/Expert Systems) | 第18页 |
| 2.3.3 状态转换分析(State Transition Analysis) | 第18页 |
| 2.3.4 键入特性(Keystroke) | 第18页 |
| 2.3.5 神经网络 | 第18-19页 |
| 2.4 CIDF(the Common Intrusion Detection Framework)及IDWG(the Intrusion Detection Working Group)工作组 | 第19-24页 |
| 2.4.1 组件和数据 | 第19页 |
| 2.4.2 层次和服务 | 第19-20页 |
| 2.4.3 CISL(Common Intrusion Specification Language) | 第20-23页 |
| 2.4.3.1 CISL概述 | 第20-21页 |
| 2.4.3.2 SID分类 | 第21-22页 |
| 2.4.3.3 攻击范例 | 第22-23页 |
| 2.4.4 小结 | 第23页 |
| 2.4.5 IDWG工作组 | 第23-24页 |
| 2.5 分布式入侵检测系统 | 第24-25页 |
| 第三章 多层次入侵检测及其攻击树描述 | 第25-39页 |
| 3.1 多层次入侵(Multi-stage Intrusion)检测的概念 | 第25页 |
| 3.2 攻击树的概念 | 第25-26页 |
| 3.3 基于攻击树的攻击语言及示例 | 第26-28页 |
| 3.3.1 基于攻击树的攻击语言 | 第26-27页 |
| 3.3.2 使用攻击语言来描述IP Spoofing攻击 | 第27-28页 |
| 3.4 使用Z语言来代替攻击语言 | 第28-36页 |
| 3.4.1 Z语言简介 | 第28-30页 |
| 3.4.1.1 简介 | 第28页 |
| 3.4.1.2 状态模式(State Schemas) | 第28-29页 |
| 3.4.1.3 操作模式(Operation Schemas) | 第29页 |
| 3.4.1.4 模式运算(Schema Calculus) | 第29页 |
| 3.4.1.5 Object-Z语言 | 第29-30页 |
| 3.4.2 使用Object-Z语言来表示攻击模式 | 第30-35页 |
| 3.4.2.1 相关概念 | 第30页 |
| 3.4.2.2 结点关系表示 | 第30-31页 |
| 3.4.2.3 使用Object-Z语言来表示IP-Spoofing攻击 | 第31-35页 |
| 3.4.3 进行检测 | 第35页 |
| 3.4.4 小结 | 第35-36页 |
| 3.5 基于攻击树的安全事前分析 | 第36-39页 |
| 3.5.1 事前分析的形式化定义及求权重的算法 | 第36页 |
| 3.5.2 把权重值扩充为一个有序对 | 第36-37页 |
| 3.5.3 应用例子 | 第37-38页 |
| 3.5.4 小结 | 第38-39页 |
| 第四章 基于攻击树模型的层次式入侵检测系统ACIDS(Attack-tree based CentraliZed Intrusion Detection System) | 第39-50页 |
| 4.1 体系结构选择 | 第39页 |
| 4.1.1 协作式体系结构 | 第39页 |
| 4.1.2 中心式体系结构 | 第39页 |
| 4.1.3 两者的比较及选择 | 第39页 |
| 4.2 系统结构 | 第39-40页 |
| 4.3 Socket编程 | 第40-43页 |
| 4.3.1 TCP/IP状态转换图 | 第40-42页 |
| 4.3.2 基本TCP客户-服务器程序的流程及套接口函数 | 第42页 |
| 4.3.3 关键的socket编程函数 | 第42-43页 |
| 4.4 编程技术难点 | 第43-46页 |
| 4.4.1 如何截获网络数据包 | 第43-44页 |
| 4.4.1.1 SOCK_RAW方式 | 第43页 |
| 4.4.1.2 PF_PACKET方式 | 第43-44页 |
| 4.4.1.3 libnet, libpcap和libnids库文件方式 | 第44页 |
| 4.4.1.4 各种方式的比较及选用 | 第44页 |
| 4.4.2 多客户问题 | 第44-45页 |
| 4.4.3 heartbeat信号问题 | 第45-46页 |
| 4.4.4 AGENT内进程通信 | 第46页 |
| 4.4.4.1 消息队列方式 | 第46页 |
| 4.4.4.2 共享内存方式 | 第46页 |
| 4.4.4.3 管道方式 | 第46页 |
| 4.4.4.4 选择: | 第46页 |
| 4.5 各主要模块功能简介 | 第46-48页 |
| 4.5.1 cente | 第46页 |
| 4.5.2 agent | 第46-47页 |
| 4.5.3 sensor | 第47页 |
| 4.5.4 oobsvr | 第47页 |
| 4.5.5 oobclnt | 第47页 |
| 4.5.6 各组件的通信示意图 | 第47-48页 |
| 4.6 系统的部署 | 第48页 |
| 4.7 系统运行步骤 | 第48页 |
| 4.8 系统可待改进的地方 | 第48-50页 |
| 第五章 当前入侵检测系统的发展趋势及本系统有待改善之处 | 第50-52页 |
| 5.1 入侵检测系统的发展趋势 | 第50-51页 |
| 5.1.1 模块化,共享化 | 第50页 |
| 5.1.2 人工智能方法 | 第50页 |
| 5.1.3 入侵检测系统的评价方法 | 第50页 |
| 5.1.4 入侵检测的正确性,完备性 | 第50页 |
| 5.1.5 IDS用户界面设计 | 第50页 |
| 5.1.6 IDS的形式化描述 | 第50页 |
| 5.1.7 IDS与其它安全产品的交互与自动响应 | 第50-51页 |
| 5.1.8 复杂入侵的建模 | 第51页 |
| 5.2 本系统有待改善之处 | 第51-52页 |
| 参考文献 | 第52-54页 |
| 结语 | 第54页 |
