| 1. 概述 | 第1-9页 |
| 2. 网络安全问题的严重性 | 第9-18页 |
| 2.1. 安全问题的出现 | 第9-11页 |
| 2.2. 网络入侵的历史 | 第11-13页 |
| 2.3. 当前的网络安全状况 | 第13页 |
| 2.4. 攻击事件举例 | 第13-18页 |
| 2.4.1. 国防信息系统网络 | 第14页 |
| 2.4.2. 美国海军和NASA | 第14-15页 |
| 2.4.3. 对五角大楼的攻击 | 第15-16页 |
| 2.4.4. 其他被破译的政府站点 | 第16页 |
| 2.4.5. Star Wave事件 | 第16-18页 |
| 3. 入侵和入侵检测 | 第18-28页 |
| 3.1. 安全概念 | 第18-20页 |
| 3.2. 入侵和入侵检测 | 第20-25页 |
| 3.2.1. 监测策略 | 第22页 |
| 3.2.2. 分析类型 | 第22-23页 |
| 3.2.3. 检测目标 | 第23页 |
| 3.2.4. 控制问题 | 第23页 |
| 3.2.5. 检测方法 | 第23-25页 |
| 3.3. 入侵检测系统的历史 | 第25-28页 |
| 3.3.1. 概念的诞生 | 第25页 |
| 3.3.2. 模型的发展 | 第25-26页 |
| 3.3.3. 80年代的入侵检测系统热 | 第26页 |
| 3.3.4. 百花齐放的春天 | 第26-28页 |
| 4. CIDF的出现 | 第28-39页 |
| 4.1. 现有IDS存在的问题 | 第28-29页 |
| 4.2. 业界在IDS标准化方面的工作 | 第29-31页 |
| 4.3. 公共入侵检测框架 | 第31-39页 |
| 4.3.1. CIDF体系结构 | 第31-33页 |
| 4.3.2. CIDF规范语言 | 第33-35页 |
| 4.3.3. CIDF内部通信 | 第35-37页 |
| 4.3.4. CIDF程序接口 | 第37-39页 |
| 5. 系统设计 | 第39-61页 |
| 5.1. 系统的总体定位 | 第39-40页 |
| 5.2. 事件产生器 | 第40-51页 |
| 5.2.1. 网络包截取模块 | 第41-44页 |
| 5.2.2. 数据重建和格式化模块 | 第44-46页 |
| 5.2.3. Encoding/Decoding子模块 | 第46-48页 |
| 5.2.4. 通讯子模块 | 第48页 |
| 5.2.5. 匹配代理子模块 | 第48-49页 |
| 5.2.6. 认证和授权子模块 | 第49页 |
| 5.2.7. 客户端缓冲区子模块 | 第49-51页 |
| 5.3. 事件数据库 | 第51-52页 |
| 5.4. 事件分析器 | 第52-57页 |
| 5.4.1. 异常检测模块 | 第53-55页 |
| 5.4.2. 误用检测模块 | 第55-57页 |
| 5.5. 响应单元 | 第57-58页 |
| 5.6. 管理控制台模块 | 第58-61页 |
| 5.6.1. 系统配置模块 | 第58页 |
| 5.6.2. 自然控模块 | 第58-61页 |
| 6. 和现有系统比较 | 第61-62页 |
| 参考文献 | 第62-64页 |