一种基于分布式结构和集成化检测机制的网络入侵检测系统的设计与实现
| 摘要 | 第1-3页 |
| ABSTRACT | 第3-6页 |
| 1 绪论 | 第6-15页 |
| ·网络安全及防护体系 | 第6-9页 |
| ·入侵检测系统的基本构成 | 第9-13页 |
| ·本文的基本思想及系统概述 | 第13-15页 |
| 2 系统的体系结构 | 第15-32页 |
| ·NIDS的基本体系结构 | 第15-18页 |
| ·集中式NIDS | 第15-16页 |
| ·分布式NIDS | 第16-18页 |
| ·集中式NIDS存在的主要缺陷 | 第18-20页 |
| ·数据获取和处理能力 | 第18-19页 |
| ·全局性攻击抵御能力 | 第19-20页 |
| ·系统自身抗攻击能力 | 第20页 |
| ·分布式NIDS若干问题的考虑 | 第20-22页 |
| ·通信的流量负担问题 | 第20-21页 |
| ·层次化数据分析的问题 | 第21-22页 |
| ·数据分析活动的协同问题 | 第22页 |
| ·本文采用的一种分布式NIDS结构 | 第22-32页 |
| ·基本组成单元 | 第23页 |
| ·单元分布方式 | 第23-25页 |
| ·数据分析层次及检测方法 | 第25-29页 |
| ·单元间协同工作的机制 | 第29-31页 |
| ·通信的安全策略 | 第31-32页 |
| 3 系统的入侵检测机制 | 第32-60页 |
| ·NIDS的基本检测技术 | 第32-35页 |
| ·误用检测 | 第32-34页 |
| ·异常检测 | 第34-35页 |
| ·入侵行为及其特征分析 | 第35-43页 |
| ·滥用头部字段 | 第35-36页 |
| ·分解数据流量 | 第36-38页 |
| ·攻击会话进程 | 第38-40页 |
| ·违反协议规范 | 第40-41页 |
| ·变换负载形态 | 第41-43页 |
| ·检测策略及方法的考虑 | 第43-45页 |
| ·本文采用的一种集成化检测机制 | 第45-60页 |
| ·IP片段重组 | 第46-48页 |
| ·TCP流重组 | 第48-50页 |
| ·会话跟踪及状态分析 | 第50-53页 |
| ·数据包协议解析 | 第53-55页 |
| ·快速模式匹配 | 第55-60页 |
| 4 系统实现的几个重要事项 | 第60-71页 |
| ·流量的捕获方法 | 第60-63页 |
| ·被动模式 | 第60-62页 |
| ·主动模式 | 第62-63页 |
| ·规则类型及格式 | 第63-65页 |
| ·系统的总体结构 | 第65-71页 |
| ·主要模块划分 | 第65-67页 |
| ·模块实现机制 | 第67-68页 |
| ·系统总体流程 | 第68-71页 |
| 5 总结 | 第71-73页 |
| 致谢 | 第73-74页 |
| 参考文献 | 第74-78页 |
