入侵檢測與防御原理及實踐（微課版）

第1章 網絡入侵與攻擊 1

1.1 入侵與攻擊的概念 1

1.1.1 入侵與攻擊的基本概念 1

1.1.2 入侵與攻擊的流程 3

1.1.3 入侵與攻擊的發展趨勢 4

1.1.4 入侵與攻擊的應對方法 5

1.2 網絡攻擊的常用方法 6

1.2.1 信息收集 7

1.2.2 惡意代碼 16

1.2.3 口令入侵 20

1.2.4 Web應用攻擊 23

1.2.5 軟件漏洞攻擊 33

1.2.6 拒絕服務攻擊 35

1.2.7 假消息攻擊 39

本章習題 46

第2章 入侵檢測與防御原理 47

2.1 入侵檢測與防御的基本概念 47

2.1.1 入侵檢測 47

2.1.2 入侵防御 48

2.1.3 入侵檢測與入侵防御的區別 50

2.1.4 入侵檢測與防御技術的發展趨勢 52

2.2 入侵檢測系統的基本模型 53

2.2.1 通用入侵檢測模型 53

2.2.2 層次化入侵檢測模型 55

2.2.3 管理式入侵檢測模型 57

2.3 入侵檢測系統的分類 59

2.3.1 按數據來源分類 59

2.3.2 按分析方法分類 61

2.3.3 按檢測方式分類 61

2.3.4 按檢測結果分類 62

2.3.5 按響應方式分類 62

2.3.6 按發布方式分類 63

2.4 入侵檢測系統的體系架構 63

2.5 入侵檢測與防御的流程 65

2.5.1 信息收集 65

2.5.2 信息分析 69

2.5.3 告警與響應 75

2.6 入侵檢測與防御的關鍵技術 80

2.6.1 數據包分析技術 80

2.6.2 IP分片重組技術 81

2.6.3 TCP狀態檢測技術 85

2.6.4 TCP流重組技術 87

2.6.5 應用識別與管理技術 90

本章習題 91

第3章 商用入侵檢測與防御系統 92

3.1 思科IPS的基本配置 92

3.1.1 IPS的部署方式 92

3.1.2 IPS初始化 95

3.2 IPS策略 103

3.2.1 特征定義 103

3.2.2 事件動作規則 114

3.2.3 異常檢測 118

3.3 IPS配置案例 120

3.3.1 配置IPS為雜合模式 121

3.3.2 配置IPS為內聯接口對模式 127

3.3.3 配置IPS為內聯VLAN對模式 131

本章習題 136

第4章 開源入侵檢測系統Snort 2 137

4.1 Snort概述 137

4.1.1 體系結構 137

4.1.2 部署方式 139

4.1.3 工作模式 139

4.2 Snort 2的安裝與配置 140

4.2.1 Snort 2的安裝 140

4.2.2 Snort 2的配置 141

4.2.3 Snort 2的命令行參數 145

4.3 Snort 2的預處理器 149

本章習題 154

第5章 開源入侵檢測系統Snort 3 155

5.1 Snort 3概述 155

5.1.1 Snort 3的新功能 155

5.1.2 Snort 2與Snort 3的區別 156

5.2 Snort 3的安裝 157

5.2.1 安裝前的準備 158

5.2.2 安裝依賴包及相關組件 160

5.2.3 編譯和安裝Snort 3 164

5.2.4 配置網卡 166

5.2.5 Snort 3的相關參數 168

5.3 Snort 3的配置 168

5.3.1 使用注冊規則集 168

5.3.2 使用自定義規則 173

5.3.3 啟用JSON輸出插件 175

5.4 Snort 3功能組件的安裝及配置 177

5.4.1 OpenAppID 177

5.4.2 PulledPork 179

5.4.3 Snort 3自啟動腳本 183

5.4.4 Splunk 185

5.5 Snort 3的檢查器 195

本章習題 196

第6章 Snort的規則 197

6.1 規則概述 197

6.1.1 規則的基本語法 197

6.1.2 規則的存儲結構 198

6.2 規則的組成 199

6.2.1 規則頭 199

6.2.2 規則選項 202

6.3 規則的編寫與測試 213

本章習題 216

附錄 正則表達式 217

參考文獻 219