包邮入侵检测与防御原理及实践 微课版

第1章 网络入侵与攻击 1 1.1 入侵与攻击的概念 1 1.1.1 入侵与攻击的基本概念 1 1.1.2 入侵与攻击的流程 3 1.1.3 入侵与攻击的发展趋势 4 1.1.4 入侵与攻击的应对方法 5 1.2 网络攻击的常用方法 6 1.2.1 信息收集 7 1.2.2 恶意代码 16 1.2.3 口令入侵 20 1.2.4 Web应用攻击 23 1.2.5 软件漏洞攻击 33 1.2.6 拒绝服务攻击 35 1.2.7 假消息攻击 39 本章习题 46 第2章 入侵检测与防御原理 47 2.1 入侵检测与防御的基本概念 47 2.1.1 入侵检测 47 2.1.2 入侵防御 48 2.1.3 入侵检测与入侵防御的区别 50 2.1.4 入侵检测与防御技术的发展趋势 52 2.2 入侵检测系统的基本模型 53 2.2.1 通用入侵检测模型 53 2.2.2 层次化入侵检测模型 55 2.2.3 管理式入侵检测模型 57 2.3 入侵检测系统的分类 59 2.3.1 按数据来源分类 59 2.3.2 按分析方法分类 61 2.3.3 按检测方式分类 61 2.3.4 按检测结果分类 62 2.3.5 按响应方式分类 62 2.3.6 按发布方式分类 63 2.4 入侵检测系统的体系架构 63 2.5 入侵检测与防御的流程 65 2.5.1 信息收集 65 2.5.2 信息分析 69 2.5.3 告警与响应 75 2.6 入侵检测与防御的关键技术 80 2.6.1 数据包分析技术 80 2.6.2 IP分片重组技术 81 2.6.3 TCP状态检测技术 85 2.6.4 TCP流重组技术 87 2.6.5 应用识别与管理技术 90 本章习题 91 第3章 商用入侵检测与防御系统 92 3.1 思科IPS的基本配置 92 3.1.1 IPS的部署方式 92 3.1.2 IPS初始化 95 3.2 IPS策略 103 3.2.1 特征定义 103 3.2.2 事件动作规则 114 3.2.3 异常检测 118 3.3 IPS配置案例 120 3.3.1 配置IPS为杂合模式 121 3.3.2 配置IPS为内联接口对模式 127 3.3.3 配置IPS为内联VLAN对模式 131 本章习题 136 第4章 开源入侵检测系统Snort 2 137 4.1 Snort概述 137 4.1.1 体系结构 137 4.1.2 部署方式 139 4.1.3 工作模式 139 4.2 Snort 2的安装与配置 140 4.2.1 Snort 2的安装 140 4.2.2 Snort 2的配置 141 4.2.3 Snort 2的命令行参数 145 4.3 Snort 2的预处理器 149 本章习题 154 第5章 开源入侵检测系统Snort 3 155 5.1 Snort 3概述 155 5.1.1 Snort 3的新功能 155 5.1.2 Snort 2与Snort 3的区别 156 5.2 Snort 3的安装 157 5.2.1 安装前的准备 158 5.2.2 安装依赖包及相关组件 160 5.2.3 编译和安装Snort 3 164 5.2.4 配置网卡 166 5.2.5 Snort 3的相关参数 168 5.3 Snort 3的配置 168 5.3.1 使用注册规则集 168 5.3.2 使用自定义规则 173 5.3.3 启用JSON输出插件 175 5.4 Snort 3功能组件的安装及配置 177 5.4.1 OpenAppID 177 5.4.2 PulledPork 179 5.4.3 Snort 3自启动脚本 183 5.4.4 Splunk 185 5.5 Snort 3的检查器 195 本章习题 196 第6章 Snort的规则 197 6.1 规则概述 197 6.1.1 规则的基本语法 197 6.1.2 规则的存储结构 198 6.2 规则的组成 199 6.2.1 规则头 199 6.2.2 规则选项 202 6.3 规则的编写与测试 213 本章习题 216 附录 正则表达式 217 参考文献 219