《Snort轻量级入侵检测系统全攻略》共11章，主要内容包括四个方面，较为全面地介绍了Snort入侵检测系统的安装部署、配置、调整及使用，基本涵盖了Snort有关的方方面面。《Snort轻量级入侵检测系统全攻略》的特点是实用性非常强，概念准确、实例丰富，能够培养读者建立一套实用IDS的实际动手能力。另外，《Snort轻量级入侵检测系统全攻略》深入到Snort的具体技术细节中，是一本不可多得的全面掌握Snort的技术图书。《Snort轻量级入侵检测系统全攻略》面向的对象为具有基本网络技术知识的读者，即使读者以前从未接触过IDS，书中穿插的实例也能帮助读者成为IDS高手。对于资深网管，《Snort轻量级入侵检测系统全攻略》能提供一种性价比高的安全解决方案。同时，对于已学习过网络课程的大中专在校生，《Snort轻量级入侵检测系统全攻略》也可作为入侵检测或信息安全课程的授课辅助材料。

　　第1章　入侵检测基础概念
　　1.1  入侵检测系统的作用
　　 谈到网络安全，人们首先想到的就是防火墙。入侵检测系统(Intrusidn Detection System，IDS)相当于防火墙之后的第二道安全闸门。如果说防火墙相当于门卫的话，入侵检测就相当于内部监控系统。入侵检测由传感器和管理员控制台组成，前者相当于密布各个关键处的摄像头，而后者就相当于一排排监视画面，管理员则是端坐于监视画面之前的安保人员。显然，一个只设置了门卫的机构，其安全保卫工作基本是不可靠的。
　　IDS广泛采用了与反病毒软件查杀病毒相类似的机制。所不同的是，杀毒软件分析的是文件内容，而IDS则通过分析数据包内容，检测来自网络的未经许可的访问、资源请求等可疑活动，从已知的攻击类型中发现是否有人正在试图攻击网络或者主机，并成功捕获攻击。利用入侵监测系统收集的信息，网管或者安全管理人员能够采取有效措施加固自己的系统，从而避免造成更多损失。除了检测攻击外，IDS还能记录下网络入侵者的罪证，以便采取进一步的法律措施。这些可以通过执行以下任务实现：
　　?监视、分析用户和系统活动；
　　 ?审计系统的配置和弱点；
　　?识别已知进攻模式；
　　?异常活动的统计分析；
　　?评估关键系统和数据文件的完整性；
　　?对操作系统和其他应用程序的日志进行审计，识别用户违反安全策略的行为；
　　?实时报警和主动响应。
　　与防火墙类似，市场上的IDS同时存在硬件系统、软件系统或二者结合的产品。一般，IDS软件与防火墙、代理服务或其他边界服务可以运行于同一台硬件设备或服务器。

第1章　入侵检测基础概念
1.1 入侵检测系统的作用
1.2 IDS的标准结构
1.3 如何检测入侵
1.4 IDS的分类
1.4.1 NIDS
1.4.2 HIDS
1.4.3 DIDS
1.5 攻击的来源
1.6 IDS的部署和使用
1.6.1 IDS的选择
1.6.2 IDS的部署

第2章　Snort应用基础
2.1 Snort简介
2.2 Snort原理
2.2.1 整体结构
2.2.2 Snort在网络层次模型中的位置
2.3 代码流程
2.4 内部工作流程
2.4.1 捕获网络流量
2.4.2 包解码器
2.4.3 预处理器
2.4.4 规则解析扣探测引擎
2.4.5 报警输出模块
2.5 Snort的部署
2.5.1 部署策略
2.5.2 操作系统平台的选择
2.5.3 三层体系结构
2.5.4 三位一体的集成式安装

第3章　面向小型网络的集成式安装
3.1 安装Snort　IDS所需软件
3.1.1 传感器层软件
3.1.2 服务器层软件
3.1.3 集成工具包
3.1.4 管理员控制台
3.1.5Snort管理工具
3.1.6 各类库
3.1.7 Snort虚拟机
3.2 Windows下的集成式安装
3.2.1 安装Snort和Winpcap包
3.2.2 AppServ
3.2.3 安装Adodb、jpgraph和ACID
3.2.4 配置Snort
3.2.5 系统测试
3.3 Linux下的集成式安装
3.3.1 Linux平台下软件的一般安装方法
3.3.2 安装Snort
3.3.3 安装IDS套软件
3.3.4 MySQL的安装和配置
3.3.5 Adodb、ACID勺安装和配置
3.3.6 Linux下的安装测试

第4章　Snort的分离式安装
4.1 分离式安装中的安全连接
4.1.1 OpensSL
4.1.2 Stunnel
4.1.3 OpensSH
4.1.4 其他SSH软件
4.2 建立服务器
4.2.1 安装指南
4.2.2 Linux平台下安装配置
4.2.3 Windows平台下安装配置
4.3 建立传感器
4.3.1 安装指南
4.3.2 安装传感器
4.4 建立管理员控制台
4.4.1 PuTTY的安装和使用
4.4.2 ScreenCRT的安装和使用

第5章　Snort的使用
5.1 配置文件
5.1.1 定义和使用变量
5.1.2 配置项的灵活应用
5.1.3 配置文件中的其他关键要素
5.2 命令行参数
5.3 Snort的工作模式
5.3.1 嗅探器模式
5.3.2 数据包记录器模式
5.3.3 网络入侵检测模式（NIDS）
5.4 Snort的报警模式
5.4.1 fast模式
5.4.2 full模式
5.4.3 将报警发送到Syslog
5.4.4 向SNMP发送报警
5.5 输出与日志
5.5.1 前4种输出模式
5.5.2 入侵检测模式
5.5.3 记录至数据库
5.6 在隐秘模式下运行Snort
5.6.1 Snort的自动启动和关闭
5.6.2 在多个网络接口上运行Snort
5.7 系统调整
5.7.1 过滤流量
5.7.2 配置网络变量进行过滤
5.7.3 伯克利包过滤器（BPF）

第6章　规则语法及使用
6.1 规则语法回顾
6.2 加载规则文件
6.3 规则头
6.3.1 规则动作选项
6.3.2 自定义规则
6.3.3 可支持的协议
6.3.4 指派IP地址和端口
6.3.5 非运算符“！”
6.3.6 方向操作符
6.4 规则体
6.4.1 规则选项列表
6.4.2 规则content选项
6.4.3 IP选项集合
6.4.4 TCP选项集合
6.4.5 ICMP选项集合
6.4.6 Snort响应选项集合
6.4.7 Meta选项关键字
6.4.8 其他选项集合
6.5 获取规则
6.6 调整和组织规则
6.6.1 调整的原则
6.6.2 定义恰当的content
6.6.3 规则动作
6.6.4 合并子网掩码
6.6.5 取消规则
6.6.6 规则文件调整
6.6.7 配置规则变量
6.6.8 利用pass规则
6.7 升级与合并规则
6.7.1 oinkmaster
6.7.2 合并规则
6.8 编写规则
6.8.1 原理
6.8.2 示例
6.9 测试规则
6.9.1 正确性测试
6.9.2 压力测试
6.9.3 独立规则测试

第7章　IDS攻击与Snort预处理器
7.1 IDS攻击
7.2 Snort攻击工具介绍
7.2.1 Stick&Snot
7.2.2 ADMmutate
7.2.3 FragrOUte
7.3 IDS逃避技术和对策
7.3.1 多态URL编码技术
7.3.2 多态shell代码技术
7.3.3 会话分割
7.3.4 IP碎片攻击
7.3.5 掺杂无效IP数据
7.3.6 基于TCP的攻击
7.3.7 其他一些IDS逃避技术
7.4 对IDs本身的攻击
7.5 IDs攻击实例
……
第8章　输出插件和数据分析工具
第9章　Snort管理工具
第10章　IDS测试评估
第11章　Snort入侵检测实例分析
参考文献