目录
第一章 导论<br>1.1 信息安全概念体系<br>1.1.1 信息安全的基本范畴<br>1.1.2 信息安全、信息保障与信息对抗的关系<br>1.1.3 信息安全的基本类型<br>1.1.4 信息安全的工程概念<br>1.2 信息安全保障体系<br>1.2.1 信息安全保障体系的时间一空间一功能特性<br>1.2.2 信息安全保障模型<br>1.2.3 信息安全保障体系结构<br>1.3 网络入侵检测技术<br>1.3.1 网络入侵检测系统分类<br>1.3.2 异常检测常用技术<br>1.3.3 滥用检测技术<br>1.4 网络入侵检测的误警分析<br>1.4.1 网络入侵检测方法分类<br>1.4.2 网络入侵检测环境分析<br>1.4.3 网络入侵检测系统产生误警的原因<br>1.4.4 知识工程是解决网络入侵检测误警问题的技术途径<br>1.5 本书的主要工作与特色<br>参考文献<br><br>第二章 基于关键主机的异常检测技术<br>2.1 基于关键主机的异常检测系统体系结构<br>2.1.1 基于关键主机的异常检测系统设计需求<br>2.1.2 基于关键主机的异常检测系统总体结构<br>2.2 基于系统调用序列的异常检测方法<br>2.2.1 基于相对差异度和差异密度的异常检测方法<br>2.2.2 基于改进支持向量分类方法的异常检测<br>2.3 基于网络输入流的异常检测方法<br>2.3.1 当前常用的网络流异常检测方法<br>2.3.2 基于分形的网络输入流异常检测方法<br>2.4 基于粗糙集的告警信息融合方法<br>2.4.1 基于粗糙集的告警信息融合系统结构<br>2.4.2 告警信息在时间方向上的融合<br>2.4.3 基于粗糙集的告警信息空间方向上的融合<br>参考文献<br><br>第三章 滥用检测的不确定性知识表达与推理技术<br>3.1 基于模糊不确定性推理的入侵检测方法<br>3.1.1 模糊检测对攻击变体的检测能力分析<br>3.1.2 模糊入侵检测<br>3.2 模糊攻击知识库的建立<br>3.2.1 基于网络数据包的攻击特征选取<br>3.2.2 攻击知识获取<br>3.2.3 模糊集合隶属函数的建立<br>3.3 基于模糊Petri网的攻击知识表示与推理<br>3.3.1 基于Petri网的知识表示的优点<br>3.3.2 Petri网原理<br>3.3.3 基于模糊Petri网的攻击知识表示与推理方法<br>3.4 基于Petri网的攻击知识库校验<br>3.4.1 知识库校验的目标<br>3.4.2 基于Petri网的攻击知识校验方法<br>3.5 基于模糊神经网络的知识更新与规则提取<br>3.5.1 攻击规则学习方法<br>3.5.2 入侵检测的模糊神经网络结构<br>3.5.3 模糊神经网络的学习算法<br>参考文献<br><br>第四章 基于本体的网络协同攻击检测技术<br>4.1 网络安全本体<br>4.1.1 本体技术概述<br>4.1.2 网络安全本体概念类及其层次结构<br>4.1.3 网络安全本体的形式化逻辑<br>4.1.4 网络安全本体模型内的概念映射算法<br>4.2 协同攻击检测的检测方法<br>4.2.1 协同攻击的时序检测方法<br>4.2.2 协同攻击的功能检测方法<br>4.3 基于本体的协同攻击检测系统<br>4.3.1 基本框架结构<br>4.3.2 系统各模块之间的关系<br>4.3.3 本体背景下DIDS的结构和运行机制<br>4.3.4 入侵检测本体在Agent检测领域知识的组织机制<br>4.4 入侵检测本体对遗留或异构Agent的重构框架<br>参考文献<br><br>第五章 基于主动知识库系统的滥用检测系统<br>5.1 主动知识库系统<br>5.1.1 主动知识库系统结构<br>5.1.2 主动知识库实现途径<br>5.1.3 主动专家系统<br>5.2 基于主动专家系统的滥用检测系统<br>5.2.1 系统结构<br>5.2.2 系统所应实现的主动功能<br>5.2.3 分析层工作流程<br>5.2.4 主动功能的ECA规则实现<br>5.3 检测知识的ECA规则表示<br>5.3.1 入侵行为描述<br>5.3.2 入侵事件分类<br>5.3.3 入侵事件关系<br>5.3.4 入侵事件模型<br>5.3.5 入侵知识表示<br>5.4 基于ECA规则的入侵检测系统<br>5.4.1 系统体系结构<br>5.4.2 入侵事件获取<br>5.4.3 入侵事件管理<br>5.4.4 事件分析<br>5.4.5 与其他检测方法比较<br>参考文献<br><br>第六章 网络入侵检测机器学习方法<br>6.1 网络滥用检测规则学习系统<br>6.1.1 滥用检测规则学习过程<br>6.1.2 滥用检测规则学习的作用与功能<br>6.1.3 滥用检测规则学习系统的总体结构<br>6.2 基于归纳的数据挖掘方法<br>6.2.1 基于粗集理论的知识处理方法<br>6.2.2 知识过滤器原理<br>6.2.3 知识重构机制的原理<br>6.3 基于粗集遗传算法的分类挖掘算法<br>6.3.1 粗集理论与遗传算法的基本思想<br>6.3.2 基于RSGA的分类挖掘算法<br>6.3.3 RSGA算法的描述<br>6.4 RsGA算法在网络入侵检测中的应用<br>6.4.1 应用背景<br>6.4.2 利用RSGA算法挖掘滥用检测规则<br>6.4.3 RSGA算法的应用示例<br>6.4.4 试验结果及评价<br>参考文献<br><br>第七章 分布式入侵检测与信息融合<br>7.1 基于信息融合的分布式IDS体系结构<br>7.2 分布式IDs的Agent分类<br>7.2.1 基于信息融合分布式IDS体系的Agent实现机制<br>7.2.2 监测层次SA<br>7.2.3 预警层次WA<br>7.2.4 识别层次IA<br>7.2.5 决策层次DA<br>7.2.6 响应层次RA<br>7.2.7 公共服务PSA<br>7.3 从不确定性与智能的角度看分布式IDS信息融合<br>7.3.1 环境与处理方式的特殊性<br>7.3.2 信息的不确定性及其冗余与互补<br>7.3.3 不确定性信息的智能融合<br>7.3.4 信息融合的层次<br>7.4 分布式IDS信息融合的形式化<br>7.4.1 信息融合的形式系统观<br>7.4.2 信息融合系统的形式化逻辑<br>7.5 融合信息源选择及不确定性知识获取<br>7.5.1 选择方法及其优劣比较<br>7.5.2 信息源选择及权值获取的粗集理论法<br>7.6 分布式IDS多源融合方法<br>7.6.1 加权模糊推理方法<br>7.6.2 证据组合推理方法<br>7.7 分布式IDS决策融合方法<br>7.7.1 博弈论与模糊矩阵博弈<br>7.7.2 基于FMG模型的威胁评估与全局决策<br>7.7.3 应用示例<br>参考文献<br><br>第八章 网络入侵检测技术的发展与趋势<br>8.1 网络安全系统工程<br>8.2 网络入侵检测的体系对抗概念<br>8.3 网络入侵检测系统组成<br>8.4 基于指挥控制的网络入侵检测系统体系结构<br>8.4.1 强化防护层<br>8.4.2 监测层<br>8.4.3 功能层<br>8.5 基于信息保障的网络入侵检测系统自防护技术<br>8.5.1 网络入侵检测系统的六类脆弱,最<br>8.5.2 网络入侵检测系统面临的四类威胁<br>8.5.3 网络入侵检测系统的自防护原则与技术途径<br>参考文献内容摘要
《网络入侵检测原理与技术(第2版)》详细论述了网络入侵检测及其系统设计的原理和技术。在简要介绍了网络入侵检测的意义、方法、已有技术及存在的问题之后,分别对基于关键主机的异常检测,滥用检测的不确定性知识表达与推理、基于本体的网络协同攻击检测,基于主动知训库系统的滥用检测系统,网络入侵检测机器学习和分布式入侵检测与信息融合等技术、原理与方法进行了详细的论述,最后对网络入侵检测技术的发展与趋势进行了分析。 <br> 《网络入侵检测原理与技术(第2版)》是一本反映网络入侵检测技术最新研究成果的技术专著,内容取材于多篇博士论文的研究成果,可供从事信息安全技术工作的技术人员和研究人员参考,也可作为信息安全技术及相关学科的研究生教材。