本書全面、繫統地介紹了入侵檢測的基本概念、基本原理和檢測流程，較為詳盡地講述了基於主機的入侵檢測技術、基於網絡的入侵檢測技術、基於存儲的入侵檢測技術和基於Hadoop海量日志的入侵檢測技術，在此基礎上介紹了入侵檢測繫統的標準與評估，並以開源軟件Snort為例對入侵檢測的應用進行了分析。
本書語言通俗，層次分明，理論與實例結合，可以作為高等學校計算機相關專業或信息安全專業本科生高年級的選修課教材，對從事信息和網絡安全方面的管理人員和技術人員也有參考價值。

薛靜鋒，北京理工大學教授，主要研究方向為軟件安全技術和網絡路由技術。近年來發表論文30餘篇，其中SCI、EI檢索10餘篇；申請專利5項；主持或參與了國家863計劃、國防科工局、公安部、北京市等多項科研項目；主持企業橫向合作課題8項；編寫和翻譯著作8部。承擔了包括863、國家自然科學基金、北京市自然科學基金、國防基礎研究課題、公安部重點實驗室課題、教育部留學回國人員科研啟動基金課題等十餘項。發表論文20餘篇，其中SCI或EI收錄的17篇，申請發明專利1項，編寫翻譯教材3部。

第1章入侵檢測概述1
1.1網絡安全基本概念1
1.1.1網絡安全的實質1
1.1.2網絡繫統的安全對策與入侵檢測2
1.1.3網絡安全的P2DR模型與入侵檢測3
1.2入侵檢測的產生與發展4
1.2.1早期研究4
1.2.2主機IDS研究5
1.2.3網絡IDS研究6
1.2.4主機和網絡IDS的集成7
1.3入侵檢測的基本概念8
1.3.1入侵檢測的概念9
1.3.2入侵檢測的作用9
1.3.3研究入侵檢測的必要性10
1.4入侵檢測面臨的問題11
1.5入侵檢測技術的發展趨勢12
習題13
第2章入侵方法與手段14
2.1網絡入侵14
2.1.1什麼是網絡入侵14
2.1.2網絡入侵的一般流程14
2.1.3典型網絡入侵方法分析16
2.2漏洞掃描20
2.2.1掃描器簡介20
2.2.2秘密掃描21
2.2.3OS Fingerprint技術22
2.3拒絕服務攻擊23
2.3.1拒絕服務攻擊的原理24
2.3.2典型拒絕服務攻擊的手段24
2.4分布式拒絕服務攻擊25
2.5緩衝區溢出攻擊27
2.5.1堆棧的基本原理27
2.5.2一個簡單的例子28
2.6格式化字符串攻擊31
2.7跨站腳本攻擊31
2.8SQL Injection攻擊32
習題34
第3章入侵檢測繫統35
3.1入侵檢測繫統的基本模型35
3.1.1通用入侵檢測模型（Denning模型）35
3.1.2層次化入侵檢測模型（IDM）37
3.1.3管理式入侵檢測模型（SNMP-IDSM）39
3.2入侵檢測繫統的工作模式40
3.3入侵檢測繫統的分類41
3.3.1按數據源分類41
3.3.2按分析方法分類42
3.3.3按檢測方式分類42
3.3.4按檢測結果分類42
3.3.5按響應方式分類43
3.3.6按各模塊運行的分布方式分類43
3.4入侵檢測繫統的構架43
3.4.1管理者44
3.4.2代理44
3.5入侵檢測繫統的部署45
3.5.1網絡中沒有部署防火牆時45
3.5.2網絡中部署防火牆時45
習題46
第4章入侵檢測流程48
4.1入侵檢測的過程48
4.1.1信息收集48
4.1.2信息分析48
4.1.3告警與響應49
4.2入侵檢測繫統的數據源49
4.2.1基於主機的數據源49
4.2.2基於網絡的數據源51
4.2.3應用程序日志文件52
4.2.4其他入侵檢測繫統的報警信息53
4.2.5其他網絡設備和安全產品的信息53
4.3入侵分析的概念53
4.3.1入侵分析的定義54
4.3.2入侵分析的目的54
4.3.3入侵分析應考慮的因素54
4.4入侵分析的模型55
4.4.1構建分析器55
4.4.2分析數據56
4.4.3反饋和更新57
4.5入侵檢測的分析方法58
4.5.1誤用檢測58
4.5.2異常檢測61
4.5.3其他檢測方法68
4.6告警與響應71
4.6.1對響應的需求71
4.6.2響應的類型73
4.6.3按策略配置響應76
4.6.4聯動響應機制77
習題78
第5章基於主機的入侵檢測技術79
5.1審計數據的獲取79
5.1.1繫統日志與審計信息80
5.1.2數據獲取繫統結構設計81
5.2審計數據的預處理82
5.3基於統計模型的入侵檢測技術86
5.4基於專家繫統的入侵檢測技術87
5.5基於狀態轉移分析的入侵檢測技術91
5.6基於完整性檢查的入侵檢測技術91
5.7基於智能體的入侵檢測技術93
5.8繫統配置分析技術96
5.9檢測實例分析96
習題100
第6章基於網絡的入侵檢測技術101
6.1分層協議模型與TCP/IP協議簇101
6.1.1TCP/IP協議模型101
6.1.2TCP/IP報文格式102
6.2網絡數據包的捕獲106
6.2.1局域網和網絡設備的工作原理106
6.2.2Sniffer介紹107
6.2.3共享和交換網絡環境下的數據捕獲108
6.3包捕獲機制與BPF模型109
6.3.1包捕獲機制109
6.3.2BPF模型110
6.4基於Libpcap庫的數據捕獲技術111
6.4.1Libpcap介紹111
6.4.2Windows平臺下的Winpcap庫114
6.5檢測引擎的設計118
6.5.1模式匹配技術119
6.5.2協議分析技術119
6.6網絡入侵特征實例分析120
6.6.1特征（Signature）的基本概念120
6.6.2典型特征——報頭值121
6.6.3候選特征121
6.6.4最佳特征122
6.6.5通用特征122
6.6.6報頭素123
6.7檢測實例分析123
6.7.1數據包捕獲124
6.7.2端口掃描的檢測124
6.7.3拒絕服務攻擊的檢測125
習題125
第7章基於存儲的入侵檢測技術126
7.1主動存儲設備126
7.2塊存儲設備的數據存取過程128
7.3存儲級入侵檢測研究現狀131
7.4存儲級入侵檢測框架132
7.4.1數據采集133
7.4.2數據特征分析135
7.4.3數據預處理和規約135
7.5基於數據挖掘的攻擊模式自動生成136
7.5.1基於判定樹分類的攻擊模式自動生成137
7.5.2判定樹分類生成算法140
7.6存儲級異常檢測方法143
7.6.1D-S證據理論143
7.6.2基於D-S證據理論的異常檢測特征融合算法145
7.7IDS間基於協作的聯合防御149
7.7.1預定義149
7.7.2相關工作介紹149
7.7.3典型協作模式分析150
7.7.4協作方式153
習題154
第8章基於Hadoop海量日志的入侵檢測技術156
8.1Hadoop相關技術157
8.1.1Hadoop簡介157
8.1.2HDFS文件繫統157
8.1.3MapReduce並行計算框架157
8.1.4Mahout簡介158
8.1.5Hive簡介159
8.2Web日志159
8.3基於Hadoop海量日志的入侵檢測算法159
8.3.1K-Means算法基本原理160
8.3.2改進的並行化K-Means算法CPK-Means162
8.3.3FP-Growth算法基本原理164
8.3.4改進的並行化FP-Growth算法LBPEP165
8.4基於Hadoop海量日志的入侵檢測繫統的實現173
8.4.1繫統實現框架174
8.4.2數據收集174
8.4.3數據預處理175
8.4.4Hadoop平臺下入侵規則的挖掘178
習題186
第9章入侵檢測繫統的標準與評估187
9.1入侵檢測的標準化工作187
9.1.1CIDF187
9.1.2IDMEF192
9.1.3標準化工作總結200
9.2入侵檢測繫統的性能指標200
9.2.1評價入侵檢測繫統性能的標準200
9.2.2影響入侵檢測繫統性能的參數200
9.2.3評價檢測算法性能的測度202
9.3網絡入侵檢測繫統測試評估204
9.4測試評估內容205
9.4.1功能性測試205
9.4.2性能測試206
9.4.3產品可用性測試206
9.5測試環境和測試軟件207
9.5.1測試環境207
9.5.2測試軟件208
9.6用戶評估標準209
9.7入侵檢測評估方案211
9.7.1離線評估方案211
9.7.2實時評估方案215
習題216
附錄Snort的安裝與使用218
附1Snort簡介218
附2使用Snort構建入侵檢測繫統實例226
參考文獻