Snort入侵檢測實(shí)用解決方案

第1章 入侵檢測基礎(chǔ)
1.1 不同類型的入侵檢測系統(tǒng)
1.1.1 基于主機(jī)的入侵檢測系統(tǒng)
1.1.2 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)
1.1.3 一種混合的方法
1.2 檢測入侵的方法
1.2.1 特征檢測
1.2.2 異常檢測
1.2.3 完整性檢驗(yàn)
1.3 攻擊的來源
1.3.1 外部威脅
1.3.2 內(nèi)部威脅
1.4 攻擊的步驟 
1.4.1 計(jì)劃階段
1.4.2 偵察階段
1.4.3 攻擊階段
1.4.4 后攻擊階段
1.5 入侵檢測系統(tǒng)的現(xiàn)狀
1.5.1 入侵檢測系統(tǒng)不能檢測所有的入侵事件
1.5.2 入侵檢測系統(tǒng)不能地攻擊作出響應(yīng)
1.5.3 入侵檢測系統(tǒng)的配置及維護(hù)比較困難
1.6 小結(jié)
第2章 利用Snort進(jìn)行網(wǎng)絡(luò)入侵檢測
2.1 Snort的規(guī)格說明
2.1.1 安裝的必要條件
2.1.2 帶寬考慮
2.1.3 Snort是一種開放源代碼的應(yīng)用程序
2.2 通過特征檢測可疑流量
2.2.1 檢測可疑凈荷
2.2.2 檢測具體協(xié)議元素
2.2.3 用客戶規(guī)則擴(kuò)展覆蓋面
2.3 啟發(fā)式的可疑流量檢測
2.4 采集入侵?jǐn)?shù)據(jù)
2.4.1 評估威脅
2.4.2 預(yù)處理
2.5 利用輸出插件進(jìn)行報(bào)警
2.5.1 聚集數(shù)據(jù)
2.5.2 用統(tǒng)一格式和Barnyard程序記錄日志
2.5.3 報(bào)警
2.6 分層報(bào)警
2.6.1 無優(yōu)先級報(bào)警
2.6.2 嚴(yán)格編碼的優(yōu)先級報(bào)警
2.6.3 可定制的優(yōu)先級報(bào)警
2.7 分布式Snort體系
2.7.1 第一層——傳感器層
2.7.2 第二層——服務(wù)器層
2.7.3 第三層——分析員控制臺
2.8 安全的Snort
2.9 Snort的缺陷
2.9.1 靈活性帶來復(fù)雜性
2.9.2 誤報(bào)的問題
2.9.3 市場因素
2.10 小結(jié)
第3章 剖析Snort
3.1 用Libpcap輸送Snort包
3.2 預(yù)處理程序
3.2.1 frag2
3.2.2 stream4
3.2.3 stream4_reassemble
3.2.4 HTTP_decode
3.2.5 RPC_decode
3.2.6 BO
3.2.7 Telnet_decode
3.2.8 ARPspoof
3.2.9 ASN1_decode
3.2.10 fnord
3.2.11 conversation
3.2.12 portscan2
3.2.13 SPADE
3.3 檢測引擎
3.4 輸出插件
3.4.1 Alert_fast
3.4.2 Alert_full
3.4.3 Alert_smb
3.4.4 Alert_unixsock
3.4.5 Log_tcpdump
3.4.6 CSV
3.4.7 XML
3.4.8 Alert_syslog
3.4.9 數(shù)據(jù)庫輸出
3.4.10 統(tǒng)一格式輸出
3.5 小結(jié)
第4章 安裝Snort的計(jì)劃
4.1 制定入侵檢測系統(tǒng)的策略
4.1.1 惡意行為
4.1.2 可疑行為
4.1.3 異常行為
4.1.4 不適當(dāng)行為
4.2 決定要監(jiān)控的內(nèi)容
4.2.1 外部網(wǎng)絡(luò)連接監(jiān)控
4.2.2 內(nèi)部網(wǎng)絡(luò)關(guān)鍵點(diǎn)監(jiān)控
4.2.3 重要計(jì)算資源監(jiān)控
4.3 設(shè)計(jì)Snort體系結(jié)構(gòu)
4.3.1 三層結(jié)構(gòu)
4.3.2 單層結(jié)構(gòu)
4.3.3 監(jiān)控網(wǎng)段
4.4 維護(hù)計(jì)劃
4.5 事件響應(yīng)
4.5.1 事件響應(yīng)計(jì)劃
4.5.2 事件響應(yīng)
4.5.3 恢復(fù)
4.5.4 測試計(jì)劃
4.6 小結(jié)
第5章 基礎(chǔ)——硬件和操作系統(tǒng)
5.1 硬件性能的度量
5.2 操作系統(tǒng)平臺的選擇
5.3 監(jiān)控網(wǎng)段
5.3.1 網(wǎng)內(nèi)Hub監(jiān)控
5.3.2 SPAN端口監(jiān)控
5.3.3 Taps監(jiān)控
5.4 多傳感器分流
5.5 小結(jié)
第6章 建立服務(wù)器
6.1 安裝指南
6.2 Red Hat Linux 7.3的安裝
6.2.1 分區(qū)策略
6.2.2 網(wǎng)絡(luò)配置
6.2.3 防火墻配置
6.2.4 時(shí)區(qū)選擇
6.2.5 帳號設(shè)置
6.2.6 選擇需要安裝的軟件包
6.3 后安裝任務(wù)
6.4 安裝Snort服務(wù)器組件
6.4.1 安裝OpenaSSL
6.4.2 安裝Stunnel
6.4.3 安裝OpenSSH
6.4.4 下載Apache
6.4.5 安裝MySQL
6.4.6 配置mod_ssl
6.4.7 安裝gd
6.4.8 安裝PHP
6.4.9 安裝Apache
6.4.10 安裝ADODB
6.4.11 安裝ACID
6.5 小結(jié)
第7章 建立傳感器
7.1 安裝指南
7.1.1 Red Hat Linux 7.3的安裝
7.1.2 后安裝任務(wù) 
7.2 安裝Snort傳感器組件
7.2.1 安裝libpcap
7.2.2 安裝tcpdump
7.2.3 安裝OpenSSL
7.2.4 安裝Stunnel
7.2.5 安裝OpenSSH
7.2.6 安裝MySQL客戶端
7.2.7 安裝NTP
7.3 安裝Snrot
7.3.1 配置snort.conf
7.3.2 運(yùn)行Snort
7.4 安裝Barnyard
7.4.1 配置barnyard.conf
7.4.2 運(yùn)行Barnyard
7.4.3 用barnyard.server腳本實(shí)現(xiàn)Barnyard的自動(dòng)啟動(dòng)與停止
7.5 小結(jié)
第8章  建立分析員控制臺
8.1 Windows下的安裝
8.1.1 安裝SSH
8.1.2 Web瀏覽器
8.2 Linux下的安裝
8.2.1 安裝OpenSSH
8.2.2 Web瀏覽器
8.3 測試控制臺
8.4 使用ACID
8.4.1 搜索
8.4.2 警報(bào)組
8.5 小結(jié)
第9章 其他操作系統(tǒng)下的安裝方法
9.1 混合服務(wù)器/傳感器
9.2 基于OpenBSD的Snort
9.3 基于Windows的Snort
9.3.1 Windows的安裝
9.3.2 基本程序的安裝
9.3.3 Snort應(yīng)用程序的安裝
9.3.4 入侵檢測中心的安裝
9.4 小結(jié)
第10章 調(diào)整和減少誤報(bào)
10.1 預(yù)調(diào)行為
10.2 調(diào)整網(wǎng)絡(luò)
10.3 用Snort過濾流量
10.3.1 網(wǎng)絡(luò)變量
10.3.2 Berkeley包過濾
10.4 調(diào)整預(yù)處理程序
10.4.1 調(diào)整bo
10.4.2 調(diào)整arpspoof,asnl_decoe和fnord
10.4.3 調(diào)整frag2
10.4.4 調(diào)整stream4
10.4.5 調(diào)整stream4_reassemable
10.4.6 調(diào)整http_decode、rpc_decode和telnet_decode
10.4.7 調(diào)整portscan2和conversation
10.5 細(xì)化規(guī)則集
10.5.1 chat.rules規(guī)則
10.5.2 ddos.rules規(guī)則
10.5.3 ftp.rules規(guī)則
10.5.4 icmp-info.rules規(guī)則(1)
10.5.5 icmp-info.rules規(guī)則(2)
10.5.6 info.rules規(guī)則
10.5.7 misc.rules規(guī)則
10.5.8 multimedia.rules規(guī)則
10.5.9 other-ides.rules規(guī)則
10.5.10 p2p.rules規(guī)則
10.5.11 policy.rules規(guī)則
10.5.12 porn.rules規(guī)則
10.5.13 shellcode.rules規(guī)則
10.5.14 virus.rules規(guī)則
10.6 組織規(guī)則
10.7 設(shè)計(jì)目標(biāo)規(guī)則集
10.8 調(diào)整MyQSL
10.9 調(diào)整ACID
10.9.1報(bào)警的存檔 
10.9.2 報(bào)警的刪除
10.9.3 緩存屬性的調(diào)整
10.10 小結(jié)
第11章 實(shí)時(shí)報(bào)警
11.1 概述
11.2 警報(bào)的分級
11.2.1 事件
11.2.2 有目標(biāo)的攻擊
11.2.3 自定義規(guī)則
11.2.4 用classification.config定義優(yōu)先級
11.2.5 優(yōu)先級（priority）選項(xiàng)
11.3 混合型報(bào)警
11.3.1 安裝Swatch
11.3.2 配置Swatch
11.4 分布式Snort報(bào)警
11.4.1 配置Snort并安裝Sendmail
11.4.2 在傳感器上安裝syslog-ng
11.4.3 為傳感器配置syslog-ng
11.4.4 在服務(wù)器上安裝Syslog-ng
11.4.5 為服務(wù)器配置Syslog-ng
11.4.6 為實(shí)時(shí)報(bào)警配置syslog-ng
11.4.7 用Stunnel加密Syslog-ng會話
11.5 小結(jié)
第12章 基礎(chǔ)規(guī)則的編寫
12.1 概念
12.2 語法
12.2.1 規(guī)則頭
12.2.2 規(guī)則選項(xiàng)
12.3 編寫規(guī)則的方法
12.3.1 修改已存在的規(guī)則
12.3.2 利用網(wǎng)絡(luò)知識創(chuàng)造新規(guī)則
12.3.3 利用流量分析創(chuàng)建新規(guī)則
12.4 小結(jié)
第13章 升級和維護(hù)Snort
13.1 選擇Snort管理應(yīng)用軟件
13.2 入侵檢測系統(tǒng)策略管理器
13.2.1 安裝
13.2.2 配置
13.3 SnortCenter
13.3.1 SnortCenter安裝
13.3.2 SnortCenter傳感器代理安裝
13.3.3 配置
13.4 升級Snort
13.5 小結(jié)
第14章 入侵防范高級話題
14.1 一個(gè)關(guān)于入侵防范的警告
14.2 制定入侵防范策略
14.2.1 未打補(bǔ)丁的服務(wù)器
14.2.2 新的漏洞
14.2.3 公開的可訪問的高權(quán)限主機(jī)
14.2.4 從不產(chǎn)生誤報(bào)的規(guī)則
14.3 Snort Inline修補(bǔ)程序
14.3.1 安裝
14.3.2 配置
14.3.3 Inline Snort（防范型Snort）規(guī)則編寫
14.3.4 建立規(guī)則集
14.4 SnortSam
14.4.1 安裝
14.4.2 配置
14.4.3 在規(guī)則中插入阻塞響應(yīng)
14.5 小結(jié)
附錄
附錄A 疑難解答
附錄B 規(guī)則文件