第1章 入侵檢測基礎
1.1 不同類型的入侵檢測系統(tǒng)
1.1.1 基于主機的入侵檢測系統(tǒng)
1.1.2 基于網絡的入侵檢測系統(tǒng)
1.1.3 一種混合的方法
1.2 檢測入侵的方法
1.2.1 特征檢測
1.2.2 異常檢測
1.2.3 完整性檢驗
1.3 攻擊的來源
1.3.1 外部威脅
1.3.2 內部威脅
1.4 攻擊的步驟
1.4.1 計劃階段
1.4.2 偵察階段
1.4.3 攻擊階段
1.4.4 后攻擊階段
1.5 入侵檢測系統(tǒng)的現狀
1.5.1 入侵檢測系統(tǒng)不能檢測所有的入侵事件
1.5.2 入侵檢測系統(tǒng)不能地攻擊作出響應
1.5.3 入侵檢測系統(tǒng)的配置及維護比較困難
1.6 小結
第2章 利用Snort進行網絡入侵檢測
2.1 Snort的規(guī)格說明
2.1.1 安裝的必要條件
2.1.2 帶寬考慮
2.1.3 Snort是一種開放源代碼的應用程序
2.2 通過特征檢測可疑流量
2.2.1 檢測可疑凈荷
2.2.2 檢測具體協(xié)議元素
2.2.3 用客戶規(guī)則擴展覆蓋面
2.3 啟發(fā)式的可疑流量檢測
2.4 采集入侵數據
2.4.1 評估威脅
2.4.2 預處理
2.5 利用輸出插件進行報警
2.5.1 聚集數據
2.5.2 用統(tǒng)一格式和Barnyard程序記錄日志
2.5.3 報警
2.6 分層報警
2.6.1 無優(yōu)先級報警
2.6.2 嚴格編碼的優(yōu)先級報警
2.6.3 可定制的優(yōu)先級報警
2.7 分布式Snort體系
2.7.1 第一層——傳感器層
2.7.2 第二層——服務器層
2.7.3 第三層——分析員控制臺
2.8 安全的Snort
2.9 Snort的缺陷
2.9.1 靈活性帶來復雜性
2.9.2 誤報的問題
2.9.3 市場因素
2.10 小結
第3章 剖析Snort
3.1 用Libpcap輸送Snort包
3.2 預處理程序
3.2.1 frag2
3.2.2 stream4
3.2.3 stream4_reassemble
3.2.4 HTTP_decode
3.2.5 RPC_decode
3.2.6 BO
3.2.7 Telnet_decode
3.2.8 ARPspoof
3.2.9 ASN1_decode
3.2.10 fnord
3.2.11 conversation
3.2.12 portscan2
3.2.13 SPADE
3.3 檢測引擎
3.4 輸出插件
3.4.1 Alert_fast
3.4.2 Alert_full
3.4.3 Alert_smb
3.4.4 Alert_unixsock
3.4.5 Log_tcpdump
3.4.6 CSV
3.4.7 XML
3.4.8 Alert_syslog
3.4.9 數據庫輸出
3.4.10 統(tǒng)一格式輸出
3.5 小結
第4章 安裝Snort的計劃
4.1 制定入侵檢測系統(tǒng)的策略
4.1.1 惡意行為
4.1.2 可疑行為
4.1.3 異常行為
4.1.4 不適當行為
4.2 決定要監(jiān)控的內容
4.2.1 外部網絡連接監(jiān)控
4.2.2 內部網絡關鍵點監(jiān)控
4.2.3 重要計算資源監(jiān)控
4.3 設計Snort體系結構
4.3.1 三層結構
4.3.2 單層結構
4.3.3 監(jiān)控網段
4.4 維護計劃
4.5 事件響應
4.5.1 事件響應計劃
4.5.2 事件響應
4.5.3 恢復
4.5.4 測試計劃
4.6 小結
第5章 基礎——硬件和操作系統(tǒng)
5.1 硬件性能的度量
5.2 操作系統(tǒng)平臺的選擇
5.3 監(jiān)控網段
5.3.1 網內Hub監(jiān)控
5.3.2 SPAN端口監(jiān)控
5.3.3 Taps監(jiān)控
5.4 多傳感器分流
5.5 小結
第6章 建立服務器
6.1 安裝指南
6.2 Red Hat Linux 7.3的安裝
6.2.1 分區(qū)策略
6.2.2 網絡配置
6.2.3 防火墻配置
6.2.4 時區(qū)選擇
6.2.5 帳號設置
6.2.6 選擇需要安裝的軟件包
6.3 后安裝任務
6.4 安裝Snort服務器組件
6.4.1 安裝OpenaSSL
6.4.2 安裝Stunnel
6.4.3 安裝OpenSSH
6.4.4 下載Apache
6.4.5 安裝MySQL
6.4.6 配置mod_ssl
6.4.7 安裝gd
6.4.8 安裝PHP
6.4.9 安裝Apache
6.4.10 安裝ADODB
6.4.11 安裝ACID
6.5 小結
第7章 建立傳感器
7.1 安裝指南
7.1.1 Red Hat Linux 7.3的安裝
7.1.2 后安裝任務
7.2 安裝Snort傳感器組件
7.2.1 安裝libpcap
7.2.2 安裝tcpdump
7.2.3 安裝OpenSSL
7.2.4 安裝Stunnel
7.2.5 安裝OpenSSH
7.2.6 安裝MySQL客戶端
7.2.7 安裝NTP
7.3 安裝Snrot
7.3.1 配置snort.conf
7.3.2 運行Snort
7.4 安裝Barnyard
7.4.1 配置barnyard.conf
7.4.2 運行Barnyard
7.4.3 用barnyard.server腳本實現Barnyard的自動啟動與停止
7.5 小結
第8章 建立分析員控制臺
8.1 Windows下的安裝
8.1.1 安裝SSH
8.1.2 Web瀏覽器
8.2 Linux下的安裝
8.2.1 安裝OpenSSH
8.2.2 Web瀏覽器
8.3 測試控制臺
8.4 使用ACID
8.4.1 搜索
8.4.2 警報組
8.5 小結
第9章 其他操作系統(tǒng)下的安裝方法
9.1 混合服務器/傳感器
9.2 基于OpenBSD的Snort
9.3 基于Windows的Snort
9.3.1 Windows的安裝
9.3.2 基本程序的安裝
9.3.3 Snort應用程序的安裝
9.3.4 入侵檢測中心的安裝
9.4 小結
第10章 調整和減少誤報
10.1 預調行為
10.2 調整網絡
10.3 用Snort過濾流量
10.3.1 網絡變量
10.3.2 Berkeley包過濾
10.4 調整預處理程序
10.4.1 調整bo
10.4.2 調整arpspoof,asnl_decoe和fnord
10.4.3 調整frag2
10.4.4 調整stream4
10.4.5 調整stream4_reassemable
10.4.6 調整http_decode、rpc_decode和telnet_decode
10.4.7 調整portscan2和conversation
10.5 細化規(guī)則集
10.5.1 chat.rules規(guī)則
10.5.2 ddos.rules規(guī)則
10.5.3 ftp.rules規(guī)則
10.5.4 icmp-info.rules規(guī)則(1)
10.5.5 icmp-info.rules規(guī)則(2)
10.5.6 info.rules規(guī)則
10.5.7 misc.rules規(guī)則
10.5.8 multimedia.rules規(guī)則
10.5.9 other-ides.rules規(guī)則
10.5.10 p2p.rules規(guī)則
10.5.11 policy.rules規(guī)則
10.5.12 porn.rules規(guī)則
10.5.13 shellcode.rules規(guī)則
10.5.14 virus.rules規(guī)則
10.6 組織規(guī)則
10.7 設計目標規(guī)則集
10.8 調整MyQSL
10.9 調整ACID
10.9.1報警的存檔
10.9.2 報警的刪除
10.9.3 緩存屬性的調整
10.10 小結
第11章 實時報警
11.1 概述
11.2 警報的分級
11.2.1 事件
11.2.2 有目標的攻擊
11.2.3 自定義規(guī)則
11.2.4 用classification.config定義優(yōu)先級
11.2.5 優(yōu)先級(priority)選項
11.3 混合型報警
11.3.1 安裝Swatch
11.3.2 配置Swatch
11.4 分布式Snort報警
11.4.1 配置Snort并安裝Sendmail
11.4.2 在傳感器上安裝syslog-ng
11.4.3 為傳感器配置syslog-ng
11.4.4 在服務器上安裝Syslog-ng
11.4.5 為服務器配置Syslog-ng
11.4.6 為實時報警配置syslog-ng
11.4.7 用Stunnel加密Syslog-ng會話
11.5 小結
第12章 基礎規(guī)則的編寫
12.1 概念
12.2 語法
12.2.1 規(guī)則頭
12.2.2 規(guī)則選項
12.3 編寫規(guī)則的方法
12.3.1 修改已存在的規(guī)則
12.3.2 利用網絡知識創(chuàng)造新規(guī)則
12.3.3 利用流量分析創(chuàng)建新規(guī)則
12.4 小結
第13章 升級和維護Snort
13.1 選擇Snort管理應用軟件
13.2 入侵檢測系統(tǒng)策略管理器
13.2.1 安裝
13.2.2 配置
13.3 SnortCenter
13.3.1 SnortCenter安裝
13.3.2 SnortCenter傳感器代理安裝
13.3.3 配置
13.4 升級Snort
13.5 小結
第14章 入侵防范高級話題
14.1 一個關于入侵防范的警告
14.2 制定入侵防范策略
14.2.1 未打補丁的服務器
14.2.2 新的漏洞
14.2.3 公開的可訪問的高權限主機
14.2.4 從不產生誤報的規(guī)則
14.3 Snort Inline修補程序
14.3.1 安裝
14.3.2 配置
14.3.3 Inline Snort(防范型Snort)規(guī)則編寫
14.3.4 建立規(guī)則集
14.4 SnortSam
14.4.1 安裝
14.4.2 配置
14.4.3 在規(guī)則中插入阻塞響應
14.5 小結
附錄
附錄A 疑難解答
附錄B 規(guī)則文件