图书介绍

网络入侵检测分析员手册2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

网络入侵检测分析员手册
  • Stephen Northcutt著;余青霓等译 著
  • 出版社: 北京:人民邮电出版社
  • ISBN:711508372X
  • 出版时间:2000
  • 标注页数:209页
  • 文件大小:13MB
  • 文件页数:236页
  • 主题词:

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快]温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页直链下载[便捷但速度慢]  [在线试读本书]   [在线获取解压码]
点击复制MD5值:685244dfc7d404fdea5d3f466596341b

下载说明

网络入侵检测分析员手册PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

点击复制85GB完整离线版磁力链接到迅雷FDM等BT下载工具进行下载  详情点击-查看共享计划
建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

前言页1

第1章 Mitnick攻击1

1.1 利用TCP1

1.1.1 TCP回顾1

1.1.2 SYN湮没2

1.1.3 TCP劫取7

1.2 检测Mitnick攻击9

1.3 预防Mitnick攻击12

1.4 小结13

第2章 过滤器和攻击特征介绍15

2.1 过滤策略15

2.1.1 拒绝一切15

2.1.2 允许一切15

2.2 攻击特征16

2.2.1 用来检测攻击特征的过滤器16

2.3.1 Land攻击17

2.3 过滤器实例17

2.2.2 升级特征17

2.3.2 WinNuke攻击18

2.3.3 圣诞树过滤器21

2.3.4 Web服务器攻击检测过滤器示例23

2.4 与目标过滤器相关的策略问题26

2.4.1 非授权使用26

2.4.2 坏雇员26

2.5 小结27

2.4.3 到此为止27

第3章 体系结构问题29

3.1 关注的事件30

3.2 观测限制30

3.3 简易系统模式31

3.4 人的因素对检测的限制32

3.4.1 分析员带来的限制32

3.4.2 CIRT带来的限制32

3.5 攻击的严重性33

3.5.2 攻击的毁坏性34

3.5.1 系统重要性34

3.6 对策35

3.7 检测器位置36

3.7.1 放在防火墙之外36

3.7.2 检测器的防火墙内37

3.7.3 防火墙内外都有检测器37

3.7.4 检测器的其他位置38

3.8 推(Push)和拉(Pull)38

3.9 分析员控制台39

3.9.1 快速控制台40

3.9.2 误报警管理40

3.9.3 显示过滤器40

3.9.4 标记分析事件41

3.9.5 层层探究41

3.9.6 关联分析41

3.9.7 好的报告41

3.10 基于主机和基于网络的入侵检测42

3.11 小结43

4.1 多种方案协同工作45

第4章 互操作性和关联性45

4.1.1 CIDF46

4.1.2 CISL47

4.2 商业入侵检测系统互操作解决方案48

4.2.1 OPSEC48

4.2.2 CCI48

4.2.3 ISS的ANSA49

4.3.1 源IP关联50

4.3 关联性50

4.3.2 目标IP地址关联51

4.3.3 欺骗数据包特征关联51

4.3.4 新攻击特征53

4.3.5 时间周期53

4.3.6 记录56

4.4 SQL数据库56

4.4.1 载入数据57

4.4.2 数据缩减57

4.4.4 交互性能59

4.4.3 查询支持59

4.5 小结60

第5章 基于网络的入侵检测解决方案61

5.1 商业工具61

5.2 运行于MS Windows上的系统61

5.2.1 ISS的RealSecure62

5.2.2 Axent的NetProwler64

5.3 基于UNIX的系统64

5.3.1 NFR (Network Flight Recorder)64

5.3.2 Cisco的NetRanger66

5.4 GOTS66

5.4.1 EPIC267

5.4.2 网络入侵检测器(NID)67

5.4.3 Shadow68

5.5 评估入侵检测系统68

5.5.1 Mitre评测中心68

5.5.3 Lincoln实验室的评估方法69

5.5.2 InfowarCon69

5.5.4 ID’99中的ID’Net70

5.5.5 供应商70

5.6 小结71

第6章 对攻击的检测73

6.1 误报警73

6.1.1 没有激励,只有响应73

6.1.2 SYN湮没75

6.1.3 Back Orifice76

6.1.4 脆弱性标准77

6.2 对IMAP的攻击78

6.2.1 IOI43源端口特征的IMAP攻击78

6.2.2 III特征的IMAP攻击78

6.3 SYN/FIN均设为1的端口攻击79

6.3.1 SYN/FIN均设为1,源端口为65535的攻击79

6.3.2 对DNS.NFS的攻击79

6.3.3 关于这种模式跟踪记录的其他答案80

6.4 应用扫描程序攻击81

6.4.1 Mscan81

6.4.2 Mscan的二代产品82

6.4.3 Access Builder83

6.5 portmap攻击84

6.5.1 Rexec85

6.5.2 POP385

6.5.3 目标SGI系统86

6.5.4 Discard86

6.5.5 三端口扫描86

6.5.6 一个古怪的Web扫描87

6.5.8 SYN/FIN均设为1,源端口为23的扫描模式88

6.5.7 协议类型扫描工具IP-19188

6.6 小结89

第7章 拒绝服务攻击91

7.1 检测到的拒绝服务跟踪记录91

7.1.1 广播91

7.1.2 病态的数据分段93

7.1.3 echo和chargen96

7.1.4 我们在玩Doom游戏96

7.1.5 nmap2.01版97

7.2.1 land攻击98

7.2 极少出现的著名程序98

7.2.2 Ping of Death99

7.3 小结100

第8章 情报收集技术101

8.1 网络和主机映射101

8.1.1 ICMP主机扫描102

8.1.2 利用UDP echo请求对主机进行扫描102

8.1.4 基于网络屏蔽的广播方式103

8.1.3 ICMP协议广播方式103

8.1.5 端口扫描105

8.1.6 扫描特定端口105

8.1.7 复杂的过程,可能的损害106

8.1.8 “随机”端口扫描107

8.1.9 数据库相关性报告108

8.1.10 SNMP/ICMP109

8.1.11 FTP传输反射(bounce)109

8.2.1 来自Web服务器的访问110

8.2 关于NetBIOS的特殊跟踪记录110

8.2.2 Null Session111

8.3 隐秘攻击(stealth attack)112

8.3.1 直接的隐秘映射技术113

8.3.2 反向映射113

8.4 小结115

第9章 黑客技术介绍117

9.1 1998年的圣诞前夜117

9.1.1 占领系统118

9.1.2 设置侦察扫描119

9.1.3 开始侦察扫描121

9.1.4 准备进行杀伤123

9.1.5 攻击未能奏效124

9.1.6 现在我真的很生气125

9.2 攻击者的交易场所125

9.2.1 全面的工具集126

9.2.2 培训过程126

9.2.4 辅导过程127

9.2.3 无法跟踪的交易方式127

9.3 通信网络128

9.3.1 IRC128

9.3.2 网页128

9.3.3 电话会议128

9.3.4 声音邮箱129

9.3.5 电子函件129

9.3.6 共享系统129

9.3.7 FTP货仓129

9.4 匿名130

9.5 小结130

第10章 协同攻击131

10.1 协同路由跟踪132

10.2 NetBIOS欺骗133

10.3 关于TCP RESET134

10.3.1 内部的SYN/ACK请求135

10.3.3 RealSecure自动生成RESET139

10.3.4 欺骗139

10.3.2 RESET作为TCP劫取的指示器139

10.3.5 相关问题140

10.4 SFRP扫描器140

10.5 基于目标的分析141

10.5.1 流量数据库的重要性142

10.5.2 检测新攻击142

10.6 小结143

第11章 其他工具145

11.1 eNTrax145

11.1.1 按时间进行,由事件推动145

11.1.2 基于网络的Sensor检测器146

11.1.3 脆弱性评估146

11.1.4 策略146

11.1.5 基于主机的入侵检测147

11.1.6 结束行148

11.2 CMDS4.0149

11.3.1 tripwire的价值150

11.3 tripwire150

11.3.2 调整tripwire151

11.3.3 结束行151

11.4 nmap151

11.4.1 发现新的攻击模式151

11.4.2 随机扫描的特征分析152

11.4.3 2.02版nmap153

11.4.4 可开发端口扫描的特征分析154

11.4.5 nmap的扫描效用157

11.4.8 nmap结束语158

11.4.6 TCP fingerprinting158

11.4.7 序列号预测158

11.5 小结159

第12章 风险管理和入侵检测161

12.1 安全模型中的入侵检测161

12.1.1 安全策略162

12.1.2 应当关注的行业活动162

12.1.3 安全基础结构162

12.1.6 实施事故处理163

12.1.5 定期复查163

12.1.4 实施首选对策163

12.2 定义风险164

12.3 风险165

12.3.1 接受风险165

12.3.2 降低风险166

12.3.3 转移风险168

12.4 定义威胁168

12.4.1 有多不好--威胁所带来的冲击169

12.4.2 威胁频率--按年度计算170

12.4.3 不确定性的识别170

12.5 风险管理是由美元推动的171

12.6 一种风险有多危险172

12.6.1 定量的风险评估172

12.6.2 定性的风险评估172

12.6.3 为什么它们不起作用173

12.7 小结173

第13章 自动和人工响应175

13.1.1 压制调速(Throttling)176

13.1 自动响应176

13.1.2 SYN/ACK178

13.1.3 RESETs178

13.2 蜜罐178

13.2.1 代理系统178

13.2.3 空系统179

13.2.4 蜜罐小结179

13.2.2 DTK179

13.3 人工响应180

13.3.1 遏制事态发展180

13.3.2 根除问题183

13.3.3 恢复184

13.3.4 总结经验教训185

13.4 小结186

第14章 入侵检测商业应用实例187

14.1.1 利益大于投入188

14.1.2 开支有限188

14.1 第1部分--与管理部门相关的问题188

14.1.3 该技术不会影响机构的稳定189

14.1.4 更大战略中的一部分190

14.2 第2部分--威胁和脆弱性191

14.2.1 威胁评估和分析191

14.2.2 财产识别192

14.2.3 定价193

14.2.4 脆弱性分析193

14.2.5 风险评价194

14.3 第3部分--权衡和推荐的解决方案194

14.3.1 定义信息保障风险管理体系结构195

14.3.2 确定该体系结构中已经就位的部分195

14.3.3 确定你的提案195

14.3.4 确定备选对策196

14.3.5 开支与收益分析196

14.3.6 项目进度196

14.4 小结197

14.3.7 后续步骤197

第15章 将来的发展方向199

15.1 增加的威胁199

15.1.1 改进的工具200

15.1.2 改进的目标寻找技术200

15.1.3 机动代码201

15.1.4 陷门201

15.2 计算机恐怖主义和2000年问题203

15.3 受到信任的内部人员203

15.5 再谈防病毒产业205

15.4 改进的响应方式205

15.6 基于硬件的入侵检测206

15.6.1 Toasters206

15.6.2 交换网络的入侵检测206

15.7 纵深防御207

15.8 基于程序的入侵检测207

15.9 第63号总统决议和指示(PDD63)208

15.10 聪明的审计人员208

15.11 小结209

热门推荐