本书全面细致地讲述了入侵检测的各项技术，概念清晰，行文流畅，侧重基础，兼顾实用。全书共分为12章。其中，第1章和第2章主要介绍了入侵检测相关的历史和概念；第3章对入侵检测的信息来源、技术分类和若干现有的实际系统做了简要介绍；第4章和第5章分别对基于主机的入侵检测技术和基于网络的入侵检测技术进行了介绍；第6章介绍了混合型入侵检测技术的特点；第7章对若干先进入侵检测算法的应用情况做了简要的介绍；第8章对分布式入侵检测架构的设计问题进行了分析讨论；第9章和第10章分别对入侵检测系统在设计时所要考虑的若干实际问题和入侵检测的响应问题进行了介绍；第11章和第12章对相关的法律问题和未来的技术发展前景做了介绍和展望。

本书适合作为计算机、信息安全、通信等相关专业的高年级本科生和研究生的数学用书，也可供广大网络安全工程技术人员参考。

计算机和互联网技术正在改变着人类社会的面貌，与之伴随而来的是信息和网络安全的问题。作为整体安全保护机制的重要环节，入侵检测技术本身也在不断发展和进步。国内各个高校陆续开设了信息安全方面的课程，但是还存在着若干实际的问题，如缺乏用作教学用途的教材。此次，借着清华大学出版社组织出版信息安全教材丛书之际，作者在过去研究和写作的基础之上，按照教材体例的要求编著出版了本书。在编写过程中，作者一直强调概念的清晰性和知识的基础性。希望本书的内容组织和写作方式，能够满足读者对入侵检测技术的教学需求。

本书的内容组织共分为三大部分。

第一部分包括第1章和第2章，介绍了入侵检测技术的发展历史、入侵检测的基本概念、对应的基本检测模型，以及相关的安全模型等问题。这部分包括了入侵检测技术的基础、背景知识和总体框架。

第二部分是本书的主要部分，包括第3章至第8章，共6章内容，主要介绍各种具体类型的入侵检测技术。其中，第3章介绍了入侵检测常用的各种信息来源，包括操作系统的审计记录、系统日志、应用程序的日志信息、基于网络数据的信息源等，并对不同信息来源的特点和信息源的选择问题分别进行了介绍；第4章主要介绍了基于主机的入侵检测技术，其中包括如何获取审计数据、应用于入侵检测的统计模型和专家系统规则检测技术、状态转移分析技术以及其他主机检测技术；第5章介绍了基于网络的入侵检测技术，首先对网络协议基本知识进行了回顾，然后介绍了数据包截获技术，最后对主要的网络入侵检测引擎的设计机制进行了介绍；第6章分别对采用多种信息源和多种检测技术的混合型入侵检测技术进行了实例分析；第7章简要回顾了若干先进检测算法在入侵检测中的应用情况；第8章对分布式的入侵检测架构设计问题进行了较为深入的讨论，其中包括需要解决的关键问题、基础设计的实例分析以及进一步的发展等。

第三部分包括第9章至第12章，主要讨论与入侵检测技术相关的其他问题。第9章介绍在入侵检测系统设计时需要考虑的若干实际问题；第10章关注入侵检测的响应问题，对响应策略的确定以及响应组件的设计进行了介绍；第11章介绍了与入侵检测相关的法律问题，包括网络空间中的法律运用和入侵证据的处理等；第12章对入侵检测技术的未来发展进行了展望。

本书在编写过程中得到了作者所在的上海交通大学入侵检测研究小组（SJTUIDRG）成员伍星、陈杰、刘志辉、马思佳、罗自立、丁海波等人的大力帮助，这里对他们表示衷心的感谢。本书在材料组织过程中参考了大量的技术文献和资料，在此对相关的作者表示敬意，并请广大读者对本书提出宝贵意见与建议。本书的责任编委张玉清博士认真审阅了书稿，并提出了许多宝贵的意见与建议，这里一并表示衷心的感谢。最后，希望本书的出版能够为入侵检测技术的普及起到积极作用。

第1章入侵检测技术的历史1

1.1主机审计——入侵检测的起点1

1.2入侵检测基本模型的建立2

1.3技术发展的历程3

习题5

第2章入侵检测的相关概念6

2.1入侵的定义6

2.2什么是入侵检测7

2.3入侵检测与P2DR模型8

习题9

第3章入侵检测技术的分类10

3.1入侵检测的信息源10

3.1.1操作系统的审计记录10

3.1.2系统日志16

3.1.3应用程序的日志信息20

3.1.4基于网络数据的信息源22

3.1.5其他的数据来源22

3.1.6信息源的选择问题24

3.2分类方法25

3.2.1按照信息源的分类25

3.2.2按照检测方法的分类27

3.2.3另外的分类标准28

3.3具体的入侵检测系统28

3.3.1NFR公司的NID系统28

3.3.2ISS公司的RealSecure29

3.3.3NAI公司的CyberCop Monitor30

3.3.4Cisco公司的Cisco Secure IDS31

习题31

第4章基于主机的入侵检测技术32

4.1审计数据的获取32

4.1.1审计数据类型与来源32

4.1.2审计数据的预处理33

4.1.3审计数据获取模块的设计39

4.2用于入侵检测的统计模型42

4.3入侵检测的专家系统47

4.4基于状态转移分析的入侵检测技术54

4.5文件完整性检查64

4.6系统配置分析技术66

习题67分层协议模型与TCP/IP协议68

5.1.1TCP/IP协议模型68

5.1.2TCP/IP协议报文格式70

5.2网络数据包的截获84

5.2.1以太网环境下的数据截获84

5.2.2交换网络环境下的数据截获90

5.3检测引擎的设计90

5.3.1嵌入式规则检测引擎设计91

5.3.2可编程的检测引擎设计110

5.3.3特征分析与协议分析技术119

习题122

第6章混合型的入侵检测技术123

6.1采用多种信息源123

6.1.1总体设计123

6.1.2主机监控器124

6.1.3局域网监控器124

6.1.4控制台125

6.2采用多种检测方法127

6.2.1系统设计架构127

6.2.2邻域接口130

6.2.3统计分析组件130

6.2.4专家系统组件131

6.2.5解析器131

习题133

第7章先进入侵检测技术134

7.1采用先进检测算法的必要性134

7.2神经网络与入侵检测技术134

7.3数据挖掘与入侵检测技术138

7.4数据融合与入侵检测技术142

7.5计算机免疫学与入侵检测技术143

7.6进化计算与入侵检测技术145

习题147

第8章分布式的入侵检测架构148

8.1应用背景148

8.2需要解决的关键问题148

8.3分布式检测架构的基础设计150

8.3.1GrIDS: 基于图表的入侵检测系统150

8.3.2AAFID: 基于自主代理的分布式入侵检测架构161

8.4进一步的发展189

8.4.1入侵检测的CIDF模型189

8.4.2IDWG的标准化努力193

习题198

第9章入侵检测系统的设计考虑199

9.1用户需求分析199

9.2系统安全设计原则203

9.3系统设计的生命周期206

习题207

第10章入侵检测的响应问题208

10.1响应策略的确定208

10.2选择恰当的响应类型210

10.3响应组件的设计211

习题213

第11章相关的法律问题214

11.1网络空间中的法律问题214

11.2入侵证据的保全217

11.3处理入侵证据的方法218

习题218

第12章未来需求与技术发展前景219

12.1技术的发展趋势219

12.2现有入侵检测技术的局限性220

12.3入侵检测的发展前景222

习题222

参考文献223