《入侵检测理论与技术》从理论和技术两个方面对入侵检测相关知识进行了全面和系统的介绍。全书共分7章，分别对常见入侵与防御、入侵检测基础、大规模分布式入侵检测系统（LDIDS）框架结构、LDIDS的互动协议与接口标准、LDIDS的任务分派机制、LDIDS的数据融合和入侵管理等进行了介绍，内容包括网络安全的主要威胁、常见网络攻击、DDoS攻击与防御、智能型分布式防御、IDS 系统模型等人侵检测理论与技术方面的知识。另外，书中介绍的许多算法、协议、方案等都可直接应用于工程实践，书中提出的许多理论问题也有助于激发更多的后继研究。
《入侵检测理论与技术》可作为信息安全、密码学、信息与计算科学等专业的研究生和高年级大学生的教学参考书，也可作为上述领域相关科技工作者的实用工具书或技术培训教材。

顾名思义，入侵检测就是检测入侵行为。目前的入侵检测系统（IDS）大致可以分为两类：基于主机的IDS和基于网络的IDS。前者是一种集中式的IDS，相当于直接针对敌方总部，一旦发现敌情马上报告，并采取相应的措施。后者是一种分散式的IDS，它广泛收集敌方各军事点的情报，加以综合分析，一旦发现敌情，马上采取措施加以应对。
最近，基于网络的IDS又进一步发展成为分布式IDS和大规模分布式IDS。形象地说，分布式IDS不但要对敌国的各军事点情报进行综合和分析，而且也不放过敌国其他领域的情报，比如，根据敌国大量屯集医药用品的事实来判断敌国可能发动战争等。而大规模分布式IDS则将刺探敌情的范围扩大到敌国的伙伴国家，因为，这些国家的异常举动可能泄露某种攻击信息。
本书将对包括基于主机的IDS和基于网络的IDS进行研究，重点研究分布式IDS和大规模分布式IDS系统的理论和技术。全书共分为7章，各章内容与安排如下。
第l章着重分析了当今主流网络攻击手段，并针对每一种攻击，尽量提出相应的检测、防御方法。当前的入侵方法中，有的是寻找并利用操作系统的漏洞，有的是利用应用程序的实现上的漏洞，有的是针对网络协议漏洞而进行攻击，有的是寻找加密算法的弱点进行密码破解，有的是利用网络协议在特定的操作系统上的实现的漏洞进行入侵，等等。本章重点分析了目前常见的拒绝服务攻击和分布式拒绝服务攻击的原理和手段，包括了CP标志位攻击、通用洪流攻击、反射式攻击等；介绍了常用的分布式拒绝服务攻击工具，包括Trinoo、TFN、TFN2K、Stachcldraht、shaft和stream等；总结了目前分布式攻击的类型和特点。在对目前分布式攻击的类型和特点分析的基础上，提出了分布式攻击的发展趋势，主要包括体系结构及特点。其中主要特点包括可控性强、隐蔽性强、可更新性、智能性和通信安全保密性等。本章将目前针对分布式拒绝服务攻击的防御划分为三个层次并进行比较，然后提出了源端防御的概念；介绍了源端防御程序设计并给出其体系结构及各模块结构图。本章在对分布式拒绝服务攻击的防御手段进行深入分析后，提出了未来分布式防御的发展趋势及智能型分布式防御模型，给出了模型的体系结构和特点，并分析了实现需要解决的一些关键问题。

杨义先，北京邮电大学教授，博士生导师，首届长江学者特聘教授，首届政府特殊津贴获得者。长期从事信息安全、信号与信息处理、密码学等专业的教学、科研和成果转化工作。已发表论文300余篇、出版著作10余部。本书相关研究成果获邮电部科技进步一等奖、国家教委科技进步二等奖、中国通信学会科学技术二等奖等多项奖励。

第1章 常见入侵与防御
1.1 网络安全的主要威胁
1.1.1 网络安全威胁的层次
1.1.2 安全漏洞
1.1.3 攻击语言
1.2 常见网络攻击
1.2.1 DOS攻击与防御
1.2.2 信息收集型攻击
1.2.3 其他攻击
1.3 DDoS攻击与防御
1.3.1 DDoS攻击及常用工具
1.3.2 DDoS的当前特点与发展趋势
1.3.3 DDoS攻击的源端防御
1.4 智能型分布式防御
1.4.1 体系结构
1.4.2 异常行为判定
1.4.3 特点与关键

第2章 入侵检测基础
2.1 基础知识
2.1.1 历史沿革与基本概念
2.1.2 入侵检测系统的体系结构
2.1.3 基于知识和行为的入侵检测
2.1.4 入侵检测系统的信息源
2.2 入侵检测标准
2.2.1 入侵检测数据交换标准化
2.2.2 通用人侵检测框架
2.2.3 入侵检测数据交换格式
2.2.4 通用入侵检测框架的语言
2.3 入侵检测系统模型
2.3.1 基于系统行为分类的检测模型
2.3.2 面向数据处理的检测模型
2.3.3 入侵检测系统和算法的性能分析
2.3.4 入侵检测系统的机制协作
2.4 基于进程行为的入侵检测
2.4.1 基于神经网络的行为分类器
2.4.2 基于概率统计的贝叶斯分类器
2.4.3 基于进程行为分类器的入侵检测
2.4.4 基于进程检测器的入侵检测系统原型
2.5 基于网络数据分析的入侵检测系统
2.5.1 网络事件的多维模型结构
2.5.2 基于网络端口业务数据的统计性特征轮廓
2.5.3 基于规则的入侵检测与数据挖掘技术
2.5.4 网络入侵检测的关键技术

第3章 大规模分布式入侵检测系统框架结构
3.1 LDIDS模型
3.1.1 树状结构
3.1.2 运作机制
3.1.3 功能模块
3.1.4 分层结构
3.2 采集层
3.2.1 数据收集机制
3.2.2 日志
3.2.3 网络数据报
3.2.4 其他信息源
3.3 数据分析层
3.3.1 数据预处理
3.3.2 分布式分析和集中式分析
3.3.3 分析方法
3.3.4 分析过程
3.4 数据融合层
3.4.1 数据融合
3.4.2 聚集模块
3.4.3 合并模块
3.4.4 关联模块
3.5 协调管理层
3.5.1 决策模块
3.5.2 协调模块
3.5.3 响应模块
3.5.4 管理平台
3.5.5 交互接口

第4章 大规模分布式入侵检测系统交互协议与接口标准
4.1 背景知识
4.1.1 现状与趋势
4.1.2 设计交互协议与接口标准的意义
4.2 安全部件交换协议ScxP
4.2.1 协议工作环境与功能目标
4.2.2 SCXP协议的设计
4.2.3 安全性分析
4.3 SCIMF数据模型
4.3.1 用XML实现SCIMF
4.3.2 SCIMF数据模型和XML DTD
4.3.3 SCIMF消息格式的扩展

第5章 大规模分布式入侵检测系统的任务分派机制
5.1 移动代理
5.1.1 移动代理简介
5.1.2 移动代理的优点
5.1.3 典型移动代理实例
5.2 移动代理在入侵检测中的应用
5.2.1 为什么使用移动代理
5.2.2 IDA系统
5.2.3 移动代理引起的问题
5.3 任务分派机制
5.3.1 功能层的代理设计
5.3.2 任务分派过程中的消息和通信
5.3.3 任务分派机制描述

第6章 大规模分布式入侵检测系统中的数据融合
6.1 数据融合与入侵检测
6.1.1 数据融合的定义
6.1.2 数据融合的关键问题
6.1.3 数据融合在入侵检测系统中的应用
6.2 数据融合部件的功能模块
6.2.1 预备知识
6.2.2 需求分析
6.2.3 功能模块
6.3 数据融合算法
6.3.1 聚类
6.3.2 合并
6.3.3 关联

第7章 入侵管理
7.1 入侵防御关键技术
7.1.1 降低开销
7.1.2 均衡负载
7.1.3 协议分析
7.1.4 应用于入侵防御的数据挖掘算法
7.2 入侵容忍
7.2.1 基于多阈值的入侵容忍
7.2.2 基于移动代理的入侵容忍
7.2.3 具有入侵容忍功能的分布式协同入侵检测系统
7.3 入侵管理
7.3.1 基于移动代理的入侵管理
7.3.2 入侵管理的告警融合
7.3.3 大规模分布式入侵管理
参考文献