Snort入侵检测实用解决方案——网络与信息安全丛书 (2008 年度畅销榜NO.3448 )

本书在介绍入侵检测系统的基础上，对Snort进行深入地剖析，详细介绍了Snort在实际应用中的安装、使用及维护。全书共14章，分别介绍了入侵检测基础、利用Snort进行入侵检测、剖析Snort、安装Snort的计划、Snort运行的基础——硬件和操作系统、建立服务器、建立传感器、建立分析员控制台、其他操作系统下的安装、调整和减少误报、实时报警、基本规则的编写、升级和维护Snort以及有关入侵防范的高级话题。本书内容涵盖了Snort实际应用的各个方面。本书无论是对具体的商业应用，还是对教学、科研工作都有相当大的参考价值。\r\n

关于作者\r\n译者序\r\n绪论\r\n第1章 入侵检测基础\r\n 1.1 不同类型的入侵检测系统\r\n 1.2 检测入侵的方法\r\n 1.3 攻击的来源\r\n 1.4 攻击的步骤\r\n 1.5 入侵检测系统的现状\r\n 1.6 小结\r\n第2章 利用Snort进行网络入侵检测\r\n 2.1 Snort 的规格说明\r\n 2.2 通过特征检测可疑流量\r\n 2.3 启发式的可疑流量检测\r\n 2.4 采集入侵数据\r\n 2.5 利用输出插件进行报警\r\n 2.6 分层报警\r\n 2.7 分布式Snort体系\r\n 2.8 安全的Snort\r\n 2.9 Snort的缺陷\r\n 2.10 小结\r\n第3章 剖析Snort\r\n 3.1 用Libpcap输送Snort包\r\n 3.2 预处理程序\r\n 3.3 检测引擎\r\n 3.4 输出插件\r\n 3.5 小结\r\n第4章 安装Snort的计划\r\n 4.1 制定入侵检测系统的策略\r\n 4.2 决定要监控的内容\r\n 4.3 设计Snort体系结构\r\n 4.4 维护计划\r\n 4.5 事件响应\r\n 4.6 小结\r\n第5章 基础——硬件和操作系统\r\n 5.1 硬件性能的度量\r\n 5.2 操作系统平台的选择\r\n 5.3 监控网段\r\n 5.4 多传感器分流\r\n 5.5 小结\r\n第6章 建立服务器\r\n 6.1 安装指南\r\n 6.2 Red hat linux 7.3的安装\r\n 6.3 后安装任务\r\n 6.4 安装Snort 服务器组件\r\n 6.5 小结\r\n第7章 建立传感器\r\n ……\r\n第8章 建立分析员控制台\r\n第9章 其他操作系统下的安装方法\r\n第10章 调整和减少误报\r\n第11章 实时报警\r\n第12章 基本规则的编写\r\n第13章 升级和维护Snort\r\n第14章 入侵防范高级话题\r\n附录\r\n

入侵检测系统(IntrusionDetectionSystem，IDS)的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。作为监控和识别攻击的标准解决方案，IDS系统已经成为安防体系的重要组成部分。 IDS系统不需要人工干预就可以不间惭地运行，能够发现异于正常行为的操作。计算机安防领域的知名专家LanceSpitzner对安防问题做了比较形象的比喻：如果把计算机安防问题比喻为城堡，那么防火墙就可以作为城堡的护城桥(只允许自己方面的队伍通过)，IDS可以比作是城堡里的了望哨(监视是否有敌方、或者其他误人城堡的人出现)，由此可见IDS系统的重要性。一个好的IDS系统还要有容错功能，能够适应系统行为的长期变化，而且可以灵活定制，满足个人和组织的需求，同时系统升级要方便，以便保持领先。 Snort在各种各样的现实环境中都是一种实现入侵检测的实用解决方案，被比喻为安全从业者的瑞士军刀。Snort的适应性强已在全世界范围内得到证实，Snort拥有广大的用户群和强有力的Snort社区的技术支持。围绕着Snort开发了大量的适用于各种需求和各种应用环境的应用工具，相信大家读完该书后会有深刻的体会。 但是另一方面，Snort难于安装、使用和维护也是大家公认的。Snort的开发者们倾心于添加新的属性，修正缺陷，因此说明文档的编写做的比较少。虽然有一些关于Snort的文档，但是都不够充分，中文方面的权威资料就更少，因此，我们觉得有必要翻译一本关于Snort入侵检测方面的书。 本书在介绍入侵检测系统的基础上，详细介绍了Snort的使用。书中不但对Snort做了简洁明确的介绍，还对它进行了深入的剖析，详细全面地介绍了安装、使用和维护Snort的各个方面，并对各个细节也做了具体说明。阅读本书后，读者完全可以建立一个真正实用的Snort入侵检测系统。况且Snort及其相关软件都是开放源代码的自由软件，可以在书中介绍的相关网站免费下载。本书无论是对具体的商业应用，还是对教学、科研工作都有相当大的帮助，对于入侵检测感兴趣的读者阅读此书后一定会有所收获的。 参加本书翻译的人员除书面署名者外，还有朱静和康效龙两位同志。 由于时间和能力有限，难以做到尽善尽美，不当之处在所难免，恳请读者批评指正。我们的电子信箱是：zhangyq@nipc．org．cn。 译 者 于国家计算机网络入侵防范中心

Jack Koziol是芝加哥地区一家主要财政机构的信息安全长官，负责企业范围内的安全。先前，他在一家在线健康护理公司和网络药店的信息安全部门供职。Jack为信息安全杂志供稿，并发表了一些有关入侵检测的文章。他教授有关CISSP考试和“黑客及其防护”的课程。
自从1998年以来，Jack在一些大的生产环境中构建、维护及管理Snort 和其他的入侵检测系统。他也为一些专门的应用软件撰写Snort特征集。