基于數(shù)據(jù)分析的網(wǎng)絡(luò)安全(第二版)
定 價(jià):128 元
- 作者:Michael Collins
- 出版時(shí)間:2019/12/1
- ISBN:9787519837808
- 出 版 社:中國(guó)電力出版社
- 中圖法分類:TP393.08
- 頁(yè)碼:512
- 紙張:膠版紙
- 版次:2
- 開本:16K
·使用傳感器來(lái)收集網(wǎng)絡(luò)、服務(wù)、主機(jī)和主動(dòng)領(lǐng)域中的數(shù)據(jù)。
·使用 SiLK 工具集、Python 編程語(yǔ)言,以及其他一些工具與技術(shù),來(lái)操作你所收集的數(shù)據(jù)。
·通過(guò)探索性的數(shù)據(jù)分析(EDA),并輔以可視化技術(shù)與數(shù)學(xué)技術(shù)來(lái)探測(cè)網(wǎng)絡(luò)中的反常情況。
·分析文本數(shù)據(jù),獲知流量所表示的行為,以及檢測(cè)通信過(guò)程中的錯(cuò)誤。
·把網(wǎng)絡(luò)建模成圖,以便通過(guò)分析該圖來(lái)了解網(wǎng)絡(luò)中比較重要的結(jié)構(gòu)。
·檢查與內(nèi)部威脅有關(guān)的數(shù)據(jù),獲取威脅情報(bào)。
·通過(guò)網(wǎng)絡(luò)映射工作來(lái)編制網(wǎng)絡(luò)資源目錄,并確定其中較為重要的主機(jī)。
·與運(yùn)維人員協(xié)作以制定有效的防御及分析技術(shù)。
傳統(tǒng)的入侵探測(cè)手段與日志文件分析技術(shù),已經(jīng)無(wú)法適應(yīng)當(dāng)今這么復(fù)雜的網(wǎng)絡(luò)狀況了。在經(jīng)過(guò)更新的這本書里,本書作者會(huì)給信息安全人員提供最新的技術(shù)與工具,告訴大家怎樣收集網(wǎng)絡(luò)流量,并對(duì)這些數(shù)據(jù)集進(jìn)行分析。你會(huì)學(xué)到怎樣掌握網(wǎng)絡(luò)的使用情況,以及如何采取必要的措施來(lái)鞏固并守護(hù)網(wǎng)絡(luò)中的系統(tǒng)。
本書由三部分組成,其中會(huì)講到數(shù)據(jù)收集與數(shù)據(jù)整理工作所依循的流程,并告訴你怎樣使用各類分析工具和如何運(yùn)用各種分析技巧來(lái)處理不同的情況。有一些新的章節(jié)會(huì)專門討論主動(dòng)監(jiān)控、流量操縱、內(nèi)部威脅檢測(cè)、數(shù)據(jù)挖掘、回歸分析。
Michael Collins是RedJack,LLC的首席科學(xué)家,RedJack是位于美國(guó)華盛頓哥倫比亞特區(qū)的網(wǎng)絡(luò)安全與數(shù)據(jù)分析公司。Collins主要關(guān)注網(wǎng)絡(luò)測(cè)量與流量分析,尤其是對(duì)較大的流量數(shù)據(jù)集所做的分析。
目錄
前言 1
第I 部分 數(shù)據(jù)
第1 章 整理數(shù)據(jù):視點(diǎn)、領(lǐng)域、行動(dòng)及驗(yàn)證 .17
1.1 領(lǐng)域 19
1.2 視點(diǎn) 21
1.3 行動(dòng):傳感器對(duì)數(shù)據(jù)所做的處理 25
1.4 有效性與行動(dòng) 27
1.5 延伸閱讀 .34
第2 章 視點(diǎn):了解傳感器在網(wǎng)絡(luò)中的擺放情況 .36
2.1 網(wǎng)絡(luò)分層的基礎(chǔ)知識(shí) 36
2.2 在網(wǎng)絡(luò)中的各個(gè)層面上進(jìn)行尋址 45
2.3 延伸閱讀 .57
第3 章 網(wǎng)絡(luò)領(lǐng)域內(nèi)的傳感器 .58
3.1 數(shù)據(jù)包與幀的格式 .59
3.2 NetFlow 67
3.3 通過(guò)IDS 收集數(shù)據(jù) 70
3.4 提高IDS 的工作成效78
3.5 中間盒日志及其影響 91
3.6 延伸閱讀 .94
第4 章 服務(wù)領(lǐng)域中的數(shù)據(jù) .96
4.1 什么叫做服務(wù)領(lǐng)域中的數(shù)據(jù)?為什么要收集這些數(shù)據(jù)? .96
4.2 日志文件——最為基礎(chǔ)的服務(wù)數(shù)據(jù) 98
4.3 獲取并操縱日志文件 98
4.4 日志文件的內(nèi)容 101
4.5 延伸閱讀 112
第5 章 服務(wù)領(lǐng)域內(nèi)的傳感器 113
5.1 典型的日志文件格式 . 114
5.2 簡(jiǎn)單郵件傳輸協(xié)議(SMTP) 119
5.3 其他一些較為有用的日志文件 .125
5.4 傳輸日志文件的三種方式:文件傳輸、Syslog 和消息隊(duì)列 .127
5.5 延伸閱讀 130
第6 章 主機(jī)領(lǐng)域中的數(shù)據(jù)與傳感器 .131
6.1 從網(wǎng)絡(luò)的角度觀察主機(jī) .132
6.2 與網(wǎng)絡(luò)接口(網(wǎng)卡)有關(guān)的信息 .134
6.3 可以用來(lái)追蹤身份的主機(jī)信息 .138
6.4 進(jìn)程 140
6.5 文件系統(tǒng) 145
6.6 歷史數(shù)據(jù):用戶執(zhí)行過(guò)的命令以及與登錄有關(guān)的信息 148
6.7 其他數(shù)據(jù)與傳感器:HIPS 及AV .149
6.8 延伸閱讀 150
第7 章 主動(dòng)領(lǐng)域內(nèi)的數(shù)據(jù)及傳感器 .151
7.1 發(fā)現(xiàn)、評(píng)估及維護(hù) 152
7.2 發(fā)現(xiàn):ping、traceroute、netcat 等工具的用法,以及nmap 工具的
其中一部分用法 153
7.3 評(píng)估:nmap、一些客戶端和許多資源庫(kù) 161
7.4 用主動(dòng)收集到的數(shù)據(jù)來(lái)進(jìn)行驗(yàn)證 .168
7.5 延伸閱讀 169
第Ⅱ部分 工具
第8 章 把數(shù)據(jù)集中到一起 173
8.1 宏觀結(jié)構(gòu) 176
8.2 日志數(shù)據(jù)與CRUD 范式 184
8.3 NoSQL 系統(tǒng)簡(jiǎn)介 .187
8.4 延伸閱讀 190
第9 章 SiLK 工具包 191
9.1 什么是SiLK ?它的工作原理是怎樣的? 191
9.2 取得并安裝SiLK .192
9.3 用rwcut 命令操縱字段,并按照一定的格式將其輸出 .194
9.4 用rwfilter 命令對(duì)字段進(jìn)行基本的操縱 200
9.5 用rwfileinfo 命令查詢數(shù)據(jù)文件的出處 210
9.6 用rwcount 命令把信息流合起來(lái)統(tǒng)計(jì) 213
9.7 rwset 與IP set 215
9.8 rwuniq 命令 .220
9.9 rwbag 命令 222
9.10 SiLK 工具包的高級(jí)功能 223
9.11 收集SiLK 數(shù)據(jù) 226
9.12 延伸閱讀 233
第10 章 參照與查詢——用相關(guān)工具確定用戶身份235
10.1 MAC 與硬件地址 236
10.2 IP 地址 239
10.3 DNS .246
10.4 搜索引擎 266
10.5 延伸閱讀 268
第Ⅲ部分 分析
第11 章 探索性數(shù)據(jù)分析及其視覺呈現(xiàn)275
11.1 EDA 的目標(biāo):應(yīng)用分析 .277
11.2 EDA 的工作流程 280
11.3 變量與可視化 282
11.4 適用單個(gè)變量的可視化技術(shù) 284
11.5 對(duì)雙變量的數(shù)據(jù)集進(jìn)行呈現(xiàn) 291
11.6 對(duì)多變量的數(shù)據(jù)集進(jìn)行呈現(xiàn) 293
11.7 擬合與估算 307
11.8 延伸閱讀 315
第12 章 文本分析 316
12.1 文本的編碼 316
12.2 基本技能 325
12.3 文本分析技術(shù) 332
12.4 延伸閱讀 339
第13 章 Fumbling .340
13.1 由于錯(cuò)誤的配置、自動(dòng)化的軟件或掃描行為而引起的fumble 現(xiàn)象 341
13.2 如何識(shí)別fumbling 攻擊 .344
13.3 服務(wù)層面的fumbling 357
13.4 探測(cè)并分析Fumbling 現(xiàn)象 361
第14 章 流量與時(shí)間 .367
14.1 辦公時(shí)間方面的規(guī)律及其對(duì)網(wǎng)絡(luò)流量的影響 .368
14.2 beaconing 371
14.3 文件傳輸/raiding 374
14.4 集中度 .377
14.5 對(duì)流量與集中度進(jìn)行分析 .389
14.6 延伸閱讀 395
第15 章 圖 396
15.1 圖的定義與特征 .396
15.2 標(biāo)記、權(quán)重與路徑 401
15.3 節(jié)點(diǎn)與連接性 407
15.4 聚集系數(shù) 408
15.5 對(duì)圖進(jìn)行分析 410
15.6 延伸閱讀 415
第16 章 來(lái)自內(nèi)部的威脅 .416
16.1 把內(nèi)部威脅與其他幾種攻擊區(qū)別開 .418
16.2 避免互相傷害 421
16.3 攻擊方式 422
16.4 收集并分析與內(nèi)部威脅有關(guān)的數(shù)據(jù) .424
16.5 延伸閱讀 428
第17 章 威脅情報(bào) 429
17.1 什么是威脅情報(bào)? 429
17.2 創(chuàng)建威脅情報(bào)計(jì)劃 434
17.3 對(duì)威脅情報(bào)的創(chuàng)建工作進(jìn)行小結(jié) 439
17.4 延伸閱讀 440
第18 章 應(yīng)用程序判定 .441
18.1 可用來(lái)認(rèn)定應(yīng)用程序的各種手段 442
18.2 認(rèn)定應(yīng)用程序的banner 并對(duì)其分類 456
18.3 延伸閱讀 459
第19 章 網(wǎng)絡(luò)映射 460
19.1 創(chuàng)建初始的網(wǎng)絡(luò)資源目錄與網(wǎng)絡(luò)映射圖 460
19.2 更新網(wǎng)絡(luò)資源目錄,以便持續(xù)地進(jìn)行審計(jì) 481
19.3 延伸閱讀 482
第20 章 與運(yùn)維團(tuán)隊(duì)合作 .483
20.1 運(yùn)維工作概述 483
20.2 運(yùn)維工作中的各種流程 485
20.3 延伸閱讀 496
第21 章 結(jié)論 498