编辑推荐

　　国际信息安全技术专家亲力打造，是系统化建立网络安全监控体系的重要参考

　　既详细讲解网络安全监控的相关工具和技术，又通过多个完整的真实案例阐述了网络安全监控的关键理念与实践，是由菜鸟到NSM分析师的必备参考书

内容简介

　　《网络安全监控：收集、检测和分析》由多位国际信息安全技术专家亲力打造，是系统化建立网络安全监控体系的重要参考，书中不仅详细介绍了网络安全监控的相关工具和技术，还通过多个完整的真实案例阐述了网络安全监控的关键理念与实践，是由菜鸟到NSM分析师的必备参考。

　　全书分为三部分，共15章。第1章概述网络安全监控以及现代网络安全环境，讨论整本书将会用到的基本概念。第一部分（第2～6章）介绍数据收集，包括收集什么数据以及如何收集数据，传感器的类型、作用、部署、工具集，全包捕获数据的重要性和工具，数据存储和保存计划，包串数据的生成、解析和查看等。第二部分（第7～12章）详细介绍检测机制基础、受害信标与特征，以及几种借助信标与特征的检测机制的实际应用，涉及基于信誉度的检测方法、使用Snort和Suricata 进行基于特征的检测、Bro平台、基于异常的检测与统计数据、使用金丝雀蜜罐进行检测的方法等。第三部分（第13～15章）详细讲解数据包分析的相关知识、我方情报与威胁情报的建立与分析、整体的分析过程，并介绍一些分析实践。

　　网络安全监控是建立在“防不胜防”的基础上的。在当前的威胁环境之下，不论你如何努力，目的明确的攻击者总能找到破绽渗透进入你的网络环境。届时，你将面对的是一个小插曲还是一场大灾难，取决于你对于入侵事件的检测与响应能力。

　　本书围绕NSM（网络安全监控）的采集、检测和分析三个阶段展开，由多位NSM资深专家亲力打造，给出了NSM的系统化概念与实践，有些知识可以直接派上用场。如果你刚开始NSM分析工作，本书能帮助你掌握成为真正的分析师所需的核心概念；如果你已经扮演着分析师的角色，本书可帮你汲取分析技巧，提高分析效果。

　　面对当前复杂的网络环境，每个人都可能放松警惕、盲目片面，有时还会在阻止攻击者的网络战斗中败下阵来。本书会为你装备好正确的工具，让这些工具帮助你采集所需数据、检测恶意行为，并通过分析理解入侵的性质。单纯的防御措施终将失败，而NSM却不会。

　　本书主要内容：

　　探讨部署、执行NSM数据采集策略的恰当方法。

　　提供包括Snort、Suricata、Bro-IDS、SiLK、PRADS及更多工具在内的实战演练。

　　明确提出适用于以结构化和体系化方法进行NSM的综合分析框架。

　　内含Security Onion Linux的多个应用实例。

　　配套网站包括作者关于NSM新进展的实时更新博客，全面补充了书中材料。

作者简介

　　作者简介

　　克里斯 · 桑德斯（Chris Sanders），是美国InGuardians的高级安全分析师，参与过政府、军队以及财富500强企业的多种网络安全防御工作，实战经验丰富。在美国国防部的工作中，他有效地发挥了计算机网络防御服务提供商（CNDSP）模型的作用，协助创建了多个NSM模型以及智能化工具。他曾撰写多本书籍和多篇学术文章，其中包括国际畅销书《Practical Packet Analysis》。他拥有多项业界证书，包括 SANS、GSE以及CISSP。

　　杰森 · 史密斯（Jason Smith），是Mandiant安全工程师、安全分析师，参与过州和国家机构的信息安全防御基础设施建设。他拥有多项业界证书，包括 SANS、GCIA以及GCFA。

　　译者简介

　　李柏松，著名信息安全公司安天实验室副总工程师，现任安天安全研究与应急处理中心主任。他曾在逆向工程、虚拟机技术方面进行大量探索性研究，是安天主线产品AVL SDK反病毒引擎的核心技术实现者之一，先后主持或参与多项相关科研项目，申请了多项技术专利。

　　李燕宏，华为高级安全分析师，海外安全服务团队负责人，资深SOC安全运营专家。他曾任职于腾讯、盛大等互联网公司，先后主持或参与过多个大型企业的SOC平台建设与运营管理。他致力于SOC安全运营领域的研究，主要研究兴趣包括威胁情报分析、NSM技术、安全运营流程以及安全大数据分析与可视化等。

目录

译者序

作者简介

序　言

前　言

第1章　网络安全监控应用实践 1

1.1　关键NSM术语 2

1.1.1　资产 2

1.1.2　威胁 2

1.1.3　漏洞 3

1.1.4　利用 3

1.1.5　风险 3

1.1.6　异常 3

1.1.7　事故 3

1.2　入侵检测 4

1.3　网络安全监控 4

1.4　以漏洞为中心vs以威胁为中心 7

1.5　NSM周期：收集、检测和分析 7

1.5.1　收集 7

1.5.2　检测 8

1.5.3　分析 8

1.6　NSM的挑战 9

1.7　定义分析师 9

1.7.1　关键技能 10

1.7.2　分类分析师 11

1.7.3　成功措施 12

1.8　Security Onion 15

1.8.1　初始化安装 15

1.8.2　更新Security Onion 16

1.8.3　执行NSM服务安装 16

1.8.4　测试Security Onion 17

1.9　本章小结 19

第一部分　收集

第2章　数据收集计划 22

2.1　应用收集框架 22

2.1.1　威胁定义 23

2.1.2　量化风险 24

2.1.3　识别数据源 25

2.1.4　焦点缩小 26

2.2　案例：网上零售商 28

2.2.1　识别组织威胁 28

2.2.2　量化风险 29

2.2.3　识别数据源 30

2.2.4　焦点缩小 33

2.3　本章小结 35

第3章　传感器平台 36

3.1　NSM数据类型 37

3.1.1　全包捕获数据 37

3.1.2　会话数据 37

3.1.3　统计数据 37

3.1.4　包字符串数据 37

3.1.5　日志数据 38

3.1.6　告警数据 38

3.2　传感器类型 39

3.2.1　仅收集 39

3.2.2　半周期 39

3.2.3　全周期检测 39

3.3　传感器硬件 40

3.3.1　CPU 41

3.3.2　内存 42

3.3.3　磁盘存储空间 42

3.3.4　网络接口 44

3.3.5　负载平衡：套接字缓冲区的

要求 45

3.3.6　SPAN端口 vs 网络分流器 46

3.4　传感器高级操作系统 50

3.5　传感器的安置 50

3.5.1　利用适当的资源 50

3.5.2　网络入口/出口点 50

3.5.3　内部IP地址的可视性 51

3.5.4　靠近关键资产 54

3.5.5　创建传感器可视化视图 55

3.6　加固传感器 57

3.6.1　操作系统和软件更新 57

3.6.2　操作系统加固 57

3.6.3　限制上网 57

3.6.4　小化软件安装 58

3.6.5　VLAN分割 58

3.6.6　基于主机的IDS 58

3.6.7　双因素身份验证 58

3.6.8　基于网络的IDS 59

3.7　本章小结 59

第4章　会话数据 60

4.1　流量记录 61

4.1.1　NetFlow 63

4.1.2　IPFIX 64

4.1.3　其他流类型 64

4.2　收集会话数据 64

4.2.1　硬件生成 65

4.2.2　软件生成 65

4.3　使用SiLK收集和分析流数据 66

4.3.1　SiLK包工具集 66

4.3.2　SiLK流类型 68

4.3.3　SiLK分析工具集 68

4.3.4　在Security Onin里安装SiLK 69

4.3.5　使用Rwfilter过滤流数据 69

4.3.6　在Rwtools之间使用数据管道 70

4.3.7　其他SiLK资源 73

4.4　使用Argus收集和分析流数据 73

4.4.1　解决框架 74

4.4.2　特性 74

4.4.3　基础数据检索 75

4.4.4　其他Argus资源 76

4.5　会话数据的存储考虑 76

4.6　本章小结 78

第5章　全包捕获数据 79

5.1　Dumpcap 80

5.2　Daemonlogger 81

5.3　Netsniff-NG 83

5.4　选择合适的FPC收集工具 84

5.5　FPC收集计划 84

5.5.1　存储考虑 85

5.5.2　使用Netsniff-NG和IFPPS

计算传感器接口吞吐量 86

5.5.3　使用会话数据计算传感器接口吞吐量 87

5.6　减少FPC数据存储预算 88

5.6.1　过滤服务 88

5.6.2　过滤主机到主机的通信 90

5.7　管理FPC数据存储周期 91

5.7.1　基于时间的存储管理 92

5.7.2　基于大小的存储管理 92

5.8　本章小结 96

第6章　包字符串数据 97

6.1　定义包字符串数据 97

6.2　PSTR数据收集 99

6.2.1　手动生成PSTR数据 100

6.2.2　URLSnarf 101

6.2.3　Httpry 102

6.2.4　Justniffer 104

6.3　查看PSTR数据 107

6.3.1　Logstash 107

6.3.2　使用BASH工具解析

原始文本 114

6.4　本章小结 116

第二部分　检测

第7章　检测机制、受害信标与特征 118

7.1　检测机制 118

7.2　受害信标和特征 119

7.2.1　主机信标和网络信标 120

7.2.2　静态信标 120

7.2.3　可变信标 123

7.2.4　信标与特征的进化 124

7.2.5　特征调优 125

7.2.6　信标和特征的关键标准 127

7.3　信标和特征的管理 128

7.4　信标与特征框架 133

7.4.1　OpenIOC 134

7.4.2　STIX 135

7.5　本章小结 137

第8章　基于信誉度的检测 138

8.1　公开信誉度列表 138

8.1.1　常用公开信誉度列表 139

8.1.2　使用公共信誉度列表的常见问题 143

8.2　基于信誉度的自动化检测 145

8.2.1　使用BASH脚本实现手动检索与检测 145

8.2.2　集中智能框架 150

8.2.3　Snort 的IP信誉度检测 153

8.2.4　Suricata 的IP信誉度检测 154

8.2.5　Bro的信誉度检测 156

8.3　本章小结 159

第9章　基于 Snort和Suricata特征检测 160

9.1　Snort 161

9.2　SURICATA 163

9.3　在 Security Onion 系统中改变 IDS 引擎 165

9.4　初始化Snort 和 Suricata实现入侵检测 165

9.5　Snort 和 Suricata 的配置 168

9.5.1　变量 168

9.5.2　IP变量 168

9.5.3　定义规则集 171

9.5.4　警报输出 176

9.5.5　Snort 预处理器 178

9.5.6　NIDS模式命令行附加参数 179

9.6　IDS规则 181

9.6.1　规则解析 181

9.6.2　规则调优 195

9.7　查看 Snort和Suricata警报 201

9.7.1　Snorby 201

9.7.2　Sguil 202

9.8　本章小结 202

第10章　Bro平台 203

10.1　Bro基本概念 203

10.2　Bro的执行 205

10.3　Bro 日志 205

10.4　使用Bro定制开发检测工具 209

10.4.1　文件分割 209

10.4.2　选择性提取文件 211

10.4.3　从网络流量中实时提取文件 213

10.4.4　打包Bro程序 215

10.4.5　加入配置选项 216

10.4.6　使用Bro监控敌方 218

10.4.7　暗网检测脚本的扩展 224

10.4.8　重载默认的通知处理 224

10.4.9　屏蔽，邮件，警报——举手之劳 227

10.4.10　为Bro日志添加新字段 228

10.5　本章小结 231

第11章　基于统计数据异常的检测 232

11.1　通过SiLK获得流量排名 232

11.2　通过SiLK发现服务 236

11.3　使用统计结果实现深度检测 240

11.4　使用Gnuplot实现统计数据的可视化 242

11.5　使用Google图表实现统计数据的可视化 245

11.6　使用Afterglow实现统计数据的可视化 249

11.7　本章小结 254

第12章　使用金丝雀蜜罐进行检测 255

12.1　金丝雀蜜罐 255

12.2　蜜罐类型 256

12.3　金丝雀蜜罐架构 257

12.3.1　第一阶段：确定待模拟的设备和服务 257

12.3.2　第二阶段：确定金丝雀蜜罐安放位置 258

12.3.3　第三阶段：建立警报和日志记录 259

12.4　蜜罐平台 260

12.4.1　Honeyd 260

12.4.2　Kippo SSH 蜜罐 264

12.4.3　Tom’s Honeypot 267

12.4.4　蜜罐文档 269

12.5　本章小结 272

第三部分　分析

第13章　数据包分析 274

13.1　走近数据包 274

13.2　数据包数学知识 276

13.2.1 　以十六进制方式理解字节 276

13.2.2　十六进制转换为二进制和十进制 277

13.2.3　字节的计数 278

13.3　数据包分解 280

13.4　用于NSM分析的 cpdump 工具 283

13.5　用于数据包分析的Tshark工具 287

13.6　用于NSM分析的Wireshark工具 291

13.6.1　捕获数据包 291

13.6.2　改变时间显示格式 293

13.6.3　捕获概要 293

13.6.4　协议分层 294

13.6.5　终端和会话 295

13.6.6　流追踪 296

13.6.7　输入/输出数据流量图 296

13.6.8　导出对象 297

13.6.9　添加自定义字段 298

13.6.10　配置协议解析选项 299

13.6.11　捕获和显示过滤器 300

13.7　数据包过滤 301

13.7.1　伯克利数据包过滤器 301

13.7.2　Wireshark显示过滤器 304

13.8　本章小结 307

第14章　我方情报与威胁情报 308

……

前言/序言

　　前　言我喜欢抓坏人。当我还是个小孩子的时候，就想以某些方式抓住坏人。例如，就近找一条毛巾披上作斗篷，与小伙伴们满屋子跑，玩警察抓小偷的游戏。长大后，每当看到为百姓伸张正义，让各种坏蛋得到应有的惩罚，我都特别开心。但不管我多努力去尝试，我的愤怒也无法让我变成一个绿巨人，不管我被多少蜘蛛咬了，我也无法从我的手臂里发射出蜘蛛网。我也很快意识到我并不适合做执法工作。

　　自从认识到这个现实，我意识到我没有足够的财富建一堆华丽的小工具，并身着蝙蝠衣在夜里绕飞巡逻，所以我结束了一切幻想，将我的注意力转向了我的电脑。事隔多年，我已走出了童年梦想中想活捉坏蛋的角色，那已不是我初想象的那种感觉。

　　通过网络安全监控（NSM）的实战抓住坏人，这也是本书的主旨。NSM是基于防范终失效的原则，就是说无论你在保护你的网络中投入多少时间，坏人都有可能获胜。当这种情况发生时，你必须在组织上和技术上的位置，检测到入侵者的存在并及时做出响应，使事件可以得到及时通报，并以小代价减小入侵者的破坏。

　　“我要怎样做才能在网络上发现坏人？”

　　走上NSM实践的道路通常始于这个问题。NSM的问题其实是一种实践，而这个领域的专家则是NSM的实践者。

　　科学家们通常被称作科技领域的实战者。在近的上世纪80年代，医学上认为牛奶是治疗溃疡的有效方法。随着时间的推移，科学家们发现溃疡是由幽门螺旋杆菌引起的，而奶制品实际上会进一步加剧溃疡的恶化。虽然我们愿意相信大多数科学是准确的，但有时不是这样。所有科学研究是基于当时可用的佳数据，当随着时间的推移出现新的数据时，老问题的答案就会改变，并且重新定义了过去曾经被认为是事实的结论。这是医学研究的现实，也是作为NSM从业者面对的现实。

　　遗憾的是，当我开始涉猎NSM时，关于这个话题并没有太多参考资料可用。坦白地说，现在也没有。除了行业先驱者们偶尔写的博客以及一些特定的书籍外，大多数试图学习这个领域的人都被限制在他们自己设备的范围内。我觉得这是一个合适的时机来澄清一个重要误解，以消除我先前说法的潜在疑惑。市面上有各式各样的关于TCP/IP、包分析和各种入侵检测系统（IDS）话题的书籍。尽管这些书本中提及的概念是NSM的重要方面，但它们并不构成NSM的全过程。这就好比说，一本关于扳手的书，会教你如何诊断汽车，但不会教 网络安全监控：收集、检测和分析 电子书 下载 mobi epub pdf txt

好评！！！！！！！！！

比某当全。买了很多了 非常好。不一一贴图了

保护自己，从保护信息做起

不错，相对较新的安全类书籍！

经典的书籍，值得推荐。。

买来学习 不错

很满意，第二天准时送到，都是没拆封的新书

这些书的质量不错，没有味道，是正品，送货超快。谢谢。

书不错挺好的一直购买。。