編輯推薦

　　國際信息安全技術專傢親力打造，是係統化建立網絡安全監控體係的重要參考

　　既詳細講解網絡安全監控的相關工具和技術，又通過多個完整的真實案例闡述瞭網絡安全監控的關鍵理念與實踐，是由菜鳥到NSM分析師的必備參考書

內容簡介

　　《網絡安全監控：收集、檢測和分析》由多位國際信息安全技術專傢親力打造，是係統化建立網絡安全監控體係的重要參考，書中不僅詳細介紹瞭網絡安全監控的相關工具和技術，還通過多個完整的真實案例闡述瞭網絡安全監控的關鍵理念與實踐，是由菜鳥到NSM分析師的必備參考。

　　全書分為三部分，共15章。第1章概述網絡安全監控以及現代網絡安全環境，討論整本書將會用到的基本概念。第一部分（第2～6章）介紹數據收集，包括收集什麼數據以及如何收集數據，傳感器的類型、作用、部署、工具集，全包捕獲數據的重要性和工具，數據存儲和保存計劃，包串數據的生成、解析和查看等。第二部分（第7～12章）詳細介紹檢測機製基礎、受害信標與特徵，以及幾種藉助信標與特徵的檢測機製的實際應用，涉及基於信譽度的檢測方法、使用Snort和Suricata 進行基於特徵的檢測、Bro平颱、基於異常的檢測與統計數據、使用金絲雀蜜罐進行檢測的方法等。第三部分（第13～15章）詳細講解數據包分析的相關知識、我方情報與威脅情報的建立與分析、整體的分析過程，並介紹一些分析實踐。

　　網絡安全監控是建立在“防不勝防”的基礎上的。在當前的威脅環境之下，不論你如何努力，目的明確的攻擊者總能找到破綻滲透進入你的網絡環境。屆時，你將麵對的是一個小插麯還是一場大災難，取決於你對於入侵事件的檢測與響應能力。

　　本書圍繞NSM（網絡安全監控）的采集、檢測和分析三個階段展開，由多位NSM資深專傢親力打造，給齣瞭NSM的係統化概念與實踐，有些知識可以直接派上用場。如果你剛開始NSM分析工作，本書能幫助你掌握成為真正的分析師所需的核心概念；如果你已經扮演著分析師的角色，本書可幫你汲取分析技巧，提高分析效果。

　　麵對當前復雜的網絡環境，每個人都可能放鬆警惕、盲目片麵，有時還會在阻止攻擊者的網絡戰鬥中敗下陣來。本書會為你裝備好正確的工具，讓這些工具幫助你采集所需數據、檢測惡意行為，並通過分析理解入侵的性質。單純的防禦措施終將失敗，而NSM卻不會。

　　本書主要內容：

　　探討部署、執行NSM數據采集策略的恰當方法。

　　提供包括Snort、Suricata、Bro-IDS、SiLK、PRADS及更多工具在內的實戰演練。

　　明確提齣適用於以結構化和體係化方法進行NSM的綜閤分析框架。

　　內含Security Onion Linux的多個應用實例。

　　配套網站包括作者關於NSM新進展的實時更新博客，全麵補充瞭書中材料。

作者簡介

　　作者簡介

　　剋裏斯 · 桑德斯（Chris Sanders），是美國InGuardians的高級安全分析師，參與過政府、軍隊以及財富500強企業的多種網絡安全防禦工作，實戰經驗豐富。在美國國防部的工作中，他有效地發揮瞭計算機網絡防禦服務提供商（CNDSP）模型的作用，協助創建瞭多個NSM模型以及智能化工具。他曾撰寫多本書籍和多篇學術文章，其中包括國際暢銷書《Practical Packet Analysis》。他擁有多項業界證書，包括 SANS、GSE以及CISSP。

　　傑森 · 史密斯（Jason Smith），是Mandiant安全工程師、安全分析師，參與過州和國傢機構的信息安全防禦基礎設施建設。他擁有多項業界證書，包括 SANS、GCIA以及GCFA。

　　譯者簡介

　　李柏鬆，著名信息安全公司安天實驗室副總工程師，現任安天安全研究與應急處理中心主任。他曾在逆嚮工程、虛擬機技術方麵進行大量探索性研究，是安天主綫産品AVL SDK反病毒引擎的核心技術實現者之一，先後主持或參與多項相關科研項目，申請瞭多項技術專利。

　　李燕宏，華為高級安全分析師，海外安全服務團隊負責人，資深SOC安全運營專傢。他曾任職於騰訊、盛大等互聯網公司，先後主持或參與過多個大型企業的SOC平颱建設與運營管理。他緻力於SOC安全運營領域的研究，主要研究興趣包括威脅情報分析、NSM技術、安全運營流程以及安全大數據分析與可視化等。

目錄

譯者序

作者簡介

序　言

前　言

第1章　網絡安全監控應用實踐 1

1.1　關鍵NSM術語 2

1.1.1　資産 2

1.1.2　威脅 2

1.1.3　漏洞 3

1.1.4　利用 3

1.1.5　風險 3

1.1.6　異常 3

1.1.7　事故 3

1.2　入侵檢測 4

1.3　網絡安全監控 4

1.4　以漏洞為中心vs以威脅為中心 7

1.5　NSM周期：收集、檢測和分析 7

1.5.1　收集 7

1.5.2　檢測 8

1.5.3　分析 8

1.6　NSM的挑戰 9

1.7　定義分析師 9

1.7.1　關鍵技能 10

1.7.2　分類分析師 11

1.7.3　成功措施 12

1.8　Security Onion 15

1.8.1　初始化安裝 15

1.8.2　更新Security Onion 16

1.8.3　執行NSM服務安裝 16

1.8.4　測試Security Onion 17

1.9　本章小結 19

第一部分　收集

第2章　數據收集計劃 22

2.1　應用收集框架 22

2.1.1　威脅定義 23

2.1.2　量化風險 24

2.1.3　識彆數據源 25

2.1.4　焦點縮小 26

2.2　案例：網上零售商 28

2.2.1　識彆組織威脅 28

2.2.2　量化風險 29

2.2.3　識彆數據源 30

2.2.4　焦點縮小 33

2.3　本章小結 35

第3章　傳感器平颱 36

3.1　NSM數據類型 37

3.1.1　全包捕獲數據 37

3.1.2　會話數據 37

3.1.3　統計數據 37

3.1.4　包字符串數據 37

3.1.5　日誌數據 38

3.1.6　告警數據 38

3.2　傳感器類型 39

3.2.1　僅收集 39

3.2.2　半周期 39

3.2.3　全周期檢測 39

3.3　傳感器硬件 40

3.3.1　CPU 41

3.3.2　內存 42

3.3.3　磁盤存儲空間 42

3.3.4　網絡接口 44

3.3.5　負載平衡：套接字緩衝區的

要求 45

3.3.6　SPAN端口 vs 網絡分流器 46

3.4　傳感器高級操作係統 50

3.5　傳感器的安置 50

3.5.1　利用適當的資源 50

3.5.2　網絡入口/齣口點 50

3.5.3　內部IP地址的可視性 51

3.5.4　靠近關鍵資産 54

3.5.5　創建傳感器可視化視圖 55

3.6　加固傳感器 57

3.6.1　操作係統和軟件更新 57

3.6.2　操作係統加固 57

3.6.3　限製上網 57

3.6.4　小化軟件安裝 58

3.6.5　VLAN分割 58

3.6.6　基於主機的IDS 58

3.6.7　雙因素身份驗證 58

3.6.8　基於網絡的IDS 59

3.7　本章小結 59

第4章　會話數據 60

4.1　流量記錄 61

4.1.1　NetFlow 63

4.1.2　IPFIX 64

4.1.3　其他流類型 64

4.2　收集會話數據 64

4.2.1　硬件生成 65

4.2.2　軟件生成 65

4.3　使用SiLK收集和分析流數據 66

4.3.1　SiLK包工具集 66

4.3.2　SiLK流類型 68

4.3.3　SiLK分析工具集 68

4.3.4　在Security Onin裏安裝SiLK 69

4.3.5　使用Rwfilter過濾流數據 69

4.3.6　在Rwtools之間使用數據管道 70

4.3.7　其他SiLK資源 73

4.4　使用Argus收集和分析流數據 73

4.4.1　解決框架 74

4.4.2　特性 74

4.4.3　基礎數據檢索 75

4.4.4　其他Argus資源 76

4.5　會話數據的存儲考慮 76

4.6　本章小結 78

第5章　全包捕獲數據 79

5.1　Dumpcap 80

5.2　Daemonlogger 81

5.3　Netsniff-NG 83

5.4　選擇閤適的FPC收集工具 84

5.5　FPC收集計劃 84

5.5.1　存儲考慮 85

5.5.2　使用Netsniff-NG和IFPPS

計算傳感器接口吞吐量 86

5.5.3　使用會話數據計算傳感器接口吞吐量 87

5.6　減少FPC數據存儲預算 88

5.6.1　過濾服務 88

5.6.2　過濾主機到主機的通信 90

5.7　管理FPC數據存儲周期 91

5.7.1　基於時間的存儲管理 92

5.7.2　基於大小的存儲管理 92

5.8　本章小結 96

第6章　包字符串數據 97

6.1　定義包字符串數據 97

6.2　PSTR數據收集 99

6.2.1　手動生成PSTR數據 100

6.2.2　URLSnarf 101

6.2.3　Httpry 102

6.2.4　Justniffer 104

6.3　查看PSTR數據 107

6.3.1　Logstash 107

6.3.2　使用BASH工具解析

原始文本 114

6.4　本章小結 116

第二部分　檢測

第7章　檢測機製、受害信標與特徵 118

7.1　檢測機製 118

7.2　受害信標和特徵 119

7.2.1　主機信標和網絡信標 120

7.2.2　靜態信標 120

7.2.3　可變信標 123

7.2.4　信標與特徵的進化 124

7.2.5　特徵調優 125

7.2.6　信標和特徵的關鍵標準 127

7.3　信標和特徵的管理 128

7.4　信標與特徵框架 133

7.4.1　OpenIOC 134

7.4.2　STIX 135

7.5　本章小結 137

第8章　基於信譽度的檢測 138

8.1　公開信譽度列錶 138

8.1.1　常用公開信譽度列錶 139

8.1.2　使用公共信譽度列錶的常見問題 143

8.2　基於信譽度的自動化檢測 145

8.2.1　使用BASH腳本實現手動檢索與檢測 145

8.2.2　集中智能框架 150

8.2.3　Snort 的IP信譽度檢測 153

8.2.4　Suricata 的IP信譽度檢測 154

8.2.5　Bro的信譽度檢測 156

8.3　本章小結 159

第9章　基於 Snort和Suricata特徵檢測 160

9.1　Snort 161

9.2　SURICATA 163

9.3　在 Security Onion 係統中改變 IDS 引擎 165

9.4　初始化Snort 和 Suricata實現入侵檢測 165

9.5　Snort 和 Suricata 的配置 168

9.5.1　變量 168

9.5.2　IP變量 168

9.5.3　定義規則集 171

9.5.4　警報輸齣 176

9.5.5　Snort 預處理器 178

9.5.6　NIDS模式命令行附加參數 179

9.6　IDS規則 181

9.6.1　規則解析 181

9.6.2　規則調優 195

9.7　查看 Snort和Suricata警報 201

9.7.1　Snorby 201

9.7.2　Sguil 202

9.8　本章小結 202

第10章　Bro平颱 203

10.1　Bro基本概念 203

10.2　Bro的執行 205

10.3　Bro 日誌 205

10.4　使用Bro定製開發檢測工具 209

10.4.1　文件分割 209

10.4.2　選擇性提取文件 211

10.4.3　從網絡流量中實時提取文件 213

10.4.4　打包Bro程序 215

10.4.5　加入配置選項 216

10.4.6　使用Bro監控敵方 218

10.4.7　暗網檢測腳本的擴展 224

10.4.8　重載默認的通知處理 224

10.4.9　屏蔽，郵件，警報——舉手之勞 227

10.4.10　為Bro日誌添加新字段 228

10.5　本章小結 231

第11章　基於統計數據異常的檢測 232

11.1　通過SiLK獲得流量排名 232

11.2　通過SiLK發現服務 236

11.3　使用統計結果實現深度檢測 240

11.4　使用Gnuplot實現統計數據的可視化 242

11.5　使用Google圖錶實現統計數據的可視化 245

11.6　使用Afterglow實現統計數據的可視化 249

11.7　本章小結 254

第12章　使用金絲雀蜜罐進行檢測 255

12.1　金絲雀蜜罐 255

12.2　蜜罐類型 256

12.3　金絲雀蜜罐架構 257

12.3.1　第一階段：確定待模擬的設備和服務 257

12.3.2　第二階段：確定金絲雀蜜罐安放位置 258

12.3.3　第三階段：建立警報和日誌記錄 259

12.4　蜜罐平颱 260

12.4.1　Honeyd 260

12.4.2　Kippo SSH 蜜罐 264

12.4.3　Tom’s Honeypot 267

12.4.4　蜜罐文檔 269

12.5　本章小結 272

第三部分　分析

第13章　數據包分析 274

13.1　走近數據包 274

13.2　數據包數學知識 276

13.2.1 　以十六進製方式理解字節 276

13.2.2　十六進製轉換為二進製和十進製 277

13.2.3　字節的計數 278

13.3　數據包分解 280

13.4　用於NSM分析的 cpdump 工具 283

13.5　用於數據包分析的Tshark工具 287

13.6　用於NSM分析的Wireshark工具 291

13.6.1　捕獲數據包 291

13.6.2　改變時間顯示格式 293

13.6.3　捕獲概要 293

13.6.4　協議分層 294

13.6.5　終端和會話 295

13.6.6　流追蹤 296

13.6.7　輸入/輸齣數據流量圖 296

13.6.8　導齣對象 297

13.6.9　添加自定義字段 298

13.6.10　配置協議解析選項 299

13.6.11　捕獲和顯示過濾器 300

13.7　數據包過濾 301

13.7.1　伯剋利數據包過濾器 301

13.7.2　Wireshark顯示過濾器 304

13.8　本章小結 307

第14章　我方情報與威脅情報 308

……

前言/序言

　　前　言我喜歡抓壞人。當我還是個小孩子的時候，就想以某些方式抓住壞人。例如，就近找一條毛巾披上作鬥篷，與小夥伴們滿屋子跑，玩警察抓小偷的遊戲。長大後，每當看到為百姓伸張正義，讓各種壞蛋得到應有的懲罰，我都特彆開心。但不管我多努力去嘗試，我的憤怒也無法讓我變成一個綠巨人，不管我被多少蜘蛛咬瞭，我也無法從我的手臂裏發射齣蜘蛛網。我也很快意識到我並不適閤做執法工作。

　　自從認識到這個現實，我意識到我沒有足夠的財富建一堆華麗的小工具，並身著蝙蝠衣在夜裏繞飛巡邏，所以我結束瞭一切幻想，將我的注意力轉嚮瞭我的電腦。事隔多年，我已走齣瞭童年夢想中想活捉壞蛋的角色，那已不是我初想象的那種感覺。

　　通過網絡安全監控（NSM）的實戰抓住壞人，這也是本書的主旨。NSM是基於防範終失效的原則，就是說無論你在保護你的網絡中投入多少時間，壞人都有可能獲勝。當這種情況發生時，你必須在組織上和技術上的位置，檢測到入侵者的存在並及時做齣響應，使事件可以得到及時通報，並以小代價減小入侵者的破壞。

　　“我要怎樣做纔能在網絡上發現壞人？”

　　走上NSM實踐的道路通常始於這個問題。NSM的問題其實是一種實踐，而這個領域的專傢則是NSM的實踐者。

　　科學傢們通常被稱作科技領域的實戰者。在近的上世紀80年代，醫學上認為牛奶是治療潰瘍的有效方法。隨著時間的推移，科學傢們發現潰瘍是由幽門螺鏇杆菌引起的，而奶製品實際上會進一步加劇潰瘍的惡化。雖然我們願意相信大多數科學是準確的，但有時不是這樣。所有科學研究是基於當時可用的佳數據，當隨著時間的推移齣現新的數據時，老問題的答案就會改變，並且重新定義瞭過去曾經被認為是事實的結論。這是醫學研究的現實，也是作為NSM從業者麵對的現實。

　　遺憾的是，當我開始涉獵NSM時，關於這個話題並沒有太多參考資料可用。坦白地說，現在也沒有。除瞭行業先驅者們偶爾寫的博客以及一些特定的書籍外，大多數試圖學習這個領域的人都被限製在他們自己設備的範圍內。我覺得這是一個閤適的時機來澄清一個重要誤解，以消除我先前說法的潛在疑惑。市麵上有各式各樣的關於TCP/IP、包分析和各種入侵檢測係統（IDS）話題的書籍。盡管這些書本中提及的概念是NSM的重要方麵，但它們並不構成NSM的全過程。這就好比說，一本關於扳手的書，會教你如何診斷汽車，但不會教 網絡安全監控：收集、檢測和分析 下載 mobi epub pdf txt 電子書

快遞快，質量好。

質量不錯,跟想象的一樣

觀點新穎，角度多維

好

國際信息安全技術專傢親力打造，是係統化建立網絡安全監控體係的重要參考

已收到瞭；看一瞭一點點

不錯不錯

不錯～～～不錯～～～

書不錯挺好的一直購買。。