基於數據分析的網路安全（第二版）

使用感測器來收集網路、服務、主機和主動領域中的數據。·使用 SiLK 工具集、Python 程式語言，以及其他一些工具與技術，來操作你所收集的數據。通過探索性的數據分析（EDA），並輔以可視化技術與數學技術來探測網路中的反常情況。分析文本數據，獲知流量所表示的行為，以及檢測通信過程中的錯誤。把網路建模成圖，以便通過分析該圖來了解網路中比較重要的結構。檢查與內部威脅有關的數據，獲取威脅情報。通過網路映射工作來編制網路資源目錄，並確定其中較為重要的主機。與運維人員協作以制定有效的防禦及分析技術。

傳統的入侵探測手段與日誌檔案分析技術，已經無法適應當今這么複雜的網路狀況了。在經過更新的這本書里，本書作者會給信息安全人員提供新的技術與工具，告訴大家怎樣收集網路流量，並對這些數據集進行分析。你會學到怎樣掌握網路的使用情況，以及如何採取必要的措施來鞏固並守護網路中的系統。

目錄

前言 1

第I 部分 數據

第1 章 整理數據：視點、領域、行動及驗證 .17

1.1 領域 19

1.2 視點 21

1.3 行動：感測器對數據所做的處理 25

1.4 有效性與行動 27

1.5 延伸閱讀 .34

第2 章 視點：了解感測器在網路中的擺放情況 .36

2.1 網路分層的基礎知識 36

2.2 在網路中的各個層面上進行定址 45

2.3 延伸閱讀 .57

第3 章 網路領域內的感測器 .58

3.1 數據包與幀的格式 .59

3.2 NetFlow 67

3.3 通過IDS 收集數據 70

3.4 提高IDS 的工作成效78

3.5 中間盒日誌及其影響 91

3.6 延伸閱讀 .94

第4 章 服務領域中的數據 .96

4.1 什麼叫做服務領域中的數據？為什麼要收集這些數據？ .96

4.2 日誌檔案——為基礎的服務數據 98

4.3 獲取並操縱日誌檔案 98

4.4 日誌檔案的內容 101

4.5 延伸閱讀 112

第5 章 服務領域內的感測器 113

5.1　典型的日誌檔案格式 . 114

5.2　簡單郵件傳輸協定（SMTP） 119

5.3　其他一些較為有用的日誌檔案 .125

5.4　傳輸日誌檔案的三種方式：檔案傳輸、Syslog 和訊息佇列 .127

5.5　延伸閱讀 130

第6 章 主機領域中的數據與感測器 .131

6.1　從網路的角度觀察主機 .132

6.2　與網路接口（網卡）有關的信息 .134

6.3　可以用來追蹤身份的主機信息 .138

6.4　進程 140

6.5　檔案系統 145

6.6　歷史數據：用戶執行過的命令以及與登錄有關的信息 148

6.7　其他數據與感測器：HIPS 及AV .149

6.8　延伸閱讀 150

第7 章 主動領域內的數據及感測器 .151

7.1　發現、評估及維護 152

7.2　發現：ping、traceroute、netcat 等工具的用法，以及nmap 工具的

其中一部分用法 153

7.3　評估：nmap、一些客戶端和許多資源庫 161

7.4　用主動收集到的數據來進行驗證 .168

7.5　延伸閱讀 169

第Ⅱ部分 工具

第8 章 把數據集中到一起 173

8.1　巨觀結構 176

8.2　日誌數據與CRUD 範式 184

8.3　NoSQL 系統簡介 .187

8.4　延伸閱讀 190

第9 章 SiLK 工具包 191

9.1　什麼是SiLK ？它的工作原理是怎樣的？ 191

9.2　取得並安裝SiLK .192

9.3　用rwcut 命令操縱欄位，並按照一定的格式將其輸出 .194

9.4　用rwfilter 命令對欄位進行基本的操縱 200

9.5　用rwfileinfo 命令查詢數據檔案的出處 210

9.6　用rwcount 命令把信息流合起來統計 213

9.7　rwset 與IP set 215

9.8　rwuniq 命令 .220

9.9　rwbag 命令 222

9.10　SiLK 工具包的高級功能 223

9.11　收集SiLK 數據 226

9.12　延伸閱讀 233

第10 章 參照與查詢——用相關工具確定用戶身份235

10.1　MAC 與硬體地址 236

10.2　IP 地址 239

10.3　DNS .246

10.4　搜尋引擎 266

10.5　延伸閱讀 268

第Ⅲ部分 分析

第11 章 探索性數據分析及其視覺呈現275

11.1　EDA 的目標：套用分析 .277

11.2　EDA 的工作流程 280

11.3　變數與可視化 282

11.4　適用單個變數的可視化技術 284

11.5　對雙變數的數據集進行呈現 291

11.6　對多變數的數據集進行呈現 293

11.7　擬合與估算 307

11.8　延伸閱讀 315

第12 章 文本分析 316

12.1　文本的編碼 316

12.2　基本技能 325

12.3　文本分析技術 332

12.4　延伸閱讀 339

第13 章 Fumbling .340

13.1　由於錯誤的配置、自動化的軟體或掃描行為而引起的fumble 現象 341

13.2　如何識別fumbling 攻擊 .344

13.3　服務層面的fumbling 357

13.4　探測並分析Fumbling 現象 361

第14 章 流量與時間 .367

14.1　辦公時間方面的規律及其對網路流量的影響 .368

14.2　beaconing 371

14.3　檔案傳輸/raiding 374

14.4　集中度 .377

14.5　對流量與集中度進行分析 .389

14.6　延伸閱讀 395

第15 章 圖 396

15.1　圖的定義與特徵 .396

15.2　標記、權重與路徑 401

15.3　節點與連線性 407

15.4　聚集係數 408

15.5　對圖進行分析 410

15.6　延伸閱讀 415

第16 章 來自內部的威脅 .416

16.1　把內部威脅與其他幾種攻擊區別開 .418

16.2　避免互相傷害 421

16.3　攻擊方式 422

16.4　收集並分析與內部威脅有關的數據 .424

16.5　延伸閱讀 428

第17 章 威脅情報 429

17.1　什麼是威脅情報？ 429

17.2　創建威脅情報計畫 434

17.3　對威脅情報的創建工作進行小結 439

17.4　延伸閱讀 440

第18 章 應用程式判定 .441

18.1　可用來認定應用程式的各種手段 442

18.2　認定應用程式的banner 並對其分類 456

18.3　延伸閱讀 459

第19 章 網路映射 460

19.1　創建初始的網路資源目錄與網路映射圖 460

19.2　更新網路資源目錄，以便持續地進行審計 481

19.3　延伸閱讀 482

第20 章 與運維團隊合作 .483

20.1　運維工作概述 483

20.2　運維工作中的各種流程 485

20.3　延伸閱讀 496

第21 章 結論 498

Michael Collins是RedJack,LLC的首席科學家，RedJack是位於美國華盛頓哥倫比亞特區的網路安全與數據分析公司。Collins主要關注網路測量與流量分析，尤其是對較大的流量數據集所做的分析。