數據驅動的網路分析

數據驅動的網路分析

《數據驅動的網路分析》分為3個部分,講解了收集和組織數據的過程、各種分析工具和多種不同的分析場景和技術。對於熟悉腳本的網路管理員和運營安全分析人員來說,本書是他們的理想讀物。

基本介紹

  • 書名:數據驅動的網路分析
  • ISBN:9787115376718, 7115376719
  • 頁數:264
  • 出版社:人民郵電出版社
  • 出版時間:2015年3月1日
  • 開本:16
簡介,目錄,

簡介

傳統的入侵檢測和日誌檔案分析已經不再足以保護當今的複雜網路,本書講解了多種網路流量數據集的採集和分析技術及工具,藉助這些工具,可以迅速定位網路中的問題,並採取相應的行動,保障網路的運行安全。
《數據驅動的網路分析》分為3部分,共15章,內容包括數據採集的常規過程,用於採集網路流量的感測器,基於特定系統的感測器,數據存儲和分析,使用網際網路層次知識系統(SiLK)分析NetFlow數據,用於安全分析的R語言簡介、入侵檢測系統的工作機制以及實施,確定實施攻擊的幕後真兇,探索性數據分析以及數據可視化,檢查通信流量和行為,獲取網路映射和庫存檔點的詳細過程等。
《數據驅動的網路分析》適合網路安全工程師和網路管理人員閱讀。

目錄

第1部分 數 據
第1章 感測器和探測器簡介 3
1.1 觀察點:感測器的位置對數據採集的影響 4
1.2 領域:確定可以採集的數據 7
1.3 操作:感測器對數據所做的處理 10
1.4 小結 12
第2章 網路感測器 13
2.1 網路分層及其對測量的影響 14
2.1.1 網路層次和觀察點 16
2.1.2 網路層次和編址 19
2.2 封包數據 20
2.2.1 封包和幀格式 21
2.2.2 滾動快取 21
2.2.3 限制每個封包中捕捉的數據 21
2.2.4 過濾特定類型封包 21
2.2.5 如果不是乙太網怎么辦 25
2.3 NetFlow 26
2.3.1 NetFlow v5格式和欄位 26
2.3.2 NetFlow生成和採集 28
第3章 主機和服務感測器:在源上的流量日誌 29
3.1 訪問和操縱日誌檔案 30
3.2 日誌檔案的內容 32
3.2.1 優秀日誌訊息的特性 32
3.2.2 現有日誌檔案以及處理方法 34
3.3 有代表性的日誌檔案格式 36
3.3.1 HTTP:CLF和ELF 36
3.3.2 SMTP 39
3.3.3 Microsoft Exchange:郵件跟蹤日誌 41
3.4 日誌檔案傳輸:轉移、Syslog和訊息佇列 43
3.4.1 轉移和日誌檔案留存 43
3.4.2 syslog 43
第4章 用於分析的數據存儲:關係資料庫、大數據和其他選項 46
4.1 日誌數據和CRUD範式 47
4.2 NoSQL系統簡介 49
4.3 使用何種存儲方法 52
第2部分 工 具
第5章 SiLK套件 56
5.1 SiLK的概念和工作原理 56
5.2 獲取和安裝SiLK 57
5.3 選擇和格式化輸出欄位操作:rwcut 58
5.4 基本欄位操縱:rwfilter 63
5.4.1 連線埠和協定 63
5.4.2 大小 65
5.4.3 IP位址 65
5.4.4 時間 66
5.4.5 TCP選項 67
5.4.6 助手選項 68
5.4.7 雜項過濾選項和一些技巧 69
5.5 rwfileinfo及出處 69
5.6 合併信息流:rwcount 72
5.7 rwset和IP集 74
5.8 rwuniq 77
5.9 rwbag 79
5.10 SiLK高級機制 79
5.11 採集SiLK數據 81
5.11.1 YAF 81
5.11.2 rwptoflow 83
5.11.3 rwtuc 84
第6章 R安全分析簡介 86
6.1 安裝與設定 86
6.2 R語言基礎知識 87
6.2.1 R提示符 87
6.2.2 R變數 88
6.2.3 編寫函式 93
6.2.4 條件與循環 95
6.3 使用R工作區 97
6.4 數據幀 98
6.5 可視化 101
6.5.1 可視化命令 101
6.5.2 可視化參數 101
6.5.3 可視化註解 103
6.5.4 導出可視化 104
6.6 分析:統計假設檢驗 104
6.6.1 假設檢驗 105
6.6.2 檢驗數據 107
第7章 分類和事件工具:IDS、AV和SEM 110
7.1 IDS的工作原理 110
7.1.1 基本辭彙 111
7.1.2 分類器失效率:理解“基率謬誤” 114
7.1.3 套用分類 116
7.2 提高IDS性能 117
7.2.1 改進IDS檢測 118
7.2.2 改進IDS回響 122
7.2.3 預取數據 122
第8章 參考和查找:了解“某人是誰”的工具 124
8.1 MAC和硬體地址 124
8.2 IP編址 126
8.2.1 IPv4地址、結構和重要地址 126
8.2.2 IPv6地址、結構和重要地址 128
8.2.3 檢查連線性:使用ping連線到某個地址 129
8.2.4 路由跟蹤 131
8.2.5 IP信息:地理位置和人口統計學特徵 132
8.3 DNS 133
8.3.1 DNS名稱結構 133
8.3.2 用dig轉發DNS查詢 134
8.3.3 DNS反向查找 142
8.3.4 使用whois查找所有者 143
8.4 其他參考工具 146
第9章 其他工具 148
9.1 可視化 148
9.2 通信和探查 151
9.2.1 netcat 151
9.2.2 nmap 153
9.2.3 Scapy 154
9.3 封包檢查和參考 157
9.3.1 Wireshark 157
9.3.2 GeoIP 157
9.3.3 NVD、惡意軟體網站和C*E 158
9.3.4 搜尋引擎、郵件列表和人 160
第3部分 分 析
第10章 探索性數據分析和可視化 162
10.1 EDA的目標:套用分析 163
10.2 EDA工作流程 165
10.3 變數和可視化 166
10.4 單變數可視化:直方圖、QQ圖、箱線圖和等級圖 167
10.3.1 直方圖 167
10.3.2 柱狀圖(不是餅圖) 169
10.3.3 分位數-分位數(Quantile-Quantile ,QQ)圖 170
10.3.4 五數概括法和箱線圖 172
10.3.5 生成箱線圖 173
10.5 雙變數描述 175
10.5.1 散點圖 175
10.5.2 列聯表 177
10.6 多變數可視化 177
第11章 摸索 185
11.1 攻擊模式 185
11.2 摸索:錯誤的配置、自動化和掃描 187
11.2.1 查找失敗 187
11.2.2 自動化 188
11.2.3 掃描 188
11.3 識別摸索行為 189
11.3.1 TCP摸索:狀態機 189
11.3.2 ICMP訊息和摸索 192
11.3.3 識別UDP摸索 193
11.4 服務級摸索 193
11.4.1 HTTP摸索 193
11.4.2 SMTP摸索 195
11.5 摸索分析 195
11.5.1 構建摸索警報 196
11.5.2 摸索行為的取證分析 196
11.5.3 設計一個網路來利用摸索 197
第12章 通信量和時間分析 199
12.1 工作日對網路通信量的影響 199
12.2 信標 201
12.3 檔案傳輸/攫取 204
12.4 局部性 206
12.4.1 DDoS、突發擁塞和資源耗盡 209
12.4.2 DDoS和路由基礎架構 210
12.5 套用通信量和局部性分析 214
12.5.1 數據選擇 214
12.5.2 將通信量作為警報 216
12.5.3 將信標作為警報 216
12.5.4 將局部性作為警報 217
12.5.5 工程解決方案 217
第13章 圖解分析 219
13.1 圖的屬性:什麼是圖 219
13.2 標籤、權重和路徑 222
13.3 分量和連通性 227
13.4 聚類係數 228
13.5 圖的分析 229
13.5.1 將分量分析作為警報 229
13.5.2 將集中度分析用於取證 230
13.5.3 廣度優先搜尋的取證使用 231
13.5.4 將集中度分析用於工程 232
第14章 應用程式識別 234
14.1 應用程式識別機制 234
14.1.1 連線埠號 234
14.1.2 通過標誌抓取識別應用程式 238
14.1.3 通過行為識別應用程式 241
14.1.4 通過附屬網站識別應用程式 244
14.2 應用程式標誌:識別和分類 245
14.2.1 非Web標誌 245
14.2.2 Web客戶端標誌:User-Agent字元串 246
第15章 網路映射 249
15.1 創建一個初始網路庫存清單和映射 249
15.1.1 創建庫存清單:數據、覆蓋範圍和檔案 250
15.1.2 第1階段:前3個問題 251
15.1.3 第2階段:檢查IP空間 254
15.1.4 第3階段:識別盲目和難以理解的流量 258
15.1.5 第4階段:識別客戶端和伺服器 261
15.2 更新庫存清單:走向連續審計 263

相關詞條

熱門詞條

聯絡我們