數據驅動的網路分析

傳統的入侵檢測和日誌檔案分析已經不再足以保護當今的複雜網路，本書講解了多種網路流量數據集的採集和分析技術及工具，藉助這些工具，可以迅速定位網路中的問題，並採取相應的行動，保障網路的運行安全。

《數據驅動的網路分析》分為3部分，共15章，內容包括數據採集的常規過程，用於採集網路流量的感測器，基於特定系統的感測器，數據存儲和分析，使用網際網路層次知識系統（SiLK）分析NetFlow數據，用於安全分析的R語言簡介、入侵檢測系統的工作機制以及實施，確定實施攻擊的幕後真兇，探索性數據分析以及數據可視化，檢查通信流量和行為，獲取網路映射和庫存檔點的詳細過程等。

《數據驅動的網路分析》適合網路安全工程師和網路管理人員閱讀。

第1部分 數 據

第1章 感測器和探測器簡介 3

1.1 觀察點：感測器的位置對數據採集的影響 4

1.2 領域：確定可以採集的數據 7

1.3 操作：感測器對數據所做的處理 10

1.4 小結 12

第2章 網路感測器 13

2.1 網路分層及其對測量的影響 14

2.1.1 網路層次和觀察點 16

2.1.2 網路層次和編址 19

2.2 封包數據 20

2.2.1 封包和幀格式 21

2.2.2 滾動快取 21

2.2.3 限制每個封包中捕捉的數據 21

2.2.4 過濾特定類型封包 21

2.2.5 如果不是乙太網怎么辦 25

2.3 NetFlow 26

2.3.1 NetFlow v5格式和欄位 26

2.3.2 NetFlow生成和採集 28

第3章 主機和服務感測器：在源上的流量日誌 29

3.1 訪問和操縱日誌檔案 30

3.2 日誌檔案的內容 32

3.2.1 優秀日誌訊息的特性 32

3.2.2 現有日誌檔案以及處理方法 34

3.3 有代表性的日誌檔案格式 36

3.3.1 HTTP：CLF和ELF 36

3.3.2 SMTP 39

3.3.3 Microsoft Exchange：郵件跟蹤日誌 41

3.4 日誌檔案傳輸：轉移、Syslog和訊息佇列 43

3.4.1 轉移和日誌檔案留存 43

3.4.2 syslog 43

第4章 用於分析的數據存儲：關係資料庫、大數據和其他選項 46

4.1 日誌數據和CRUD範式 47

4.2 NoSQL系統簡介 49

4.3 使用何種存儲方法 52

第2部分 工 具

第5章 SiLK套件 56

5.1 SiLK的概念和工作原理 56

5.2 獲取和安裝SiLK 57

5.3 選擇和格式化輸出欄位操作：rwcut 58

5.4 基本欄位操縱：rwfilter 63

5.4.1 連線埠和協定 63

5.4.2 大小 65

5.4.3 IP位址 65

5.4.4 時間 66

5.4.5 TCP選項 67

5.4.6 助手選項 68

5.4.7 雜項過濾選項和一些技巧 69

5.5 rwfileinfo及出處 69

5.6 合併信息流：rwcount 72

5.7 rwset和IP集 74

5.8 rwuniq 77

5.9 rwbag 79

5.10 SiLK高級機制 79

5.11 採集SiLK數據 81

5.11.1 YAF 81

5.11.2 rwptoflow 83

5.11.3 rwtuc 84

第6章 R安全分析簡介 86

6.1　安裝與設定 86

6.2　R語言基礎知識 87

6.2.1　R提示符 87

6.2.2　R變數 88

6.2.3　編寫函式 93

6.2.4　條件與循環 95

6.3　使用R工作區 97

6.4　數據幀 98

6.5　可視化 101

6.5.1　可視化命令 101

6.5.2　可視化參數 101

6.5.3　可視化註解 103

6.5.4　導出可視化 104

6.6　分析：統計假設檢驗 104

6.6.1　假設檢驗 105

6.6.2　檢驗數據 107

第7章 分類和事件工具：IDS、AV和SEM 110

7.1　IDS的工作原理 110

7.1.1　基本辭彙 111

7.1.2　分類器失效率：理解“基率謬誤” 114

7.1.3　套用分類 116

7.2　提高IDS性能 117

7.2.1　改進IDS檢測 118

7.2.2　改進IDS回響 122

7.2.3　預取數據 122

第8章 參考和查找：了解“某人是誰”的工具 124

8.1 MAC和硬體地址 124

8.2 IP編址 126

8.2.1 IPv4地址、結構和重要地址 126

8.2.2 IPv6地址、結構和重要地址 128

8.2.3 檢查連線性：使用ping連線到某個地址 129

8.2.4 路由跟蹤 131

8.2.5 IP信息：地理位置和人口統計學特徵 132

8.3 DNS 133

8.3.1 DNS名稱結構 133

8.3.2 用dig轉發DNS查詢 134

8.3.3 DNS反向查找 142

8.3.4 使用whois查找所有者 143

8.4 其他參考工具 146

第9章 其他工具 148

9.1　可視化 148

9.2　通信和探查 151

9.2.1　netcat 151

9.2.2　nmap 153

9.2.3　Scapy 154

9.3　封包檢查和參考 157

9.3.1　Wireshark 157

9.3.2　GeoIP 157

9.3.3　NVD、惡意軟體網站和C*E 158

9.3.4　搜尋引擎、郵件列表和人 160

第3部分 分 析

第10章 探索性數據分析和可視化 162

10.1 EDA的目標：套用分析 163

10.2 EDA工作流程 165

10.3 變數和可視化 166

10.4 單變數可視化：直方圖、QQ圖、箱線圖和等級圖 167

10.3.1 直方圖 167

10.3.2 柱狀圖（不是餅圖） 169

10.3.3 分位數-分位數（Quantile-Quantile ，QQ）圖 170

10.3.4 五數概括法和箱線圖 172

10.3.5 生成箱線圖 173

10.5 雙變數描述 175

10.5.1 散點圖 175

10.5.2 列聯表 177

10.6 多變數可視化 177

第11章 摸索 185

11.1 攻擊模式 185

11.2 摸索：錯誤的配置、自動化和掃描 187

11.2.1 查找失敗 187

11.2.2 自動化 188

11.2.3 掃描 188

11.3 識別摸索行為 189

11.3.1 TCP摸索：狀態機 189

11.3.2 ICMP訊息和摸索 192

11.3.3 識別UDP摸索 193

11.4 服務級摸索 193

11.4.1 HTTP摸索 193

11.4.2 SMTP摸索 195

11.5 摸索分析 195

11.5.1 構建摸索警報 196

11.5.2 摸索行為的取證分析 196

11.5.3 設計一個網路來利用摸索 197

第12章 通信量和時間分析 199

12.1 工作日對網路通信量的影響 199

12.2 信標 201

12.3 檔案傳輸/攫取 204

12.4 局部性 206

12.4.1 DDoS、突發擁塞和資源耗盡 209

12.4.2 DDoS和路由基礎架構 210

12.5 套用通信量和局部性分析 214

12.5.1 數據選擇 214

12.5.2 將通信量作為警報 216

12.5.3 將信標作為警報 216

12.5.4 將局部性作為警報 217

12.5.5 工程解決方案 217

第13章 圖解分析 219

13.1 圖的屬性：什麼是圖 219

13.2 標籤、權重和路徑 222

13.3 分量和連通性 227

13.4 聚類係數 228

13.5 圖的分析 229

13.5.1 將分量分析作為警報 229

13.5.2 將集中度分析用於取證 230

13.5.3 廣度優先搜尋的取證使用 231

13.5.4 將集中度分析用於工程 232

第14章 應用程式識別 234

14.1 應用程式識別機制 234

14.1.1 連線埠號 234

14.1.2 通過標誌抓取識別應用程式 238

14.1.3 通過行為識別應用程式 241

14.1.4 通過附屬網站識別應用程式 244

14.2 應用程式標誌：識別和分類 245

14.2.1 非Web標誌 245

14.2.2 Web客戶端標誌：User-Agent字元串 246

第15章 網路映射 249

15.1 創建一個初始網路庫存清單和映射 249

15.1.1 創建庫存清單：數據、覆蓋範圍和檔案 250

15.1.2 第1階段：前3個問題 251

15.1.3 第2階段：檢查IP空間 254

15.1.4 第3階段：識別盲目和難以理解的流量 258

15.1.5 第4階段：識別客戶端和伺服器 261

15.2 更新庫存清單：走向連續審計 263