網(wǎng)絡(luò)安全監(jiān)控：收集、檢測(cè)和分析

定　價(jià)：￥79.00

作　者：	（美）克里斯·桑德斯
出版社：	機(jī)械工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	計(jì)算機(jī)/網(wǎng)絡(luò) 網(wǎng)絡(luò)配置與管理網(wǎng)絡(luò)與數(shù)據(jù)通信

購買這本書可以去

ISBN：	9787111520092	出版時(shí)間：	2015-12-01	包裝：	平裝
開本：	16開	頁數(shù)：	366	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書由多位國(guó)際信息安全技術(shù)專家親力打造，是系統(tǒng)化建立網(wǎng)絡(luò)安全監(jiān)控體系的重要參考，是由菜鳥到NSM分析員的必備參考書。不僅提供了入門基礎(chǔ)，并通過多個(gè)完整的真實(shí)案例闡述了網(wǎng)絡(luò)安全監(jiān)控的關(guān)鍵理念與最佳實(shí)踐。本書第1章概述了網(wǎng)絡(luò)安全監(jiān)控以及現(xiàn)代網(wǎng)絡(luò)安全環(huán)境，討論了整本書將會(huì)用到的基本概念。然后分為收集、檢測(cè)和分析三大部分來闡述網(wǎng)絡(luò)安全監(jiān)控的最佳實(shí)踐。第一部分“收集”包括第2～6章，介紹收集什么數(shù)據(jù)以及如何收集數(shù)據(jù)，傳感器的類型、作用、部署、工具集，全包捕獲數(shù)據(jù)的重要性、工具，數(shù)據(jù)存儲(chǔ)和保存計(jì)劃，包串?dāng)?shù)據(jù)的生成、解析和查看等。第二部分“檢測(cè)”包括第7～12章，介紹檢測(cè)機(jī)制、受害信標(biāo)與特征，基于信譽(yù)度的檢測(cè)方法以及一些分析設(shè)備信譽(yù)度的資源，使用Snort和Suricata進(jìn)行基于特征的檢測(cè)，Bro平臺(tái)，基于異常的檢測(cè)與統(tǒng)計(jì)數(shù)據(jù)，使用金絲雀蜜罐進(jìn)行檢測(cè)的方法等。第三部分“分析”包括第13～15章，介紹作為NSM分析師最重要的技能，我方情報(bào)與威脅情報(bào)的建立與分析，整體數(shù)據(jù)分析的過程以及最佳分析實(shí)例。

作者簡(jiǎn)介

　　作者簡(jiǎn)介 About the AuthorChris Sanders，第一作者Chris Sanders 最初是肯塔基州Mayfield的一名信息安全顧問、作家和研究員。那個(gè)無名小鎮(zhèn)距離一個(gè)叫Possum Trot的小鎮(zhèn)西南方向30英里，距離一條叫Monkey’s Eyebrow的公路東南方向40英里，剛好位于道路的拐彎處。Chris 是InGuardians的高級(jí)安全分析師。他有支持多個(gè)政府、軍事機(jī)構(gòu)以及財(cái)富500強(qiáng)企業(yè)的豐富經(jīng)驗(yàn)。在美國(guó)國(guó)防部的眾多角色中，他有效地促進(jìn)了計(jì)算機(jī)網(wǎng)絡(luò)防御服務(wù)提供商（CNDSP）模型的角色作用，協(xié)助創(chuàng)建了多種NSM模型以及多款目前在用智能化工具，以保衛(wèi)國(guó)家的利益不受侵害。Chris 曾撰寫了多本書籍和學(xué)術(shù)文章，其中包括國(guó)際暢銷書《Practical Packet Analysis》，目前已發(fā)布了第2版。Chris 目前擁有多項(xiàng)業(yè)界認(rèn)證，包括 SANS、GSE以及CISSP。2008年，Chris 創(chuàng)立農(nóng)村科技基金（RTF）。RTF是一個(gè)501（c）（3）非營(yíng)利組織，為來自農(nóng)村地區(qū)攻讀計(jì)算機(jī)技術(shù)學(xué)位的學(xué)生提供獎(jiǎng)學(xué)金機(jī)會(huì)。該組織還通過各種支持計(jì)劃促進(jìn)了技術(shù)在農(nóng)村地區(qū)的宣傳。RTF目前已為農(nóng)村學(xué)生提供成千上萬美元的獎(jiǎng)學(xué)金和幫助支持。當(dāng)Chris不埋頭于數(shù)據(jù)包分析的時(shí)候，他喜歡觀看肯塔基大學(xué)野貓籃球隊(duì)的比賽，擅長(zhǎng)BBQ（美國(guó)真人秀節(jié)目），業(yè)余無人機(jī)制作愛好者，在海灘上消磨時(shí)光。Chris目前與他的妻子Ellen居住在南卡羅來納州的Charleston。Chris的博客地址為http：//www.appliednsm.com 和 http：//www.chrissanders.org。他的推特賬號(hào)為 @chrissanders88。Jason Smith，合著者Jason Smith 白天是一名入侵檢測(cè)分析師，晚上則是一名垃圾場(chǎng)工程師。起初來自于肯塔基州的Bowling Green，作為一名有潛質(zhì)的物理學(xué)家，Jason以大數(shù)據(jù)挖掘和有限元分析為切入點(diǎn)開始他的職業(yè)生涯。偶然的運(yùn)氣，對(duì)數(shù)據(jù)挖掘的熱愛將他引向了信息安全和網(wǎng)絡(luò)安全監(jiān)控，一個(gè)讓他癡迷于數(shù)據(jù)處理和自動(dòng)化的領(lǐng)域。Jason有很長(zhǎng)一段時(shí)間都在幫助州和聯(lián)邦機(jī)構(gòu)強(qiáng)化他們的防御功能，現(xiàn)在在Mandiant擔(dān)任安全工程師。在部分開發(fā)工作中，他創(chuàng)建了諸多開源項(xiàng)目，很多已成為DISACNDSP計(jì)劃的最佳實(shí)踐工具。Jason經(jīng)常在車庫里度過周末，從街機(jī)柜到開輪式賽車，他都可以建造。其他愛好諸如家居自動(dòng)化、槍械、大富翁游戲、吉他以及美食。Jason對(duì)美國(guó)鄉(xiāng)村有著深沉的愛，熱衷于駕駛，同時(shí)對(duì)學(xué)習(xí)有著孜孜不倦的欲望。Jason現(xiàn)在生活在肯塔基州的Framkfort。Jason的博客地址為 http：//www.appliednsm.com。他的推特賬號(hào)為 @automayt。David J. Bianco，貢獻(xiàn)者David在Mandiant擔(dān)任一名狩獵團(tuán)隊(duì)領(lǐng)導(dǎo)之前，花了5年的時(shí)間為一個(gè)財(cái)富500強(qiáng)企業(yè)建設(shè)了一套智能驅(qū)動(dòng)的檢測(cè)響應(yīng)系統(tǒng)。在那里，他為一個(gè)部署了近600個(gè)NSM傳感器覆蓋超過160個(gè)國(guó)家的網(wǎng)絡(luò)設(shè)置了檢測(cè)策略，主導(dǎo)響應(yīng)了一些國(guó)家遭受到的最嚴(yán)重的針對(duì)式攻擊事件。他在安全社區(qū)、博客、演講和寫作上持續(xù)活躍著。他經(jīng)常在家看《DoctorWho》節(jié)目，或演奏他的四套風(fēng)笛，或與孩子們一起玩耍。他還喜歡在除了海灘之外的任何地方長(zhǎng)走。David的博客地址為 http：//detect-respond.blogspot.com。他的推特賬號(hào)為 @DavidJBianco。Liam Randall，貢獻(xiàn)者Liam Randall 是舊金山Broala LLC（Bro核心團(tuán)隊(duì)專家組）的首席合伙人。最初，他來自于肯塔基州的Louisville，在Xavier大學(xué)以系統(tǒng)管理員角色為學(xué)校工作，同時(shí)也獲得了學(xué)校的計(jì)算機(jī)科學(xué)學(xué)士學(xué)位。在那里，他第一次開始了設(shè)備驅(qū)動(dòng)安全編程和基于XFS的自動(dòng)柜員機(jī)軟件研發(fā)。目前他正為財(cái)富500強(qiáng)企業(yè)、研究機(jī)構(gòu)和教育網(wǎng)絡(luò)、軍隊(duì)服務(wù)分支、其他安全焦點(diǎn)小組提供高容量安全解決方案咨詢。他曾在Shmoocon、Derbycon和MIRcon等會(huì)議做過演講，并經(jīng)常在安全事件上做Bro訓(xùn)練班的培訓(xùn)。作為一名丈夫和父親，Liam在周末時(shí)做發(fā)酵酒，在他的花園里工作，修理小工具，或制作奶酪。作為一名戶外運(yùn)動(dòng)愛好者，他和他的妻子喜歡鐵人三項(xiàng)，長(zhǎng)距離游泳，享受他們的社區(qū)活動(dòng)。Liam的博客地址為 http：//liamrandall.com/。他的推特賬號(hào)為 @Hectaman。

圖書目錄

Contents 目　錄
譯者序
作者簡(jiǎn)介
序　言
前　言
第1章　網(wǎng)絡(luò)安全監(jiān)控應(yīng)用實(shí)踐 1
1.1　關(guān)鍵NSM術(shù)語 2
1.1.1　資產(chǎn) 2
1.1.2　威脅 2
1.1.3　漏洞 3
1.1.4　利用 3
1.1.5　風(fēng)險(xiǎn) 3
1.1.6　異常   3
1.1.7　事故 3
1.2　入侵檢測(cè) 4
1.3　網(wǎng)絡(luò)安全監(jiān)控 4
1.4　以漏洞為中心vs以威脅為中心 7
1.5　NSM周期：收集、檢測(cè)和分析 7
1.5.1　收集 7
1.5.2　檢測(cè) 8
1.5.3　分析 8
1.6　NSM的挑戰(zhàn) 9
1.7　定義分析師 9
1.7.1　關(guān)鍵技能 10
1.7.2　分類分析師 11
1.7.3　成功措施 12
1.8　Security Onion 15
1.8.1　初始化安裝 15
1.8.2　更新Security Onion 16
1.8.3　執(zhí)行NSM服務(wù)安裝 16
1.8.4　測(cè)試Security Onion 17
1.9　本章小結(jié) 19
第一部分　收集
第2章　數(shù)據(jù)收集計(jì)劃 22
2.1　應(yīng)用收集框架 22
2.1.1　威脅定義 23
2.1.2　量化風(fēng)險(xiǎn) 24
2.1.3　識(shí)別數(shù)據(jù)源 25
2.1.4　焦點(diǎn)縮小 26
2.2　案例：網(wǎng)上零售商 28
2.2.1　識(shí)別組織威脅 28
2.2.2　量化風(fēng)險(xiǎn) 29
2.2.3　識(shí)別數(shù)據(jù)源 30
2.2.4　焦點(diǎn)縮小 33
2.3　本章小結(jié) 35
第3章　傳感器平臺(tái) 36
3.1　NSM數(shù)據(jù)類型 37
3.1.1　全包捕獲數(shù)據(jù) 37
3.1.2　會(huì)話數(shù)據(jù) 37
3.1.3　統(tǒng)計(jì)數(shù)據(jù) 37
3.1.4　包字符串?dāng)?shù)據(jù) 37
3.1.5　日志數(shù)據(jù) 38
3.1.6　告警數(shù)據(jù) 38
3.2　傳感器類型 39
3.2.1　僅收集 39
3.2.2　半周期 39
3.2.3　全周期檢測(cè) 39
3.3　傳感器硬件 40
3.3.1　CPU 41
3.3.2　內(nèi)存 42
3.3.3　磁盤存儲(chǔ)空間 42
3.3.4　網(wǎng)絡(luò)接口 44
3.3.5　負(fù)載平衡：套接字緩沖區(qū)的
要求 45
3.3.6　SPAN端口 vs 網(wǎng)絡(luò)分流器 46
3.4　傳感器高級(jí)操作系統(tǒng) 50
3.5　傳感器的安置 50
3.5.1　利用適當(dāng)?shù)馁Y源 50
3.5.2　網(wǎng)絡(luò)入口/出口點(diǎn) 50
3.5.3　內(nèi)部IP地址的可視性 51
3.5.4　靠近關(guān)鍵資產(chǎn) 54
3.5.5　創(chuàng)建傳感器可視化視圖 55
3.6　加固傳感器 57
3.6.1　操作系統(tǒng)和軟件更新 57
3.6.2　操作系統(tǒng)加固 57
3.6.3　限制上網(wǎng) 57
3.6.4　最小化軟件安裝   58
3.6.5　VLAN分割   58
3.6.6　基于主機(jī)的IDS 58
3.6.7　雙因素身份驗(yàn)證 58
3.6.8　基于網(wǎng)絡(luò)的IDS 59
3.7　本章小結(jié) 59
第4章　會(huì)話數(shù)據(jù) 60
4.1　流量記錄 61
4.1.1　NetFlow 63
4.1.2　IPFIX 64
4.1.3　其他流類型 64
4.2　收集會(huì)話數(shù)據(jù) 64
4.2.1　硬件生成 65
4.2.2　軟件生成 65
4.3　使用SiLK收集和分析流數(shù)據(jù) 66
4.3.1　SiLK包工具集 66
4.3.2　SiLK流類型 68
4.3.3　SiLK分析工具集 68
4.3.4　在Security Onin里安裝SiLK 69
4.3.5　使用Rwfilter過濾流數(shù)據(jù) 69
4.3.6　在Rwtools之間使用數(shù)據(jù)管道 70
4.3.7　其他SiLK資源 73
4.4　使用Argus收集和分析流數(shù)據(jù) 73
4.4.1　解決框架 74
4.4.2　特性 74
4.4.3　基礎(chǔ)數(shù)據(jù)檢索 75
4.4.4　其他Argus資源 76
4.5　會(huì)話數(shù)據(jù)的存儲(chǔ)考慮 76
4.6　本章小結(jié) 78
第5章　全包捕獲數(shù)據(jù) 79
5.1　Dumpcap 80
5.2　Daemonlogger 81
5.3　Netsniff-NG 83
5.4　選擇合適的FPC收集工具 84
5.5　FPC收集計(jì)劃 84
5.5.1　存儲(chǔ)考慮 85
5.5.2　使用Netsniff-NG和IFPPS
計(jì)算傳感器接口吞吐量 86
5.5.3　使用會(huì)話數(shù)據(jù)計(jì)算傳感器接口吞吐量 87
5.6　減少FPC數(shù)據(jù)存儲(chǔ)預(yù)算 88
5.6.1　過濾服務(wù) 88
5.6.2　過濾主機(jī)到主機(jī)的通信 90
5.7　管理FPC數(shù)據(jù)存儲(chǔ)周期 91
5.7.1　基于時(shí)間的存儲(chǔ)管理 92
5.7.2　基于大小的存儲(chǔ)管理 92
5.8　本章小結(jié) 96
第6章　包字符串?dāng)?shù)據(jù) 97
6.1　定義包字符串?dāng)?shù)據(jù) 97
6.2　PSTR數(shù)據(jù)收集 99
6.2.1　手動(dòng)生成PSTR數(shù)據(jù) 100
6.2.2　URLSnarf 101
6.2.3　Httpry 102
6.2.4　Justniffer 104
6.3　查看PSTR數(shù)據(jù) 107
6.3.1　Logstash 107
6.3.2　使用BASH工具解析
原始文本 114
6.4　本章小結(jié) 116
第二部分　檢測(cè)
第7章　檢測(cè)機(jī)制、受害信標(biāo)與特征 118
7.1　檢測(cè)機(jī)制 118
7.2　受害信標(biāo)和特征 119
7.2.1　主機(jī)信標(biāo)和網(wǎng)絡(luò)信標(biāo) 120
7.2.2　靜態(tài)信標(biāo) 120
7.2.3　可變信標(biāo) 123
7.2.4　信標(biāo)與特征的進(jìn)化 124
7.2.5　特征調(diào)優(yōu) 125
7.2.6　信標(biāo)和特征的關(guān)鍵標(biāo)準(zhǔn) 127
7.3　信標(biāo)和特征的管理 128
7.4　信標(biāo)與特征框架 133
7.4.1　OpenIOC 134
7.4.2　STIX 135
7.5　本章小結(jié) 137
第8章　基于信譽(yù)度的檢測(cè) 138
8.1　公開信譽(yù)度列表 138
8.1.1　常用公開信譽(yù)度列表 139
8.1.2　使用公共信譽(yù)度列表的常見問題 143
8.2　基于信譽(yù)度的自動(dòng)化檢測(cè) 145
8.2.1　使用BASH腳本實(shí)現(xiàn)手動(dòng)檢索與檢測(cè) 145
8.2.2　集中智能框架 150
8.2.3　Snort 的IP信譽(yù)度檢測(cè) 153
8.2.4　Suricata 的IP信譽(yù)度檢測(cè) 154
8.2.5　Bro的信譽(yù)度檢測(cè) 156
8.3　本章小結(jié) 159
第9章　基于 Snort和Suricata特征檢測(cè) 160
9.1　Snort 161
9.2　SURICATA 163
9.3　在 Security Onion 系統(tǒng)中改變 IDS 引擎 165
9.4　初始化Snort 和 Suricata實(shí)現(xiàn)入侵檢測(cè) 165
9.5　Snort 和 Suricata 的配置 168
9.5.1　變量 168
9.5.2　IP變量 168
9.5.3　定義規(guī)則集 171
9.5.4　警報(bào)輸出 176
9.5.5　Snort 預(yù)處理器 178
9.5.6　NIDS模式命令行附加參數(shù) 179
9.6　IDS規(guī)則 181
9.6.1　規(guī)則解析 181
9.6.2　規(guī)則調(diào)優(yōu) 195
9.7　查看 Snort和Suricata警報(bào) 201
9.7.1　Snorby 201
9.7.2　Sguil 202
9.8　本章小結(jié) 202
第10章　Bro平臺(tái) 203
10.1　Bro基本概念 203
10.2　Bro的執(zhí)行 205
10.3　Bro 日志 205
10.4　使用Bro定制開發(fā)檢測(cè)工具 209
10.4.1　文件分割 209
10.4.2　選擇性提取文件 211
10.4.3　從網(wǎng)絡(luò)流量中實(shí)時(shí)提取文件 213
10.4.4　打包Bro程序 215
10.4.5　加入配置選項(xiàng) 216
10.4.6　使用Bro監(jiān)控?cái)撤?nbsp; 218
10.4.7　暗網(wǎng)檢測(cè)腳本的擴(kuò)展 224
10.4.8　重載默認(rèn)的通知處理 224
10.4.9　屏蔽，郵件，警報(bào)——舉手之勞 227
10.4.10　為Bro日志添加新字段 228
10.5　本章小結(jié) 231
第11章　基于統(tǒng)計(jì)數(shù)據(jù)異常的檢測(cè) 232
11.1　通過SiLK獲得流量排名 232
11.2　通過SiLK發(fā)現(xiàn)服務(wù) 236
11.3　使用統(tǒng)計(jì)結(jié)果實(shí)現(xiàn)深度檢測(cè) 240
11.4　使用Gnuplot實(shí)現(xiàn)統(tǒng)計(jì)數(shù)據(jù)的可視化 242
11.5　使用Google圖表實(shí)現(xiàn)統(tǒng)計(jì)數(shù)據(jù)的可視化 245
11.6　使用Afterglow實(shí)現(xiàn)統(tǒng)計(jì)數(shù)據(jù)的可視化 249
11.7　本章小結(jié) 254
第12章　使用金絲雀蜜罐進(jìn)行檢測(cè) 255
12.1　金絲雀蜜罐 255
12.2　蜜罐類型 256
12.3　金絲雀蜜罐架構(gòu) 257
12.3.1　第一階段：確定待模擬的設(shè)備和服務(wù) 257
12.3.2　第二階段：確定金絲雀蜜罐安放位置 258
12.3.3　第三階段：建立警報(bào)和日志記錄 259
12.4　蜜罐平臺(tái) 260
12.4.1　Honeyd 260
12.4.2　Kippo SSH 蜜罐 264
12.4.3　Tom’s Honeypot 267
12.4.4　蜜罐文檔 269
12.5　本章小結(jié) 272
第三部分　分析
第13章　數(shù)據(jù)包分析 274
13.1　走近數(shù)據(jù)包 274
13.2　數(shù)據(jù)包數(shù)學(xué)知識(shí) 276
13.2.1 　以十六進(jìn)制方式理解字節(jié) 276
13.2.2　十六進(jìn)制轉(zhuǎn)換為二進(jìn)制和十進(jìn)制 277
13.2.3　字節(jié)的計(jì)數(shù) 278
13.3　數(shù)據(jù)包分解 280
13.4　用于NSM分析的 cpdump 工具 283
13.5　用于數(shù)據(jù)包分析的Tshark工具 287
13.6　用于NSM分析的Wireshark工具 291
13.6.1　捕獲數(shù)據(jù)包 291
13.6.2　改變時(shí)間顯示格式 293
13.6.3　捕獲概要 293
13.6.4　協(xié)議分層 294
13.6.5　終端和會(huì)話 295
13.6.6　流追蹤 296
13.6.7　輸入/輸出數(shù)據(jù)流量圖 296
13.6.8　導(dǎo)出對(duì)象 297
13.6.9　添加自定義字段 298
13.6.10　配置協(xié)議解析選項(xiàng) 299
13.6.11　捕獲和顯示過濾器 300
13.7　數(shù)據(jù)包過濾 301
13.7.1　伯克利數(shù)據(jù)包過濾器   301
13.7.2　Wireshark顯示過濾器 304
13.8　本章小結(jié) 307
第14章　我方情報(bào)與威脅情報(bào) 308
14.1　適用于NSM的情報(bào)過程 308
14.1.1　明確需求 309
14.1.2　制定規(guī)劃 309
14.1.3　情報(bào)搜集 310
14.1.4　情報(bào)處理 310
14.1.5　情報(bào)分析 311
14.1.6　情報(bào)傳播 311
14.2　生成我方情報(bào) 311
14.2.1　網(wǎng)絡(luò)資產(chǎn)的病歷和體格 311
14.2.2　定義網(wǎng)絡(luò)資產(chǎn)模型 312
14.2.3　被動(dòng)實(shí)時(shí)資產(chǎn)檢測(cè)系統(tǒng)（PRADS） 315
14.3　生成威脅情報(bào) 320
14.3.1　調(diào)查敵方主機(jī) 322
14.3.2　調(diào)查敵方文件 328
14.4　本章小結(jié) 333
第15章　分析流程 334
15.1　分析方法 334
15.1.1　關(guān)聯(lián)調(diào)查 335
15.1.2　鑒別診斷 340
15.1.3　分析方法的執(zhí)行 346
15.2　關(guān)于分析的最佳實(shí)踐 346
15.2.1　不是自己制造的數(shù)據(jù)包，就不能保證完全正確 346
15.2.2　留心你得到的數(shù)據(jù)處理結(jié)果 346
15.2.3　三人行必有我?guī)?nbsp; 347
15.2.4　永遠(yuǎn)不要招惹攻擊者 347
15.2.5　數(shù)據(jù)包，性本善 348
15.2.6　分析不只靠Wireshark，就像天文學(xué)不只靠望遠(yuǎn)鏡 348
15.2.7　分類是你的朋友 348
15.2.8　10分鐘原則 349
15.2.9　不要把簡(jiǎn)單問題復(fù)雜化 349
15.3　事件并發(fā)癥和死亡率 350
15.3.1　醫(yī)療M&M 350
15.3.2　信息安全M&M 351
15.4　本章小結(jié) 354
附錄1　Security Onion 控制腳本 355
附錄2　重要Security Onion文件和目錄 360
附錄3　數(shù)據(jù)包頭 362
附錄4　十進(jìn)制/十六進(jìn)制/ASCII碼轉(zhuǎn)換表 367