作者:MichaelCollins
页数:264
出版社:人民邮电出版社
出版日期:2015
ISBN:9787115376718
电子书格式:pdf/epub/txt
内容简介
传统的入侵检测和日志文件分析已经不再足以保护当今的复杂网络。在本书中,安全研究人员michael collins展示了多种收集和分析网络流量数据集的技术和工具。你将从中理解网络的使用方式,以及保护和改进它所必需的行动。
《数据驱动的网络分析》分为3个部分,讲解了收集和组织数据的过程、各种分析工具和多种不同的分析场景和技术。对于熟悉脚本的网络管理员和运营安全分析人员来说,本书是他们的理想读物。
《数据驱动的网络分析》内容如下:
探索捕捉安全数据的网络、主机和服务传感器;
使用关系数据库、图解数据库、redis和hadoop存储数据流量;
使用silk、r语言和其他工具进行分析和可视化;
通过探索性数据分析检测不寻常的现象;
用图解分析识别网络中的重要结构;
确定网络中穿越服务端口的流量;
检查通信量和行为,以发现ddos和数据库攫取;
获得网络映射和库存盘点的详细过程。
作者简介
Michael Collins是RedJack有限责任公司的首席科学家,该公司是华盛顿首都特区的一家网络安全和数据分析公司。在任职于RedJacak之前,Collins博士是卡内基·梅隆大学CERT/网络态势感知小组的成员。他的主要研究方向是网络测量和流量分析,特别是大流量数据集的分析。Collins博士于2008年毕业于卡内基·梅隆大学,获得电子工程博士学位。他的硕士和学士学位也来自于同一学校。
相关资料
本书全面介绍了充分利用各种可用工具,将收集的数据集合成为可操作信息的过程。各个水平的网络分析人员都会从michael讲解的分析技术中受益匪浅。
——andre dimino,资深网络安全工程师,乔治 华盛顿大学
令人吃惊的是,一个成熟的行业仍然苦于缺乏介绍网络分析和取证的书籍。collins先生的著作是安全分析这一重要领域中的指路明灯。
——rabbi rob thomas,ceo,team cymru
本书特色
传统的入侵检测和日志文件分析已经不再足以保护当今的复杂网络,本书讲解了多种网络流量数据集的采集和分析技术及工具,借助这些工具,可以迅速定位网络中的问题,并采取相应的行动,保障网络的运行安全。
《数据驱动的网络分析》分为3部分,共15章,内容包括数据采集的常规过程,用于采集网络流量的传感器,基于特定系统的传感器,数据存储和分析,使用互联网层次知识系统(silk)分析netflow数据,用于安全分析的r语言简介、入侵检测系统的工作机制以及实施,确定实施攻击的幕后真凶,探索性数据分析以及数据可视化,检查通信流量和行为,获取网络映射和库存盘点的详细过程等。
《数据驱动的网络分析》适合网络安全工程师和网络管理人员阅读。
目录
第1部分 数据
第1章 传感器和探测器简介
1.1观察点:传感器的位置对数据采集的影响
1.2领域:确定可以采集的数据
1.3操作:传感器对数据所做的处理
1.4小结
第2章 网络传感器
2.1网络分层及其对测量的影响
2.1.1网络层次和观察点
2.1.2网络层次和编址
2.2封包数据
2.2.1封包和帧格式
2.2.2滚动缓存
2.2.3限制每个封包中捕捉的数据
2.2.4过滤特定类型封包
2.2.5如果不是以太网怎么办
2.3netflow
2.3.1netflowv5格式和字段
2.3.2netflow生成和采集
第3章 主机和服务传感器:在源上的流量日志
3.1访问和操纵日志文件
3.2日志文件的内容
3.2.1优秀日志消息的特性
3.2.2现有日志文件以及处理方法
3.3有代表性的日志文件格式
3.3.1http:clf和elf
3.3.2smtp
3.3.3microsoftexchange:邮件跟踪日志
3.4日志文件传输:转移、syslog和消息队列
3.4.1转移和日志文件留存
3.4.2syslog
第4章 用于分析的数据存储:关系数据库、大数据和其他选项
4.1日志数据和crud范式
4.2nosql系统简介
4.3使用何种存储方法
第2部分 工具
第5章 silk套件
5.1silk的概念和工作原理
5.2获取和安装silk
5.3选择和格式化输出字段操作:rwcut
5.4基本字段操纵:rwfilter
5.4.1端口和协议
5.4.2大小
5.4.3ip地址
5.4.4时间
5.4.5tcp选项
5.4.6助手选项
5.4.7杂项过滤选项和一些技巧
5.5rwfileinfo及出处
5.6合并信息流:rwcount
5.7rwset和ip集
5.8rwuniq
5.9rwbag
5.10silk高级机制
5.11采集silk数据
5.11.1yaf
5.11.2rwptoflow
5.11.3rwtuc
第6章 r安全分析简介
6.1安装与设置
6.2r语言基础知识
6.2.1r提示符
6.2.2r变量
6.2.3编写函数
6.2.4条件与循环
6.3使用r工作区
6.4数据帧
6.5可视化
6.5.1可视化命令
6.5.2可视化参数
6.5.3可视化注解
6.5.4导出可视化
6.6分析:统计假设检验
6.6.1假设检验
6.6.2检验数据
第7章 分类和事件工具:ids、av和sem
7.1ids的工作原理
7.1.1基本词汇
7.1.2分类器失效率:理解“基率谬误”
7.1.3应用分类
7.2提高ids性能
7.2.1改进ids检测
7.2.2改进ids响应
7.2.3预取数据
第8章 参考和查找:了解“某人是谁”的工具
8.1mac和硬件地址
8.2ip编址
8.2.1ipv4地址、结构和重要地址
8.2.2ipv6地址、结构和重要地址
8.2.3检查连接性:使用ping连接到某个地址
8.2.4路由跟踪
8.2.5ip信息:地理位置和人口统计学特征
8.3dns
8.3.1dns名称结构
8.3.2用dig转发dns查询
8.3.3dns反向查找
8.3.4使用whois查找所有者
8.4其他参考工具
第9章 其他工具
9.1可视化
9.2通信和探查
9.2.1netcat
9.2.2nmap
9.2.3scapy
9.3封包检查和参考
9.3.1wireshark
9.3.2geoip
9.3.3nvd、恶意软件网站和c最e
9.3.4搜索引擎、邮件列表和人
第3部分 分析
第10章 探索性数据分析和可视化
10.1eda的目标:应用分析
10.2eda工作流程
10.3变量和可视化
10.4单变量可视化:直方图、qq图、箱线图和等级图
10.3.1直方图
10.3.2柱状图(不是饼图)
10.3.3分位数-分位数(quantile-quantile,qq)图
10.3.4五数概括法和箱线图
10.3.5生成箱线图
10.5双变量描述
10.5.1散点图
10.5.2列联表
10.6多变量可视化
第11章 摸索
11.1攻击模式
11.2摸索:错误的配置、自动化和扫描
11.2.1查找失败
11.2.2自动化
11.2.3扫描
11.3识别摸索行为
11.3.1tcp摸索:状态机
11.3.2icmp消息和摸索
11.3.3识别udp摸索
11.4服务级摸索
11.4.1http摸索
11.4.2smtp摸索
11.5摸索分析
11.5.1构建摸索警报
11.5.2摸索行为的取证分析
11.5.3设计一个网络来利用摸索
第12章 通信量和时间分析
12.1工作日对网络通信量的影响
12.2信标
12.3文件传输/攫取
12.4局部性
12.4.1ddos、突发拥塞和资源耗尽
12.4.2ddos和路由基础架构
12.5应用通信量和局部性分析
12.5.1数据选择
12.5.2将通信量作为警报
12.5.3将信标作为警报
12.5.4将局部性作为警报
12.5.5工程解决方案
第13章 图解分析
13.1图的属性:什么是图
13.2标签、权重和路径
13.3分量和连通性
13.4聚类系数
13.5图的分析
13.5.1将分量分析作为警报
13.5.2将集中度分析用于取证
13.5.3广度优先搜索的取证使用
13.5.4将集中度分析用于工程
第14章 应用程序识别
14.1应用程序识别机制
14.1.1端口号
14.1.2通过标志抓取识别应用程序
14.1.3通过行为识别应用程序
14.1.4通过附属网站识别应用程序
14.2应用程序标志:识别和分类
14.2.1非web标志
14.2.2web客户端标志:user-agent字符串
第15章 网络映射
15.1创建一个初始网络库存清单和映射
15.1.1创建库存清单:数据、覆盖范围和文件
15.1.2第1阶段:前3个问题
15.1.3第2阶段:检查ip空间
15.1.4第3阶段:识别盲目和难以理解的流量
15.1.5第4阶段:识别客户端和服务器
15.2更新库存清单:走向连续审计
