网络安全监控-收集.检测和分析

contents 目　录译者序作者简介序　言前　言第1章　网络安全监控应用实践  11.1　关键nsm术语  21.1.1　资产  21.1.2　威胁  21.1.3　漏洞  31.1.4　利用  31.1.5　风险  31.1.6　异常   31.1.7　事故  31.2　入侵检测  41.3　网络安全监控  41.4　以漏洞为中心vs以威胁为中心  71.5　nsm周期：收集、检测和分析  71.5.1　收集  71.5.2　检测  81.5.3　分析  81.6　nsm的挑战  91.7　定义分析师  91.7.1　关键技能  101.7.2　分类分析师  111.7.3　成功措施  121.8　security onion 151.8.1　初始化安装  151.8.2　更新security onion 161.8.3　执行nsm服务安装  161.8.4　测试security onion 171.9　本章小结  19第一部分　收集第2章　数据收集计划  222.1　应用收集框架  222.1.1　威胁定义  232.1.2　量化风险  242.1.3　识别数据源  252.1.4　焦点缩小  262.2　案例：网上零售商  282.2.1　识别组织威胁  282.2.2　量化风险  292.2.3　识别数据源  302.2.4　焦点缩小  332.3　本章小结  35第3章　传感器平台  363.1　nsm数据类型  373.1.1　全包捕获数据  373.1.2　会话数据  373.1.3　统计数据  373.1.4　包字符串数据  373.1.5　日志数据  383.1.6　告警数据  383.2　传感器类型  393.2.1　仅收集  393.2.2　半周期  393.2.3　全周期检测  393.3　传感器硬件  403.3.1　cpu  413.3.2　内存  423.3.3　磁盘存储空间  423.3.4　网络接口  443.3.5　负载平衡：套接字缓冲区的要求  453.3.6　span端口 vs 网络分流器  463.4　传感器高级操作系统  503.5　传感器的安置  503.5.1　利用适当的资源  503.5.2　网络入口/出口点  503.5.3　内部ip地址的可视性  513.5.4　靠近关键资产  543.5.5　创建传感器可视化视图 553.6　加固传感器  573.6.1　操作系统和软件更新 573.6.2　操作系统加固  573.6.3　限制上网  573.6.4　最小化软件安装  583.6.5　vlan分割   583.6.6　基于主机的ids 583.6.7　双因素身份验证  583.6.8　基于网络的ids 593.7　本章小结  59第4章　会话数据  604.1　流量记录  614.1.1　netflow  634.1.2　ipfix  644.1.3　其他流类型  644.2　收集会话数据  644.2.1　硬件生成  654.2.2　软件生成  654.3　使用silk收集和分析流数据  664.3.1　silk包工具集  664.3.2　silk流类型  684.3.3　silk分析工具集  684.3.4　在security onin里安装silk  694.3.5　使用rwfilter过滤流数据  694.3.6　在rwtools之间使用数据管道  704.3.7　其他silk资源  734.4　使用argus收集和分析流数据  734.4.1　解决框架  744.4.2　特性  744.4.3　基础数据检索  754.4.4　其他argus资源  764.5　会话数据的存储考虑  764.6　本章小结  78第5章　全包捕获数据  795.1　dumpcap  805.2　daemonlogger 815.3　netsniff-ng 835.4　选择合适的fpc收集工具  845.5　fpc收集计划  845.5.1　存储考虑  855.5.2　使用netsniff-ng和ifpps计算传感器接口吞吐量  865.5.3　使用会话数据计算传感器接口吞吐量 875.6　减少fpc数据存储预算  885.6.1　过滤服务  885.6.2　过滤主机到主机的通信 905.7　管理fpc数据存储周期  915.7.1　基于时间的存储管理 925.7.2　基于大小的存储管理  925.8　本章小结  96第6章　包字符串数据  976.1　定义包字符串数据  976.2　pstr数据收集  996.2.1　手动生成pstr数据  1006.2.2　urlsnarf 1016.2.3　httpry  1026.2.4　justniffer 1046.3　查看pstr数据  1076.3.1　logstash 1076.3.2　使用bash工具解析原始文本  1146.4　本章小结  116第二部分　检测第7章　检测机制、受害信标与特征  1187.1　检测机制  1187.2　受害信标和特征  1197.2.1　主机信标和网络信标 1207.2.2　静态信标  1207.2.3　可变信标  1237.2.4　信标与特征的进化 1247.2.5　特征调优  1257.2.6　信标和特征的关键标准 1277.3　信标和特征的管理  1287.4　信标与特征框架  1337.4.1　openioc 1347.4.2　stix  1357.5　本章小结  137第8章　基于信誉度的检测  1388.1　公开信誉度列表  1388.1.1　常用公开信誉度列表 1398.1.2　使用公共信誉度列表的常见问题 1438.2　基于信誉度的自动化检测 1458.2.1　使用bash脚本实现手动检索与检测  1458.2.2　集中智能框架  1508.2.3　snort 的ip信誉度检测  1538.2.4　suricata 的ip信誉度检测  1548.2.5　bro的信誉度检测  1568.3　本章小结  159第9章　基于 snort和suricata特征检测 1609.1　snort  1619.2　suricata  1639.3　在 security onion 系统中改变 ids 引擎  1659.4　初始化snort 和 suricata实现入侵检测  1659.5　snort 和 suricata 的配置  1689.5.1　变量  1689.5.2　ip变量  1689.5.3　定义规则集  1719.5.4　警报输出  1769.5.5　snort 预处理器  1789.5.6　nids模式命令行附加参数  1799.6　ids规则  1819.6.1　规则解析  1819.6.2　规则调优  1959.7　查看 snort和suricata警报  2019.7.1　snorby  2019.7.2　sguil  2029.8　本章小结  202第10章　bro平台  20310.1　bro基本概念  20310.2　bro的执行  20510.3　bro 日志  20510.4　使用bro定制开发检测工具  20910.4.1　文件分割  20910.4.2　选择性提取文件 21110.4.3　从网络流量中实时提取文件 21310.4.4　打包bro程序  21510.4.5　加入配置选项 21610.4.6　使用bro监控敌方  21810.4.7　暗网检测脚本的扩展 22410.4.8　重载默认的通知处理 22410.4.9　屏蔽，邮件，警报——举手之劳 22710.4.10　为bro日志添加新字段  22810.5　本章小结  231第11章　基于统计数据异常的检测  23211.1　通过silk获得流量排名  23211.2　通过silk发现服务  23611.3　使用统计结果实现深度检测 24011.4　使用gnuplot实现统计数据的可视化  24211.5　使用google图表实现统计数据的可视化  24511.6　使用afterglow实现统计数据的可视化  24911.7　本章小结  254第12章　使用金丝雀蜜罐进行检测  25512.1　金丝雀蜜罐  25512.2　蜜罐类型  25612.3　金丝雀蜜罐架构  25712.3.1　第一阶段：确定待模拟的设备和服务 25712.3.2　第二阶段：确定金丝雀蜜罐安放位置 25812.3.3　第三阶段：建立警报和日志记录 25912.4　蜜罐平台  26012.4.1　honeyd 26012.4.2　kippo ssh 蜜罐  26412.4.3　tom’s honeypot  26712.4.4　蜜罐文档  26912.5　本章小结  272第三部分　分析第13章　数据包分析  27413.1　走近数据包  27413.2　数据包数学知识  27613.2.1 　以十六进制方式理解字节 27613.2.2　十六进制转换为二进制和十进制 27713.2.3　字节的计数  27813.3　数据包分解  28013.4　用于nsm分析的 cpdump 工具  28313.5　用于数据包分析的tshark工具  28713.6　用于nsm分析的wireshark工具  29113.6.1　捕获数据包  29113.6.2　改变时间显示格式 29313.6.3　捕获概要  29313.6.4　协议分层  29413.6.5　终端和会话  29513.6.6　流追踪  29613.6.7　输入/输出数据流量图  29613.6.8　导出对象  29713.6.9　添加自定义字段 29813.6.10　配置协议解析选项 29913.6.11　捕获和显示过滤器 30013.7　数据包过滤  30113.7.1　伯克利数据包过滤器  30113.7.2　wireshark显示过滤器  30413.8　本章小结  307第14章　我方情报与威胁情报  30814.1　适用于nsm的情报过程  30814.1.1　明确需求  30914.1.2　制定规划  30914.1.3　情报搜集  31014.1.4　情报处理  31014.1.5　情报分析  31114.1.6　情报传播  31114.2　生成我方情报  31114.2.1　网络资产的病历和体格 31114.2.2　定义网络资产模型 31214.2.3　被动实时资产检测系统（prads）  31514.3　生成威胁情报  32014.3.1　调查敌方主机 32214.3.2　调查敌方文件 32814.4　本章小结  333第15章　分析流程  33415.1　分析方法  33415.1.1　关联调查  33515.1.2　鉴别诊断  34015.1.3　分析方法的执行 34615.2　关于分析的最佳实践 34615.2.1　不是自己制造的数据包，就不能保证完全正确  34615.2.2　留心你得到的数据处理结果 34615.2.3　三人行必有我师 34715.2.4　永远不要招惹攻击者 34715.2.5　数据包，性本善 34815.2.6　分析不只靠wireshark，就像天文学不只靠望远镜  34815.2.7　分类是你的朋友 34815.2.8　10分钟原则  34915.2.9　不要把简单问题复杂化 34915.3　事件并发症和死亡率 35015.3.1　医疗m&m 35015.3.2　信息安全m&m 35115.4　本章小结  354附录1　security onion 控制脚本  355附录2　重要security onion文件和目录  360附录3　数据包头  362附录4　十进制/十六进制/ascii码转换表 367