网络安全监控 收集、检测和分析【2025|PDF下载-Epub版本|mobi电子书|kindle百度云盘下载】

网络安全监控 收集、检测和分析PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 网络安全监控应用实践1

1.1 关键NSM术语2

1.1.1 资产2

1.1.2 威胁2

1.1.3 漏洞3

1.1.4 利用3

1.1.5 风险3

1.1.6 异常3

1.1.7 事故3

1.2 入侵检测4

1.3 网络安全监控4

1.4 以漏洞为中心vs以威胁为中心7

1.5 NSM周期：收集、检测和分析7

1.5.1 收集7

1.5.2 检测8

1.5.3 分析8

1.6 NSM的挑战9

1.7 定义分析师9

1.7.1 关键技能10

1.7.2 分类分析师11

1.7.3 成功措施12

1.8 Security Onion15

1.8.1 初始化安装15

1.8.2 更新Security Onion16

1.8.3 执行NSM服务安装16

1.8.4 测试Security Onion17

1.9 本章小结19

第一部分 收集22

第2章 数据收集计划22

2.1 应用收集框架22

2.1.1 威胁定义23

2.1.2 量化风险24

2.1.3 识别数据源25

2.1.4 焦点缩小26

2.2 案例：网上零售商28

2.2.1 识别组织威胁28

2.2.2 量化风险29

2.2.3 识别数据源30

2.2.4 焦点缩小33

2.3 本章小结35

第3章 传感器平台36

3.1 NSM数据类型37

3.1.1 全包捕获数据37

3.1.2 会话数据37

3.1.3 统计数据37

3.1.4 包字符串数据37

3.1.5 日志数据38

3.1.6 告警数据38

3.2 传感器类型39

3.2.1 仅收集39

3.2.2 半周期39

3.2.3 全周期检测39

3.3 传感器硬件40

3.3.1 CPU41

3.3.2 内存42

3.3.3 磁盘存储空间42

3.3.4 网络接口44

3.3.5 负载平衡：套接字缓冲区的要求45

3.3.6 SPAN端口vs网络分流器46

3.4 传感器高级操作系统50

3.5 传感器的安置50

3.5.1 利用适当的资源50

3.5.2 网络入口／出口点50

3.5.3 内部IP地址的可视性51

3.5.4 靠近关键资产54

3.5.5 创建传感器可视化视图55

3.6 加固传感器57

3.6.1 操作系统和软件更新57

3.6.2 操作系统加固57

3.6.3 限制上网57

3.6.4 最小化软件安装58

3.6.5 VLAN分割58

3.6.6 基于主机的IDS58

3.6.7 双因素身份验证58

3.6.8 基于网络的IDS59

3.7 本章小结59

第4章 会话数据60

4.1 流量记录61

4.1.1 NetFlow63

4.1.2 IPFIX64

4.1.3 其他流类型64

4.2 收集会话数据64

4.2.1 硬件生成65

4.2.2 软件生成65

4.3 使用SiLK收集和分析流数据66

4.3.1 SiLK包工具集66

4.3.2 SiLK流类型68

4.3.3 SiLK分析工具集68

4.3.4 在Security Onin里安装SiLK69

4.3.5 使用Rwfilter过滤流数据69

4.3.6 在Rwtools之间使用数据管道70

4.3.7 其他SiLK资源73

4.4 使用Argus收集和分析流数据73

4.4.1 解决框架74

4.4.2 特性74

4.4.3 基础数据检索75

4.4.4 其他Argus资源76

4.5 会话数据的存储考虑76

4.6 本章小结78

第5章 全包捕获数据79

5.1 Dumpcap80

5.2 Daemonlogger81

5.3 Netsniff-NG83

5.4 选择合适的FPC收集工具84

5.5 FPC收集计划84

5.5.1 存储考虑85

5.5.2 使用Netsniff-NG和IFPPS计算传感器接口吞吐量86

5.5.3 使用会话数据计算传感器接口吞吐量87

5.6 减少FPC数据存储预算88

5.6.1 过滤服务88

5.6.2 过滤主机到主机的通信90

5.7 管理FPC数据存储周期91

5.7.1 基于时间的存储管理92

5.7.2 基于大小的存储管理92

5.8 本章小结96

第6章 包字符串数据97

6.1 定义包字符串数据97

6.2 PSTR数据收集99

6.2.1 手动生成PSTR数据100

6.2.2 URLSnarf101

6.2.3 Httpry102

6.2.4 Justniffer104

6.3 查看PSTR数据107

6.3.1 Logstash107

6.3.2 使用BASH工具解析原始文本114

6.4 本章小结116

第二部分 检测118

第7章 检测机制、受害信标与特征118

7.1 检测机制118

7.2 受害信标和特征119

7.2.1 主机信标和网络信标120

7.2.2 静态信标120

7.2.3 可变信标123

7.2.4 信标与特征的进化124

7.2.5 特征调优125

7.2.6 信标和特征的关键标准127

7.3 信标和特征的管理128

7.4 信标与特征框架133

7.4.1 OpenIOC134

7.4.2 STIX135

7.5 本章小结137

第8章 基于信誉度的检测138

8.1 公开信誉度列表138

8.1.1 常用公开信誉度列表139

8.1.2 使用公共信誉度列表的常见问题143

8.2 基于信誉度的自动化检测145

8.2.1 使用BASH脚本实现手动检索与检测145

8.2.2 集中智能框架150

8.2.3 Snort的IP信誉度检测153

8.2.4 Suricata的IP信誉度检测154

8.2.5 Bro的信誉度检测156

8.3 本章小结159

第9章 基于Snort和Suricata特征检测160

9.1 Snort161

9.2 SURICATA163

9.3 在Security Onion系统中改变IDS引擎165

9.4 初始化Snort和Suricata实现入侵检测165

9.5 Snort和Suricata的配置168

9.5.1 变量168

9.5.2 IP变量168

9.5.3 定义规则集171

9.5.4 警报输出176

9.5.5 Snort预处理器178

9.5.6 NIDS模式命令行附加参数179

9.6 IDS规则181

9.6.1 规则解析181

9.6.2 规则调优195

9.7 查看Snort和Suricata警报201

9.7.1 Snorby201

9.7.2 Sguil202

9.8 本章小结202

第10章 Bro平台203

10.1 Bro基本概念203

10.2 Bro的执行205

10.3 Bro日志205

10.4 使用Bro定制开发检测工具209

10.4.1 文件分割209

10.4.2 选择性提取文件211

10.4.3 从网络流量中实时提取文件213

10.4.4 打包Bro程序215

10.4.5 加入配置选项216

10.4.6 使用Bro监控敌方218

10.4.7 暗网检测脚本的扩展224

10.4.8 重载默认的通知处理224

10.4.9 屏蔽，邮件，警报——举手之劳227

10.4.10 为Bro日志添加新字段228

10.5 本章小结231

第11章 基于统计数据异常的检测232

11.1 通过SiLK获得流量排名232

11.2 通过SiLK发现服务236

11.3 使用统计结果实现深度检测240

11.4 使用Gnuplot实现统计数据的可视化242

11.5 使用Google图表实现统计数据的可视化245

11.6 使用Afterglow实现统计数据的可视化249

11.7 本章小结254

第12章 使用金丝雀蜜罐进行检测255

12.1 金丝雀蜜罐255

12.2 蜜罐类型256

12.3 金丝雀蜜罐架构257

12.3.1 第一阶段：确定待模拟的设备和服务257

12.3.2 第二阶段：确定金丝雀蜜罐安放位置258

12.3.3 第三阶段：建立警报和日志记录259

12.4 蜜罐平台260

12.4.1 Honeyd260

12.4.2 Kippo SSH蜜罐264

12.4.3 Tom's Honeypot267

12.4.4 蜜罐文档269

12.5 本章小结272

第三部分 分析274

第13章 数据包分析274

13.1 走近数据包274

13.2 数据包数学知识276

13.2.1 以十六进制方式理解字节276

13.2.2 十六进制转换为二进制和十进制277

13.2.3 字节的计数278

13.3 数据包分解280

13.4 用于NSM分析的Tcpdump工具283

13.5 用于数据包分析的Tshark工具287

13.6 用于NSM分析的Wireshark工具291

13.6.1 捕获数据包291

13.6.2 改变时间显示格式293

13.6.3 捕获概要293

13.6.4 协议分层294

13.6.5 终端和会话295

13.6.6 流追踪296

13.6.7 输入／输出数据流量图296

13.6.8 导出对象297

13.6.9 添加自定义字段298

13.6.10 配置协议解析选项299

13.6.11 捕获和显示过滤器300

13.7 数据包过滤301

13.7.1 伯克利数据包过滤器301

13.7.2 Wireshark显示过滤器304

13.8 本章小结307

第14章 我方情报与威胁情报308

14.1 适用于NSM的情报过程308

14.1.1 明确需求309

14.1.2 制定规划309

14.1.3 情报搜集310

14.1.4 情报处理310

14.1.5 情报分析311

14.1.6 情报传播311

14.2 生成我方情报311

14.2.1 网络资产的病历和体格311

14.2.2 定义网络资产模型312

14.2.3 被动实时资产检测系统（PRADS）315

14.3 生成威胁情报320

14.3.1 调查敌方主机322

14.3.2 调查敌方文件328

14.4 本章小结333

第15章 分析流程334

15.1 分析方法334

15.1.1 关联调查335

15.1.2 鉴别诊断340

15.1.3 分析方法的执行346

15.2 关于分析的最佳实践346

15.2.1 不是自己制造的数据包，就不能保证完全正确346

15.2.2 留心你得到的数据处理结果346

15.2.3 三人行必有我师347

15.2.4 永远不要招惹攻击者347

15.2.5 数据包，性本善348

15.2.6 分析不只靠Wireshark，就像天文学不只靠望远镜348

15.2.7 分类是你的朋友348

15.2.8 10分钟原则349

15.2.9 不要把简单问题复杂化349

15.3 事件并发症和死亡率350

15.3.1 医疗M＆M350

15.3.2 信息安全M＆M351

15.4 本章小结354

附录1 Security Onion控制脚本355

附录2 重要Security Onion文件和目录360

附录3 数据包头362

附录4 十进制／十六进制／ASCII码转换表367