Mark Ryan M. Talabis 担任Zvelo Inc.公司的首席安全威胁科学家，《信息安全风险评估工具包：通过Syngress的数据收集和数据分析进行实用评估》一书的合著者。

Robert McPherson 领导“美国财富100强”保险和金融服务公司的数据科学家团队。作为研究和分析团队的带领者，他拥有14年的领导经验（专门从事预测建模，仿真，计量经济分析和应用统计的工作）。

I. Miyamoto 担任政府机构的计算机调查员，拥有超过16年的计算机调查和取证经验，以及12年的情报分析经验。

Jason L. Martin 高级威胁检测技术领域的全球领导者FireEye Inc.公司的云业务副总裁，Shakacon安全大会的联合创始人，《信息安全风险评估工具包：通过Syngress的数据收集和数据分析进行实用评估》一书的合著者。

目录
第1章分析学定义
安全分析学导论
分析学相关概念和技术
安全分析的数据
日常生活中的分析学
安全分析流程
延伸阅读
第2章分析软件和工具入门
导言
统计编程
数据库和大数据技术入门
R语言简介
Python简介
仿真软件简介
延伸阅读
第3章分析学和应急响应
导言
入侵和应急响应识别中的场景和挑战
日志文件分析
加载数据
其他潜在分析数据集：无栈状态编码
其他适用安全范畴和场景
综述
延伸阅读
第4章仿真和安全进程
仿真
案例学习
第5章访问分析
导言
技术入门
场景、分析和技术
案例学习
第6章安全和文本挖掘
文本挖掘安全分析中的场景和挑战
使用文本挖掘技术分析和查找非结构化数据中的模式
R语言中分步实现文本挖掘的示例
其他适用的安全领域和场景
第7章安全情报以及后续措施
概述
安全情报
安全漏洞
实际应用
结束语

　　第3章分析学和应急响应
　　本章指南：
　　■ 入侵和应急响应识别中的场景和挑战
　　■ 文本挖掘的使用和异常值检测
　　■ 案例学习： 循序渐进地指导如何利用统计编程工具发现入侵和事故（案例学习将围绕使用Hadoop和R进行服务器日志调查）
　　■ 其他适用的安全范畴和场景
　　 导言
　　随着广泛公布的数据泄露事件越来越多地出现在新闻中，服务器安全成为最重要的问题。发生数据泄露以后，需要对服务器日志进行取证分析以便识别漏洞、执行损害评估、制定缓解措施和收集证据。然而随着网络流量的增长，布置在数据中心的Web服务器数量也日益增加，通常会产生巨量的服务器日志数据，而且这些数据很难用传统的非并行的方法进行分析。
　　通过使用Hadoop、MapReduce和Hive软件栈，你可以同时分析处理非常庞大的服务器日志集。Hadoop联合MapReduce一起提供了分布式文件结构和并行处理框架，而Hive使用类似SQL的语法提供查询和分析数据的能力。R则为你提供了适用于中等规模数据集的基本分析工具，或使用Hadoop和MapReduce将大数据聚合或缩小到更易于管理的数据规模大小。
　　有很多商业化的软件工具可帮助查询日志文件数据。其中一些如Splunk也能够处理大数据。然而在本章中我们聚焦的示例都是基于开源并且提供免费可用工具的分析平台。通过编写自己的脚本你可以根据自身情况完全定制分析程序，也能够构建可重复的处理过程。像R这样的开源工具提供了成千上万可选分析软件包，甚至还包括了其他商业化软件工具包可能还无法提供的非常复杂和前沿的方法。
　　商业版的工具会相当昂贵，并非所有组织和部门都有足够预算负担得起它们。如果有机会使用商业版的工具，你就应该通过各种方式去充分利用它们。商业版的工具能极其快速地探索你的数据，并且使用的图形用户界面也让它们看起来物有所值。虽然脚本方式对于重复性的任务来说是个很不错的选择，而且当需要回溯步骤或对新数据重新运行分析时，脚本方式也有非常大的优势，但它们确实需要花费一些时间和精力去编写。因此脚本方式很难击败一个刚开始就能够快速搜索数据的好用的图形界面。
　　考虑到商业版的工具和开源工具各有其优势，它们应被视为相互补充而不是互相竞争的技术。如果能够负担得起费用，为什么不能两者兼用？一旦学会了如何使用开源工具进行分析，例如Hadoop、MapReduce、R和Mahout，你就拥有了非常坚实的基础，进而能够理解任何平台上的分析过程了。这也将有助于你学习包括商业版工具在内的其他各类工具。
　　我们将在本章中探讨利用分析方法来发现场景和案例中的潜在安全漏洞。本节中的方法并非是竭尽所能涵盖的详尽目录。相反，我们希望它们能够帮助你开发一些属于你自己的创意和方法。
　　 入侵和应急响应识别中的场景和挑战
　　在入侵企图识别中最大的挑战也许是“我们不知道我们不知道什么”。发现不了解的未知事件是一件很困难的任务，即我们不能预见可以绕过现有防御措施的新攻击模式。用于实时防止入侵的软件程序是必不可少的，但它们也有着明显的缺点。通常它们仅能侦测已知的攻击模式，或者用安全术语来说的“已知攻击向量”。实时入侵检测和预防往往聚焦在已知的未知事件，而不是未知的未知事件。
　　虽然部署实时入侵检测和预防软件必不可少，却远远不够。分析人员需要运用创造性的努力才能发现那些成功绕过现有防御措施的新型攻击。它涉及分析那些从系统收集到的数据，例如来自服务器和网络设备的日志文件以及来自个人计算设备的驱动程序等。
　　本章中我们将重点关注数据分析而不是数据采集。关于怎样采集数据已经有很多不错的文章和在线资源可供参考。既然大多数系统已经收集了关于网络和服务器流量的大量数据，更大的挑战就不是采集数据而是掌握该如何处理数据。无论数据源是由服务器日志组成，还是来自诸如Wireshark这类软件收集的网络数据，又或是一些其他来源，对其分析的方法通常都是相同的。例如，无论数据源如何，异常值检测方法在任何情况下都非常有用。
　　利用大数据分析服务器日志集
　　本节中我们将检验用大数据技术如何同时分析多个服务器日志。
　　……

　　前言
　　信息安全是一个具有挑战性的领域，伴随着众多未解决的难题以及如何解决这些难题的诸多争论。与诸如物理学、天文学以及类似科学的其他领域相比较，在发现信息安全问题严重影响我们生活的世界之前，我们没有机会能让信息安全领域屈服于那些谨慎的理论分析。互联网就是安全研究的试验场，而且为了保持适当的防卫以对抗在这个活跃的虚拟有机体上进行的攻击性研究，这会是一场持续的战斗。有大量关于信息安全卷入真实间谍情报技术的行业炒作，尤其是关于“分析论”和“大数据”的炒作，本书上架正是为了努力启发读者，当运用数据科学来加强安全研究时，能够获得什么样的真正价值。这本内容丰富的图书并不意味着能被普通读者迅速阅读和理解，相反，对于研究人员和从事安全领域工作的读者，本书恰恰值得他们钻研并运用于工作，力求以实用和先发制人的方式去运用数据科学来解决日益变得困难的信息安全问题。
　　Talabis，McPherson，Miyamoto和Martin的工作在本书中完美融合并通过本书传递了如此迷人的知识，即向读者展示了分析论对影响全球企业和组织的各种问题的适用性。记得2010年当我仍在Damballa工作时，我所在的研究部一直在探索数据科学、机器学习、统计学、相关性和分析论等领域。那是一段激动人心的时期，R语言在当时越来越流行，暗示着信息安全的新篇章即将开始。它确实到来了，但是很多营销流行语也随之被创造，所以现在我们有“安全分析论”“大数据”和“威胁情报”，当然“网络”对任何人都没有真正的意义，直到现在。
　　《信息安全分析学》是我读过的，而且直接可以将从书中学到的知识运用到团队工作中的少数几本技术书籍之一。本书还介绍了一些更加主动的见解，也就是通过致力于信息安全领域的纯粹研究方面来解决这些问题。这比我们目前依靠诸如SIEM、威胁馈送和基本相关性及分析论等操作性的答案要好得多。我的工作涉及Cyber Counterintelligence与位列全球四大咨询公司之首的公司的研究工作，而且数据科学和纯安全性研究的价值正在被发掘和认可。但就本书而论，我丝毫不怀疑在这些章节中提供的知识将把我的团队和整个公司提升到另一个层面。就谈到这里吧，我非常荣幸能够说，好好享受这本书吧！
　　Lance James
　　Head of Cyber Intelligence
　　Deloitte & Touche LLP