基本信息
书名:网络安全监控
定价:79.00元
作者:(美)克里斯·桑德斯(Chris Sanders),(美)杰
出版社:机械工业出版社
出版日期:2016-01-01
ISBN:9787111520092
字数:350
页码:366
版次:1
装帧:平装
开本:16开
商品重量:
编辑
国际信息安全技术专家亲力打造,是系统化建立网络安全监控体系的重要参考
既详细讲解网络安全监控的相关工具和技术,又通过多个完整的真实案例阐述了网络安全监控的关键理念与实践,是由菜鸟到NSM分析师的参考书
内容提要
《网络安全监控:收集、检测和分析》由多位国际信息安全技术专家亲力打造,是系统化建立网络安全监控体系的重要参考,书中不仅详细介绍了网络安全监控的相关工具和技术,还通过多个完整的真实案例阐述了网络安全监控的关键理念与实践,是由菜鸟到NSM分析师的参考。
全书分为三部分,共15章。章概述网络安全监控以及现代网络安全环境,讨论整本书将会用到的基本概念。部分(第2~6章)介绍数据收集,包括收集什么数据以及如何收集数据,传感器的类型、作用、部署、工具集,全包捕获数据的重要性和工具,数据存储和保存计划,包串数据的生成、解析和查看等。第二部分(第7~12章)详细介绍检测机制基础、受害信标与特征,以及几种借助信标与特征的检测机制的实际应用,涉及基于信誉度的检测方法、使用Snort和Suricata 行基于特征的检测、Bro平台、基于异常的检测与统计数据、使用金丝雀蜜罐行检测的方法等。第三部分(3~15章)详细讲解数据包分析的相关知识、我方情报与威胁情报的建立与分析、整体的分析过程,并介绍一些分析实践。
网络安全监控是建立在“防不胜防”的基础上的。在前的威胁环境之下,不论你如何努力,目的明确的攻击者能找到破绽渗透入你的网络环境。届时,你将面对的是一个小曲还是一场大灾难,取决于你对于入侵的检测与响应能力。
本书围绕NSM(网络安全监控)的采集、检测和分析三个阶段展开,由多位NSM资深专家亲力打造,给出了NSM的系统化概念与实践,有些知识可以直接派上用场。如果你刚开始NSM分析工作,本书能帮助你掌握成为真正的分析师所需的核心概念;如果你已经扮演着分析师的角色,本书可帮你汲取分析技巧,提高分析效果。
面对前复杂的网络环境,每个人都可能放松警惕、盲目片面,有时还会在阻止攻击者的网络战斗中败下阵来。本书会为你装备好正确的工具,让这些工具帮助你采集所需数据、检测恶意行为,并通过分析理解入侵的性质。单纯的防御措施终将失败,而NSM却不会。
本书主要内容:
探讨部署、执行NSM数据采集策略的恰方法。
提供包括Snort、Suricata、Bro-IDS、SiLK、PRADS及更多工具在内的实战演练。
明确提出适用于以结构化和体系化方法行NSM的综合分析框架。
内含Security Onion Linux的多个应用实例。
配套网站包括作者关于NSM新展的实时更新,全面补充了书中材料。
目录
译者序
作者简介
序言
前言
章网络安全监控应用实践1
1.1关键NSM术语2
1.1.1资产2
1.1.2威胁2
1.1.3漏洞3
1.1.4利用3
1.1.5风险3
1.1.6异常3
1.1.7事故3
1.2入侵检测4
1.3网络安全监控4
1.4以漏洞为中心vs以威胁为中心7
1.5NSM周期:收集、检测和分析7
1.5.1收集7
1.5.2检测8
1.5.3分析8
1.6NSM的挑战9
1.7定义分析师9
1.7.1关键技能10
1.7.2分类分析师11
1.7.3成功措施12
1.8SecurityOnion15
1.8.1初始化安装15
1.8.2更新SecurityOnion16
1.8.3执行NSM安装16
1.8.4测试SecurityOnion17
1.9本章小结19
部分收集
第2章数据收集计划22
2.1应用收集框架22
2.1.1威胁定义23
2.1.2量化风险24
2.1.3识别数据源25
2.1.4焦点缩小26
2.2案例:网上零售商28
2.2.1识别组织威胁28
2.2.2量化风险29
2.2.3识别数据源30
2.2.4焦点缩小33
2.3本章小结35
第3章传感器平台36
3.1NSM数据类型37
3.1.1全包捕获数据37
3.1.2会话数据37
3.1.3统计数据37
3.1.4包字符串数据37
3.1.5日志数据38
3.1.6告警数据38
3.2传感器类型39
3.2.1仅收集39
3.2.2半周期39
3.2.3全周期检测39
3.3传感器硬件40
3.3.1CPU41
3.3.2内存42
3.3.3磁盘存储空间42
3.3.4网络接口44
3.3.5负载平衡:套接字缓冲区的
要求45
3.3.6SPAN端口vs网络分流器46
3.4传感器高级作系统50
3.5传感器的安置50
3.5.1利用适的资源50
3.5.2网络入口/出口点50
3.5.3内部IP地址的可视性51
3.5.4靠近关键资产54
3.5.5创建传感器可视化视图55
3.6加固传感器57
3.6.1作系统和软件更新57
3.6.2作系统加固57
3.6.3限制上网57
3.6.4小化软件安装58
3.6.5VLAN分割58
3.6.6基于主机的IDS58
3.6.7双因素身份验证58
3.6.8基于网络的IDS59
3.7本章小结59
第4章会话数据60
4.1流量记录61
4.1.1NetFlow63
4.1.2IPFIX64
4.1.3其他流类型64
4.2收集会话数据64
4.2.1硬件生成65
4.2.2软件生成65
4.3使用SiLK收集和分析流数据66
4.3.1SiLK包工具集66
4.3.2SiLK流类型68
4.3.3SiLK分析工具集68
4.3.4在SecurityOnin里安装SiLK69
4.3.5使用Rwfilter过滤流数据69
4.3.6在Rwtools之间使用数据管道70
4.3.7其他SiLK资源73
4.4使用Argus收集和分析流数据73
4.4.1解决框架74
4.4.2特性74
4.4.3基础数据检索75
4.4.4其他Argus资源76
4.5会话数据的存储考虑76
4.6本章小结78
第5章全包捕获数据79
5.1Dumpcap80
5.2Daemonlogger81
5.3Netsniff-NG83
5.4选择合适的FPC收集工具84
5.5FPC收集计划84
5.5.1存储考虑85
5.5.2使用Netsniff-NG和IFPPS
计算传感器接口吞吐量86
5.5.3使用会话数据计算传感器接口吞吐量87
5.6减少FPC数据存储预算88
5.6.1过滤88
5.6.2过滤主机到主机的通信90
5.7管理FPC数据存储周期91
5.7.1基于时间的存储管理92
5.7.2基于大小的存储管理92
5.8本章小结96
第6章包字符串数据97
6.1定义包字符串数据97
6.2PSTR数据收集99
6.2.1手动生成PSTR数据100
6.2.2URLSnarf101
6.2.3Httpry102
6.2.4Justniffer104
6.3查看PSTR数据107
6.3.1Logstash107
6.3.2使用BASH工具解析
原始文本114
6.4本章小结116
第二部分检测
第7章检测机制、受害信标与特征118
7.1检测机制118
7.2受害信标和特征119
7.2.1主机信标和网络信标120
7.2.2静态信标120
7.2.3可变信标123
7.2.4信标与特征的化124
7.2.5特征调优125
7.2.6信标和特征的关键标准127
7.3信标和特征的管理128
7.4信标与特征框架133
7.4.1OpenIOC134
7.4.2STIX135
7.5本章小结137
第8章基于信誉度的检测138
8.1公开信誉度列表138
8.1.1常用公开信誉度列表139
8.1.2使用公共信誉度列表的常见问题143
8.2基于信誉度的自动化检测145
8.2.1使用BASH脚本实现手动检索与检测145
8.2.2集中智能框架150
8.2.3Snort的IP信誉度检测153
8.2.4Suricata的IP信誉度检测154
8.2.5Bro的信誉度检测156
8.3本章小结159
第9章基于Snort和Suricata特征检测160
9.1Snort161
9.2SURICATA163
9.3在SecurityOnion系统中改变IDS引擎165
9.4初始化Snort和Suricata实现入侵检测165
9.5Snort和Suricata的配置168
9.5.1变量168
9.5.2IP变量168
9.5.3定义规则集171
9.5.4警报输出176
9.5.5Snort预处理器178
9.5.6NIDS模式命令行附加参数179
9.6IDS规则181
9.6.1规则解析181
9.6.2规则调优195
9.7查看Snort和Suricata警报201
9.7.1Snorby201
9.7.2Sguil202
9.8本章小结202
0章Bro平台203
10.1Bro基本概念203
10.2Bro的执行205
10.3Bro日志205
10.4使用Bro定制开发检测工具209
10.4.1文件分割209
10.4.2选择性提取文件211
10.4.3从网络流量中实时提取文件213
10.4.4打包Bro程序215
10.4.5加入配置选项216
10.4.6使用Bro监控敌方218
10.4.7暗网检测脚本的扩展224
10.4.8重载默认的通知处理224
10.4.9屏蔽,邮件,警报——举手之劳227
10.4.10为Bro日志添加新字段228
10.5本章小结231
1章基于统计数据异常的检测232
11.1通过SiLK获得流量排名232
11.2通过SiLK发现236
11.3使用统计结果实现深度检测240
11.4使用Gnuplot实现统计数据的可视化242
11.5使用Google图表实现统计数据的可视化245
11.6使用Afterglow实现统计数据的可视化249
11.7本章小结254
2章使用金丝雀蜜罐行检测255
12.1金丝雀蜜罐255
12.2蜜罐类型256
12.3金丝雀蜜罐架构257
12.3.1阶段:确定待模拟的设备和257
12.3.2第二阶段:确定金丝雀蜜罐安放位置258
12.3.3第三阶段:建立警报和日志记录259
12.4蜜罐平台260
12.4.1Honeyd260
12.4.2KippoSSH蜜罐264
12.4.3Tom’sHoneypot267
12.4.4蜜罐文档269
12.5本章小结272
第三部分分析
3章数据包分析274
13.1走近数据包274
13.2数据包数学知识276
13.2.1以十六制方式理解字节276
13.2.2十六制转换为二制和十制277
13.2.3字节的计数278
13.3数据包分解280
13.4用于NSM分析的cpdump工具283
13.5用于数据包分析的Tshark工具287
13.6用于NSM分析的Wireshark工具291
13.6.1捕获数据包291
13.6.2改变时间显示格式293
13.6.3捕获概要293
13.6.4协议分层294
13.6.5终端和会话295
13.6.6流追踪296
13.6.7输入/输出数据流量图296
13.6.8导出对象297
13.6.9添加自定义字段298
13.6.10配置协议解析选项299
13.6.11捕获和显示过滤器300
13.7数据包过滤301
13.7.1伯克利数据包过滤器301
13.7.2Wireshark显示过滤器304
13.8本章小结307
4章我方情报与威胁情报308
14.1适用于NSM的情报过程308
14.1.1明确需求309
14.1.2制定规划309
14.1.3情报搜集310
14.1.4情报处理310
14.1.5情报分析311
14.1.6情报传播311
14.2生成我方情报311
14.2.1网络资产的病历和体格311
14.2.2定义网络资产模型312
14.2.3被动实时资产检测系统(PRADS)315
14.3生成威胁情报320
14.3.1调查敌方主机322
14.3.2调查敌方文件328
14.4本章小结333
5章分析流程334
15.1分析方法334
15.1.1关联调查335
15.1.2鉴别诊断340
15.1.3分析方法的执行346
15.2关于分析的实践346
15.2.1不是自己制造的数据包,就不能保证完全正确346
15.2.2留心你得到的数据处理结果346
15.2.3三人行必有我师347
15.2.4永远不要招惹攻击者347
15.2.5数据包,性本善348
15.2.6分析不只靠Wireshark,就像天文学不只靠望远镜348
15.2.7分类是你的朋友348
15.2.810分钟原则349
15.2.9不要把简单问题复杂化349
15.3并发症和死亡率350
15.3.1医疗M&M350
15.3.2信息安全M&M351
15.4本章小结354
附录1SecurityOnion控制脚本355
附录2重要SecurityOnion文件和目录360
附录3数据包头362
附录4十制/十六制/ASCII码转换表367
作者介绍
作者简介
克里斯 · 桑德斯(Chris Sanders),是美国InGuardians的高级安全分析师,参与过、军队以及财富500强企业的多种网络安全防御工作,实战经验丰富。在美国的工作中,他有效地发挥了计算机网络防御提供商(DSP)模型的作用,协助创建了多个NSM模型以及智能化工具。他曾撰写多本书籍和多篇学术文章,其中包括国际书《Practical Packet Analysis》。他拥有多项业界证书,包括 SANS、GSE以及CISSP。
杰森 · 史密斯(Jason Smith),是Mandiant安全工程师、安全分析师,参与过州和国家机构的信息安全防御基础设施建设。他拥有多项业界证书,包括 SANS、GCIA以及GCFA。
译者简介
柏松,信息安全公司安天实验室副工程师,现任安天安全研究与应急处理中心主任。他曾在逆向工程、虚拟机技术方面行大量探索性研究,是安天主线产品AVL SDK反病引擎的核心技术实现者之一,先后主持或参与多项相关科研项目,申请了多项技术专利。
燕宏,华为高级安全分析师,海外安全团队负责人,资深SOC安全运营专家。他曾任职于腾讯、盛大等互联网公司,先后主持或参与过多个企业的SOC平台建设与运营管理。他致力于SOC安全运营领域的研究,主要研究兴趣包括威胁情报分析、NSM技术、安全运营流程以及安全大数据分析与可视化等。
序言
暂无相关内容
