本书由多位国际信息安全技术专家亲力打造,是系统化建立网络安全监控体系的重要参考,是由菜鸟到NSM分析员的必备参考书。不仅提供了入门基础,并通过多个完整的真实案例阐述了网络安全监控的关键理念与实践。本书第1章概述了网络安全监控以及现代网络安全环境,讨论了整本书将会用到的基本概念。然后分为收集、检测和分析三大部分来阐述网络安全监控的实践。及时部分“收集”包括第2~6章,介绍收集什么数据以及如何收集数据,传感器的类型、作用、部署、工具集,全包捕获数据的重要性、工具,数据存储和保存计划,包串数据的生成、解析和查看等。第二部分“检测”包括第7~12章,介绍检测机制、受害信标与特征,基于信誉度的检测方法以及一些分析设备信誉度的资源,使用Snort和Suricata进行基于特征的检测,Bro平台,基于异常的检测与统计数据,使用金丝雀蜜罐进行检测的方法等。第三部分“分析”包括第13~15章,介绍作为NSM分析师最重要的技能,我方情报与威胁情报的建立与分析,整体数据分析的过程以及分析实例。
作者简介 About the AuthorChris Sanders,及时作者Chris Sanders 最初是肯塔基州Mayfield的一名信息安全顾问、作家和研究员。那个无名小镇距离一个叫Possum Trot的小镇西南方向30英里,距离一条叫Monkey’s Eyebrow的公路东南方向40英里,刚好位于道路的拐弯处。
Chris 是InGuardians的高级安全分析师。他有支持多个政府、军事机构以及财富500强企业的丰富经验。在美国国防部的众多角色中,他有效地促进了计算机网络防御服务提供商(CNDSP)模型的角色作用,协助创建了多种NSM模型以及多款目前在用智能化工具,以保卫国家的利益不受侵害。
Chris 曾撰写了多本书籍和学术文章,其中包括国际畅销书《Practical Packet Analysis》,目前已了第2版。Chris 目前拥有多项业界认证,包括 SANS、GSE以及CISSP。
2008年,Chris 创立农村科技基金(RTF)。RTF是一个501(c)(3)非营利组织,为来自农村地区攻读计算机技术学位的学生提供奖学金机会。该组织还通过各种支持计划促进了技术在农村地区的宣传。RTF目前已为农村学生提供成千上万美元的奖学金和帮助支持。
当Chris不埋头于数据包分析的时候,他喜欢观看肯塔基大学野猫篮球队的比赛,擅长BBQ(美国真人秀节目),业余无人机制作爱好者,在海滩上消磨时光。Chris目前与他的妻子Ellen居住在南卡罗来纳州的Charleston。
Chris的博客地址为www.appliednsm.com 和 www.chrissanders.org。他的推特账号为 @chrissanders88。
Jason Smith,合著者Jason Smith 白天是一名入侵检测分析师,晚上则是一名垃圾场工程师。起初来自于肯塔基州的Bowling Green,作为一名有潜质的物理学家,Jason以大数据挖掘和有限元分析为切入点开始他的职业生涯。偶然的运气,对数据挖掘的热爱将他引向了信息安全和网络安全监控,一个让他痴迷于数据处理和自动化的领域。
Jason有很长一段时间都在帮助州和联邦机构强化他们的防御功能,现在在Mandiant担任安全工程师。在部分开发工作中,他创建了诸多开源项目,很多已成为DISA CNDSP计划的实践工具。
Jason经常在车库里度过周末,从街机柜到开轮式赛车,他都可以建造。其他爱好诸如家居自动化、枪械、大富翁游戏、吉他以及美食。Jason对美国乡村有着深沉的爱,热衷于驾驶,同时对学习有着孜孜不倦的欲望。Jason现在生活在肯塔基州的Framkfort。
Jason的博客地址为 www.appliednsm.com。他的推特账号为 @automayt。
David J. Bianco,贡献者David在Mandiant担任一名狩猎团队领导之前,花了5年的时间为一个财富500强企业建设了一套智能驱动的检测响应系统。在那里,他为一个部署了近600个NSM传感器覆盖超过160个国家的网络设置了检测策略,主导响应了一些国家遭受到的最严重的针对式攻击事件。他在安全社区、博客、演讲和写作上持续活跃着。
他经常在家看《Doctor Who》节目,或演奏他的四套风笛,或与孩子们一起玩耍。他还喜欢在除了海滩之外的任何地方长走。
David的博客地址为 detect-respond.blogspot.com。他的推特账号为 @DavidJBianco。
Liam Randall,贡献者Liam Randall 是旧金山Broala LLC(Bro核心团队专家组)的首席合伙人。最初,他来自于肯塔基州的Louisville,在Xavier大学以系统管理员角色为学校工作,同时也获得了学校的计算机科学学士学位。在那里,他及时次开始了设备驱动安全编程和基于XFS的自动柜员机软件研发。
目前他正为财富500强企业、研究机构和教育网络、军队服务分支、其他安全焦点小组提供高容量安全解决方案咨询。他曾在Shmoocon、Derbycon和MIRcon等会议做过演讲,并经常在安全事件上做Bro训练班的培训。
作为一名丈夫和父亲,Liam在周末时做发酵酒,在他的花园里工作,修理小工具,或制作奶酪。作为一名户外运动爱好者,他和他的妻子喜欢铁人三项,长距离游泳,享受他们的社区活动。
Liam的博客地址为 liamrandall.com/。他的推特账号为 @Hectaman。
Contents 目 录
译者序
作者简介
序 言
前 言
第1章 网络安全监控应用实践 1
1.1 关键NSM术语 2
1.1.1 资产 2
1.1.2 威胁 2
1.1.3 漏洞 3
1.1.4 利用 3
1.1.5 风险 3
1.1.6 异常 3
1.1.7 事故 3
1.2 入侵检测 4
1.3 网络安全监控 4
1.4 以漏洞为中心vs以威胁为中心 7
1.5 NSM周期:收集、检测和分析 7
1.5.1 收集 7
1.5.2 检测 8
1.5.3 分析 8
1.6 NSM的挑战 9
1.7 定义分析师 9
1.7.1 关键技能 10
1.7.2 分类分析师 11
1.7.3 成功措施 12
1.8 Security Onion 15
1.8.1 初始化安装 15
1.8.2 更新Security Onion 16
1.8.3 执行NSM服务安装 16
1.8.4 测试Security Onion 17
1.9 本章小结 19
及时部分 收集
第2章 数据收集计划 22
2.1 应用收集框架 22
2.1.1 威胁定义 23
2.1.2 量化风险 24
2.1.3 识别数据源 25
2.1.4 焦点缩小 26
2.2 案例:网上零售商 28
2.2.1 识别组织威胁 28
2.2.2 量化风险 29
2.2.3 识别数据源 30
2.2.4 焦点缩小 33
2.3 本章小结 35
第3章 传感器平台 36
3.1 NSM数据类型 37
3.1.1 全包捕获数据 37
3.1.2 会话数据 37
3.1.3 统计数据 37
3.1.4 包字符串数据 37
3.1.5 日志数据 38
3.1.6 告警数据 38
3.2 传感器类型 39
3.2.1 仅收集 39
3.2.2 半周期 39
3.2.3 全周期检测 39
3.3 传感器硬件 40
3.3.1 CPU 41
3.3.2 内存 42
3.3.3 磁盘存储空间 42
3.3.4 网络接口 44
3.3.5 负载平衡:套接字缓冲区的
要求 45
3.3.6 SPAN端口 vs 网络分流器 46
3.4 传感器高级操作系统 50
3.5 传感器的安置 50
3.5.1 利用适当的资源 50
3.5.2 网络入口/出口点 50
3.5.3 内部IP地址的可视性 51
3.5.4 靠近关键资产 54
3.5.5 创建传感器可视化视图 55
3.6 加固传感器 57
3.6.1 操作系统和软件更新 57
3.6.2 操作系统加固 57
3.6.3 限制上网 57
3.6.4 最小化软件安装 58
3.6.5 VLAN分割 58
3.6.6 基于主机的IDS 58
3.6.7 双因素身份验证 58
3.6.8 基于网络的IDS 59
3.7 本章小结 59
第4章 会话数据 60
4.1 流量记录 61
4.1.1 NetFlow 63
4.1.2 IPFIX 64
4.1.3 其他流类型 64
4.2 收集会话数据 64
4.2.1 硬件生成 65
4.2.2 软件生成 65
4.3 使用SiLK收集和分析流数据 66
4.3.1 SiLK包工具集 66
4.3.2 SiLK流类型 68
4.3.3 SiLK分析工具集 68
4.3.4 在Security Onin里安装SiLK 69
4.3.5 使用Rwfilter过滤流数据 69
4.3.6 在Rwtools之间使用数据管道 70
4.3.7 其他SiLK资源 73
4.4 使用Argus收集和分析流数据 73
4.4.1 解决框架 74
4.4.2 特性 74
4.4.3 基础数据检索 75
4.4.4 其他Argus资源 76
4.5 会话数据的存储考虑 76
4.6 本章小结 78
第5章 全包捕获数据 79
5.1 Dumpcap 80
5.2 Daemonlogger 81
5.3 Netsniff-NG 83
5.4 选择合适的FPC收集工具 84
5.5 FPC收集计划 84
5.5.1 存储考虑 85
5.5.2 使用Netsniff-NG和IFPPS
计算传感器接口吞吐量 86
5.5.3 使用会话数据计算传感器接口吞吐量 87
5.6 减少FPC数据存储预算 88
5.6.1 过滤服务 88
5.6.2 过滤主机到主机的通信 90
5.7 管理FPC数据存储周期 91
5.7.1 基于时间的存储管理 92
5.7.2 基于大小的存储管理 92
5.8 本章小结 96
第6章 包字符串数据 97
6.1 定义包字符串数据 97
6.2 PSTR数据收集 99
6.2.1 手动生成PSTR数据 100
6.2.2 URLSnarf 101
6.2.3 Httpry 102
6.2.4 Justniffer 104
6.3 查看PSTR数据 107
6.3.1 Logstash 107
6.3.2 使用BASH工具解析
原始文本 114
6.4 本章小结 116
第二部分 检测
第7章 检测机制、受害信标与特征 118
7.1 检测机制 118
7.2 受害信标和特征 119
7.2.1 主机信标和网络信标 120
7.2.2 静态信标 120
7.2.3 可变信标 123
7.2.4 信标与特征的进化 124
7.2.5 特征调优 125
7.2.6 信标和特征的关键标准 127
7.3 信标和特征的管理 128
7.4 信标与特征框架 133
7.4.1 OpenIOC 134
7.4.2 STIX 135
7.5 本章小结 137
第8章 基于信誉度的检测 138
8.1 公开信誉度列表 138
8.1.1 常用公开信誉度列表 139
8.1.2 使用公共信誉度列表的常见问题 143
8.2 基于信誉度的自动化检测 145
8.2.1 使用BASH脚本实现手动检索与检测 145
8.2.2 集中智能框架 150
8.2.3 Snort 的IP信誉度检测 153
8.2.4 Suricata 的IP信誉度检测 154
8.2.5 Bro的信誉度检测 156
8.3 本章小结 159
第9章 基于 Snort和Suricata特征检测 160
9.1 Snort 161
9.2 SURICATA 163
9.3 在 Security Onion 系统中改变 IDS 引擎 165
9.4 初始化Snort 和 Suricata实现入侵检测 165
9.5 Snort 和 Suricata 的配置 168
9.5.1 变量 168
9.5.2 IP变量 168
9.5.3 定义规则集 171
9.5.4 警报输出 176
9.5.5 Snort 预处理器 178
9.5.6 NIDS模式命令行附加参数 179
9.6 IDS规则 181
9.6.1 规则解析 181
9.6.2 规则调优 195
9.7 查看 Snort和Suricata警报 201
9.7.1 Snorby 201
9.7.2 Sguil 202
9.8 本章小结 202
第10章 Bro平台 203
10.1 Bro基本概念 203
10.2 Bro的执行 205
10.3 Bro 日志 205
10.4 使用Bro定制开发检测工具 209
10.4.1 文件分割 209
10.4.2 选择性提取文件 211
10.4.3 从网络流量中实时提取文件 213
10.4.4 打包Bro程序 215
10.4.5 加入配置选项 216
10.4.6 使用Bro监控敌方 218
10.4.7 暗网检测脚本的扩展 224
10.4.8 重载默认的通知处理 224
10.4.9 屏蔽,邮件,警报——举手之劳 227
10.4.10 为Bro日志添加新字段 228
10.5 本章小结 231
第11章 基于统计数据异常的检测 232
11.1 通过SiLK获得流量排名 232
11.2 通过SiLK发现服务 236
11.3 使用统计结果实现深度检测 240
11.4 使用Gnuplot实现统计数据的可视化 242
11.5 使用Google图表实现统计数据的可视化 245
11.6 使用Afterglow实现统计数据的可视化 249
11.7 本章小结 254
第12章 使用金丝雀蜜罐进行检测 255
12.1 金丝雀蜜罐 255
12.2 蜜罐类型 256
12.3 金丝雀蜜罐架构 257
12.3.1 及时阶段:确定待模拟的设备和服务 257
12.3.2 第二阶段:确定金丝雀蜜罐安放位置 258
12.3.3 第三阶段:建立警报和日志记录 259
12.4 蜜罐平台 260
12.4.1 Honeyd 260
12.4.2 Kippo SSH 蜜罐 264
12.4.3 Tom’s Honeypot 267
12.4.4 蜜罐文档 269
12.5 本章小结 272
第三部分 分析
第13章 数据包分析 274
13.1 走近数据包 274
13.2 数据包数学知识 276
13.2.1 以十六进制方式理解字节 276
13.2.2 十六进制转换为二进制和十进制 277
13.2.3 字节的计数 278
13.3 数据包分解 280
13.4 用于NSM分析的 cpdump 工具 283
13.5 用于数据包分析的Tshark工具 287
13.6 用于NSM分析的Wireshark工具 291
13.6.1 捕获数据包 291
13.6.2 改变时间显示格式 293
13.6.3 捕获概要 293
13.6.4 协议分层 294
13.6.5 终端和会话 295
13.6.6 流追踪 296
13.6.7 输入/输出数据流量图 296
13.6.8 导出对象 297
13.6.9 添加自定义字段 298
13.6.10 配置协议解析选项 299
13.6.11 捕获和显示过滤器 300
13.7 数据包过滤 301
13.7.1 伯克利数据包过滤器 301
13.7.2 Wireshark显示过滤器 304
13.8 本章小结 307
第14章 我方情报与威胁情报 308
14.1 适用于NSM的情报过程 308
14.1.1 明确需求 309
14.1.2 制定规划 309
14.1.3 情报搜集 310
14.1.4 情报处理 310
14.1.5 情报分析 311
14.1.6 情报传播 311
14.2 生成我方情报 311
14.2.1 网络资产的病历和体格 311
14.2.2 定义网络资产模型 312
14.2.3 被动实时资产检测系统(PRADS) 315
14.3 生成威胁情报 320
14.3.1 调查敌方主机 322
14.3.2 调查敌方文件 328
14.4 本章小结 333
第15章 分析流程 334
15.1 分析方法 334
15.1.1 关联调查 335
15.1.2 鉴别诊断 340
15.1.3 分析方法的执行 346
15.2 关于分析的实践 346
15.2.1 不是自己制造的数据包,就不能保障正确 346
15.2.2 留心你得到的数据处理结果 346
15.2.3 三人行必有我师 347
15.2.4 永远不要招惹攻击者 347
15.2.5 数据包,性本善 348
15.2.6 分析不只靠Wireshark,就像天文学不只靠望远镜 348
15.2.7 分类是你的朋友 348
15.2.8 10分钟原则 349
15.2.9 不要把简单问题复杂化 349
15.3 事件并发症和死亡率 350
15.3.1 医疗M&M 350
15.3.2 信息安全M&M 351
15.4 本章小结 354
附录1 Security Onion 控制脚本 355
附录2 重要Security Onion文件和目录 360
附录3 数据包头 362
附录4 十进制/十六进制/ASCII码转换表 367
不错,技术类的书就是要不断更新。
hao shu
当当有活动的时候,往往都刺激我的购买欲,呵呵,每次都趁机给孩子和自己买很多书,让阅读成为习惯,让阅读成为悦读,有当当伴随孩子的成长,我很满意- -
不错,值得看看。!!!!!!!。。。。。。。
好
这是一件非常好的商品, 质量很好,推荐给大家,从订货到物流服务都非常好,向大家推荐,感谢当当
非常棒的书
好书推荐值得购买
书的质量没话说。。。这个系列的书都很好