数据驱动的网络分析
Michael Collins
姚军 译
出版时间:2015年01月
页数:266
“本书全面介绍了充分利用各种可用工具,将收集的数据集合成为可操作信息的过程。不同层次的网络分析人员都会从Michael讲解的分析技术中受益匪浅。”
——André DiMino,资深网络安全工程师,乔治?华盛顿大学
“令人吃惊的是,一个成熟的行业仍然苦于缺乏介绍网络分析和取证的书籍。Collins先生的著作是安全分析这一重要领域中的指路明灯。”
——Rabbi Rob Thomas,CEO,Team Cymru

传统的入侵检测和日志文件分析已经不再足以保护当今的复杂网络。在本书中,安全研究人员Michael Collins展示了多种收集和分析网络流量数据集的技术和工具。你将从中理解网络的使用方式,以及保护和改进它所必需的行动。
本书分为3个部分,讲解了收集和组织数据的过程、各种分析工具和多种不同的分析场景和技术。对于熟悉脚本的网络管理员和运营安全分析人员来说,本书是他们的理想读物。
· 探索捕捉安全数据的网络、主机和服务传感器;
· 使用关系数据库、图解数据库、Redis和Hadoop存储数据流量;
· 使用SiLK、R语言和其他工具进行分析和可视化;
· 通过探索性数据分析检测不寻常的现象;
· 用图解分析识别网络中的重要结构;
· 确定网络中穿越服务端口的流量;
· 检查通信量和行为,以发现DDoS和数据库攫取;
· 获得网络映射和库存盘点的详细过程。
  1. 第1部分 数据
  2. 第1章 传感器和探测器简介
  3. 1.1 观察点:传感器的位置对数据采集的影响
  4. 1.2 领域:确定可以采集的数据
  5. 1.3 操作:传感器对数据所做的处理
  6. 1.4 小结
  7. 第2章 网络传感器
  8. 2.1 网络分层及其对测量的影响
  9. 2.1.1 网络层次和观察点
  10. 2.1.2 网络层次和编址
  11. 2.2 封包数据
  12. 2.2.1 封包和帧格式
  13. 2.2.2 滚动缓存
  14. 2.2.3 限制每个封包中捕捉的数据
  15. 2.2.4 过滤特定类型封包
  16. 2.2.5 如果不是以太网怎么办
  17. 2.3 NetFlow
  18. 2.3.1 NetFlow v5格式和字段
  19. 2.3.2 NetFlow生成和采集
  20. 第3章 主机和服务传感器:在源上的流量日志
  21. 3.1 访问和操纵日志文件
  22. 3.2 日志文件的内容
  23. 3.2.1 优秀日志消息的特性
  24. 3.2.2 现有日志文件以及处理方法
  25. 3.3 有代表性的日志文件格式
  26. 3.3.1 HTTP:CLF和ELF
  27. 3.3.2 SMTP
  28. 3.3.3 Microsoft Exchange:邮件跟踪日志
  29. 3.4 日志文件传输:转移、Syslog和消息队列
  30. 3.4.1 转移和日志文件留存
  31. 3.4.2 syslog
  32. 第4章 用于分析的数据存储:关系数据库、大数据和其他选项
  33. 4.1 日志数据和CRUD范式
  34. 4.2 NoSQL系统简介
  35. 4.3 使用何种存储方法
  36. 第2部分 工具
  37. 第5章 SiLK套件
  38. 5.1 SiLK的概念和工作原理
  39. 5.2 获取和安装SiLK
  40. 5.3 选择和格式化输出字段操作:rwcut
  41. 5.4 基本字段操纵:rwfilter
  42. 5.4.1 端口和协议
  43. 5.4.2 大小
  44. 5.4.3 IP地址
  45. 5.4.4 时间
  46. 5.4.5 TCP选项
  47. 5.4.6 助手选项
  48. 5.4.7 杂项过滤选项和一些技巧
  49. 5.5 rwfileinfo及出处
  50. 5.6 合并信息流:rwcount
  51. 5.7 rwset和IP集
  52. 5.8 rwuniq
  53. 5.9 rwbag
  54. 5.10 SiLK高级机制
  55. 5.11 采集SiLK数据
  56. 5.11.1 YAF
  57. 5.11.2 rwptoflow
  58. 5.11.3 rwtuc
  59. 第6章 R安全分析简介
  60. 6.1 安装与设置
  61. 6.2 R语言基础知识
  62. 6.2.1 R提示符
  63. 6.2.2 R变量
  64. 6.2.3 编写函数
  65. 6.2.4 条件与循环
  66. 6.3 使用R工作区
  67. 6.4 数据帧
  68. 6.5 可视化
  69. 6.5.1 可视化命令
  70. 6.5.2 可视化参数
  71. 6.5.3 可视化注解
  72. 6.5.4 导出可视化
  73. 6.6 分析:统计假设检验
  74. 6.6.1 假设检验
  75. 6.6.2 检验数据
  76. 第7章 分类和事件工具:IDS、AV和SEM
  77. 7.1 IDS的工作原理
  78. 7.1.1 基本词汇
  79. 7.1.2 分类器失效率:理解“基率谬误”
  80. 7.1.3 应用分类
  81. 7.2 提高IDS性能
  82. 7.2.1 改进IDS检测
  83. 7.2.2 改进IDS响应
  84. 7.2.3 预取数据
  85. 第8章 参考和查找:了解“某人是谁”的工具
  86. 8.1 MAC和硬件地址
  87. 8.2 IP编址
  88. 8.2.1 IPv4地址、结构和重要地址
  89. 8.2.2 IPv6地址、结构和重要地址
  90. 8.2.3 检查连接性:使用ping连接到某个地址
  91. 8.2.4 路由跟踪
  92. 8.2.5 IP信息:地理位置和人口统计学特征
  93. 8.3 DNS
  94. 8.3.1 DNS名称结构
  95. 8.3.2 用dig转发DNS查询
  96. 8.3.3 DNS反向查找
  97. 8.3.4 使用whois查找所有者
  98. 8.4 其他参考工具
  99. 第9章 其他工具
  100. 9.1 可视化
  101. 9.2 通信和探查
  102. 9.2.1 netcat
  103. 9.2.2 nmap
  104. 9.2.3 Scapy
  105. 9.3 封包检查和参考
  106. 9.3.1 Wireshark
  107. 9.3.2 GeoIP
  108. 9.3.3 NVD、恶意软件网站和C*E
  109. 9.3.4 搜索引擎、邮件列表和人
  110. 第3部分 分 析
  111. 第10章 探索性数据分析和可视化
  112. 10.1 EDA的目标:应用分析
  113. 10.2 EDA工作流程
  114. 10.3 变量和可视化
  115. 10.4 单变量可视化:直方图、QQ图、箱线图和等级图
  116. 10.3.1 直方图
  117. 10.3.2 柱状图(不是饼图)
  118. 10.3.3 分位数-分位数(Quantile-Quantile ,QQ)图
  119. 10.3.4 五数概括法和箱线图
  120. 10.3.5 生成箱线图
  121. 10.5 双变量描述
  122. 10.5.1 散点图
  123. 10.5.2 列联表
  124. 10.6 多变量可视化
  125. 第11章 摸索
  126. 11.1 攻击模式
  127. 11.2 摸索:错误的配置、自动化和扫描
  128. 11.2.1 查找失败
  129. 11.2.2 自动化
  130. 11.2.3 扫描
  131. 11.3 识别摸索行为
  132. 11.3.1 TCP摸索:状态机
  133. 11.3.2 ICMP消息和摸索
  134. 11.3.3 识别UDP摸索
  135. 11.4 服务级摸索
  136. 11.4.1 HTTP摸索
  137. 11.4.2 SMTP摸索
  138. 11.5 摸索分析
  139. 11.5.1 构建摸索警报
  140. 11.5.2 摸索行为的取证分析
  141. 11.5.3 设计一个网络来利用摸索
  142. 第12章 通信量和时间分析
  143. 12.1 工作日对网络通信量的影响
  144. 12.2 信标
  145. 12.3 文件传输/攫取
  146. 12.4 局部性
  147. 12.4.1 DDoS、突发拥塞和资源耗尽
  148. 12.4.2 DDoS和路由基础架构
  149. 12.5 应用通信量和局部性分析
  150. 12.5.1 数据选择
  151. 12.5.2 将通信量作为警报
  152. 12.5.3 将信标作为警报
  153. 12.5.4 将局部性作为警报
  154. 12.5.5 工程解决方案
  155. 第13章 图解分析
  156. 13.1 图的属性:什么是图
  157. 13.2 标签、权重和路径
  158. 13.3 分量和连通性
  159. 13.4 聚类系数
  160. 13.5 图的分析
  161. 13.5.1 将分量分析作为警报
  162. 13.5.2 将集中度分析用于取证
  163. 13.5.3 广度优先搜索的取证使用
  164. 13.5.4 将集中度分析用于工程
  165. 第14章 应用程序识别
  166. 14.1 应用程序识别机制
  167. 14.1.1 端口号
  168. 14.1.2 通过标志抓取识别应用程序
  169. 14.1.3 通过行为识别应用程序
  170. 14.1.4 通过附属网站识别应用程序
  171. 14.2 应用程序标志:识别和分类
  172. 14.2.1 非Web标志
  173. 14.2.2 Web客户端标志:User-Agent字符串
  174. 第15章 网络映射
  175. 15.1 创建一个初始网络库存清单和映射
  176. 15.1.1 创建库存清单:数据、覆盖范围和文件
  177. 15.1.2 第1阶段:前3个问题
  178. 15.1.3 第2阶段:检查IP空间
  179. 15.1.4 第3阶段:识别盲目和难以理解的流量
  180. 15.1.5 第4阶段:识别客户端和服务器
  181. 15.2 更新库存清单:走向连续审计
书名:数据驱动的网络分析
作者:Michael Collins
译者:姚军 译
国内出版社:人民邮电出版社
出版时间:2015年01月
页数:266
书号:978-7-115-37671-8
原版书书名:Network Security Through Data Analysis
原版书出版商:O'Reilly Media
Michael Collins
 
Michael Collins是RedJack公司的首席科学家,该公司是位于华盛顿特区的一家网络安全和数据分析公司。Michael的主要研究方向是网络仪表和流量分析,特别是大流量数据集的分析。