网络安全监控：收集、检测和分析 pdf epub mobi txt 电子书 下载 2025

简体网页||繁体网页

☆☆☆☆☆

[美] Chris，Sanders，Jason，Smith 著，李燕宏 译

图书标签:

• 网络安全
• 安全监控
• 数据分析
• 威胁检测
• 日志分析
• 入侵检测
• 安全事件响应
• SIEM
• 网络安全防御
• 安全运营

出版社： 机械工业出版社

ISBN：9787111520092

版次：1

商品编码：11829751

品牌：机工出版

包装：平装

丛书名： 信息安全技术丛书

开本：16开

出版时间：2015-12-01

用纸：胶版纸

页数：366

正文语种：中文

编辑推荐

　　

　　国际信息安全技术专家亲力打造，是系统化建立网络安全监控体系的重要参考

　　既详细讲解网络安全监控的相关工具和技术，又通过多个完整的真实案例阐述了网络安全监控的关键理念与实践，是由菜鸟到NSM分析师的必备参考书

内容简介

　　

　　《网络安全监控：收集、检测和分析》由多位国际信息安全技术专家亲力打造，是系统化建立网络安全监控体系的重要参考，书中不仅详细介绍了网络安全监控的相关工具和技术，还通过多个完整的真实案例阐述了网络安全监控的关键理念与实践，是由菜鸟到NSM分析师的必备参考。

　　全书分为三部分，共15章。第1章概述网络安全监控以及现代网络安全环境，讨论整本书将会用到的基本概念。第一部分（第2～6章）介绍数据收集，包括收集什么数据以及如何收集数据，传感器的类型、作用、部署、工具集，全包捕获数据的重要性和工具，数据存储和保存计划，包串数据的生成、解析和查看等。第二部分（第7～12章）详细介绍检测机制基础、受害信标与特征，以及几种借助信标与特征的检测机制的实际应用，涉及基于信誉度的检测方法、使用Snort和Suricata 进行基于特征的检测、Bro平台、基于异常的检测与统计数据、使用金丝雀蜜罐进行检测的方法等。第三部分（第13～15章）详细讲解数据包分析的相关知识、我方情报与威胁情报的建立与分析、整体的分析过程，并介绍一些分析实践。

　　网络安全监控是建立在“防不胜防”的基础上的。在当前的威胁环境之下，不论你如何努力，目的明确的攻击者总能找到破绽渗透进入你的网络环境。届时，你将面对的是一个小插曲还是一场大灾难，取决于你对于入侵事件的检测与响应能力。

　　本书围绕NSM（网络安全监控）的采集、检测和分析三个阶段展开，由多位NSM资深专家亲力打造，给出了NSM的系统化概念与实践，有些知识可以直接派上用场。如果你刚开始NSM分析工作，本书能帮助你掌握成为真正的分析师所需的核心概念；如果你已经扮演着分析师的角色，本书可帮你汲取分析技巧，提高分析效果。

　　面对当前复杂的网络环境，每个人都可能放松警惕、盲目片面，有时还会在阻止攻击者的网络战斗中败下阵来。本书会为你装备好正确的工具，让这些工具帮助你采集所需数据、检测恶意行为，并通过分析理解入侵的性质。单纯的防御措施终将失败，而NSM却不会。

　　本书主要内容：

　　探讨部署、执行NSM数据采集策略的恰当方法。

　　提供包括Snort、Suricata、Bro-IDS、SiLK、PRADS及更多工具在内的实战演练。

　　明确提出适用于以结构化和体系化方法进行NSM的综合分析框架。

　　内含Security Onion Linux的多个应用实例。

　　配套网站包括作者关于NSM新进展的实时更新博客，全面补充了书中材料。

作者简介

　　作者简介

　　克里斯 · 桑德斯（Chris Sanders），是美国InGuardians的高级安全分析师，参与过政府、军队以及财富500强企业的多种网络安全防御工作，实战经验丰富。在美国国防部的工作中，他有效地发挥了计算机网络防御服务提供商（CNDSP）模型的作用，协助创建了多个NSM模型以及智能化工具。他曾撰写多本书籍和多篇学术文章，其中包括国际畅销书《Practical Packet Analysis》。他拥有多项业界证书，包括 SANS、GSE以及CISSP。

　　杰森 · 史密斯（Jason Smith），是Mandiant安全工程师、安全分析师，参与过州和国家机构的信息安全防御基础设施建设。他拥有多项业界证书，包括 SANS、GCIA以及GCFA。

　　译者简介

　　李柏松，著名信息安全公司安天实验室副总工程师，现任安天安全研究与应急处理中心主任。他曾在逆向工程、虚拟机技术方面进行大量探索性研究，是安天主线产品AVL SDK反病毒引擎的核心技术实现者之一，先后主持或参与多项相关科研项目，申请了多项技术专利。

　　李燕宏，华为高级安全分析师，海外安全服务团队负责人，资深SOC安全运营专家。他曾任职于腾讯、盛大等互联网公司，先后主持或参与过多个大型企业的SOC平台建设与运营管理。他致力于SOC安全运营领域的研究，主要研究兴趣包括威胁情报分析、NSM技术、安全运营流程以及安全大数据分析与可视化等。

目录

译者序

作者简介

序　言

前　言

第1章　网络安全监控应用实践 1

1.1　关键NSM术语 2

1.1.1　资产 2

1.1.2　威胁 2

1.1.3　漏洞 3

1.1.4　利用 3

1.1.5　风险 3

1.1.6　异常 3

1.1.7　事故 3

1.2　入侵检测 4

1.3　网络安全监控 4

1.4　以漏洞为中心vs以威胁为中心 7

1.5　NSM周期：收集、检测和分析 7

1.5.1　收集 7

1.5.2　检测 8

1.5.3　分析 8

1.6　NSM的挑战 9

1.7　定义分析师 9

1.7.1　关键技能 10

1.7.2　分类分析师 11

1.7.3　成功措施 12

1.8　Security Onion 15

1.8.1　初始化安装 15

1.8.2　更新Security Onion 16

1.8.3　执行NSM服务安装 16

1.8.4　测试Security Onion 17

1.9　本章小结 19

第一部分　收集

第2章　数据收集计划 22

2.1　应用收集框架 22

2.1.1　威胁定义 23

2.1.2　量化风险 24

2.1.3　识别数据源 25

2.1.4　焦点缩小 26

2.2　案例：网上零售商 28

2.2.1　识别组织威胁 28

2.2.2　量化风险 29

2.2.3　识别数据源 30

2.2.4　焦点缩小 33

2.3　本章小结 35

第3章　传感器平台 36

3.1　NSM数据类型 37

3.1.1　全包捕获数据 37

3.1.2　会话数据 37

3.1.3　统计数据 37

3.1.4　包字符串数据 37

3.1.5　日志数据 38

3.1.6　告警数据 38

3.2　传感器类型 39

3.2.1　仅收集 39

3.2.2　半周期 39

3.2.3　全周期检测 39

3.3　传感器硬件 40

3.3.1　CPU 41

3.3.2　内存 42

3.3.3　磁盘存储空间 42

3.3.4　网络接口 44

3.3.5　负载平衡：套接字缓冲区的

要求 45

3.3.6　SPAN端口 vs 网络分流器 46

3.4　传感器高级操作系统 50

3.5　传感器的安置 50

3.5.1　利用适当的资源 50

3.5.2　网络入口/出口点 50

3.5.3　内部IP地址的可视性 51

3.5.4　靠近关键资产 54

3.5.5　创建传感器可视化视图 55

3.6　加固传感器 57

3.6.1　操作系统和软件更新 57

3.6.2　操作系统加固 57

3.6.3　限制上网 57

3.6.4　小化软件安装 58

3.6.5　VLAN分割 58

3.6.6　基于主机的IDS 58

3.6.7　双因素身份验证 58

3.6.8　基于网络的IDS 59

3.7　本章小结 59

第4章　会话数据 60

4.1　流量记录 61

4.1.1　NetFlow 63

4.1.2　IPFIX 64

4.1.3　其他流类型 64

4.2　收集会话数据 64

4.2.1　硬件生成 65

4.2.2　软件生成 65

4.3　使用SiLK收集和分析流数据 66

4.3.1　SiLK包工具集 66

4.3.2　SiLK流类型 68

4.3.3　SiLK分析工具集 68

4.3.4　在Security Onin里安装SiLK 69

4.3.5　使用Rwfilter过滤流数据 69

4.3.6　在Rwtools之间使用数据管道 70

4.3.7　其他SiLK资源 73

4.4　使用Argus收集和分析流数据 73

4.4.1　解决框架 74

4.4.2　特性 74

4.4.3　基础数据检索 75

4.4.4　其他Argus资源 76

4.5　会话数据的存储考虑 76

4.6　本章小结 78

第5章　全包捕获数据 79

5.1　Dumpcap 80

5.2　Daemonlogger 81

5.3　Netsniff-NG 83

5.4　选择合适的FPC收集工具 84

5.5　FPC收集计划 84

5.5.1　存储考虑 85

5.5.2　使用Netsniff-NG和IFPPS

计算传感器接口吞吐量 86

5.5.3　使用会话数据计算传感器接口吞吐量 87

5.6　减少FPC数据存储预算 88

5.6.1　过滤服务 88

5.6.2　过滤主机到主机的通信 90

5.7　管理FPC数据存储周期 91

5.7.1　基于时间的存储管理 92

5.7.2　基于大小的存储管理 92

5.8　本章小结 96

第6章　包字符串数据 97

6.1　定义包字符串数据 97

6.2　PSTR数据收集 99

6.2.1　手动生成PSTR数据 100

6.2.2　URLSnarf 101

6.2.3　Httpry 102

6.2.4　Justniffer 104

6.3　查看PSTR数据 107

6.3.1　Logstash 107

6.3.2　使用BASH工具解析

原始文本 114

6.4　本章小结 116

第二部分　检测

第7章　检测机制、受害信标与特征 118

7.1　检测机制 118

7.2　受害信标和特征 119

7.2.1　主机信标和网络信标 120

7.2.2　静态信标 120

7.2.3　可变信标 123

7.2.4　信标与特征的进化 124

7.2.5　特征调优 125

7.2.6　信标和特征的关键标准 127

7.3　信标和特征的管理 128

7.4　信标与特征框架 133

7.4.1　OpenIOC 134

7.4.2　STIX 135

7.5　本章小结 137

第8章　基于信誉度的检测 138

8.1　公开信誉度列表 138

8.1.1　常用公开信誉度列表 139

8.1.2　使用公共信誉度列表的常见问题 143

8.2　基于信誉度的自动化检测 145

8.2.1　使用BASH脚本实现手动检索与检测 145

8.2.2　集中智能框架 150

8.2.3　Snort 的IP信誉度检测 153

8.2.4　Suricata 的IP信誉度检测 154

8.2.5　Bro的信誉度检测 156

8.3　本章小结 159

第9章　基于 Snort和Suricata特征检测 160

9.1　Snort 161

9.2　SURICATA 163

9.3　在 Security Onion 系统中改变 IDS 引擎 165

9.4　初始化Snort 和 Suricata实现入侵检测 165

9.5　Snort 和 Suricata 的配置 168

9.5.1　变量 168

9.5.2　IP变量 168

9.5.3　定义规则集 171

9.5.4　警报输出 176

9.5.5　Snort 预处理器 178

9.5.6　NIDS模式命令行附加参数 179

9.6　IDS规则 181

9.6.1　规则解析 181

9.6.2　规则调优 195

9.7　查看 Snort和Suricata警报 201

9.7.1　Snorby 201

9.7.2　Sguil 202

9.8　本章小结 202

第10章　Bro平台 203

10.1　Bro基本概念 203

10.2　Bro的执行 205

10.3　Bro 日志 205

10.4　使用Bro定制开发检测工具 209

10.4.1　文件分割 209

10.4.2　选择性提取文件 211

10.4.3　从网络流量中实时提取文件 213

10.4.4　打包Bro程序 215

10.4.5　加入配置选项 216

10.4.6　使用Bro监控敌方 218

10.4.7　暗网检测脚本的扩展 224

10.4.8　重载默认的通知处理 224

10.4.9　屏蔽，邮件，警报——举手之劳 227

10.4.10　为Bro日志添加新字段 228

10.5　本章小结 231

第11章　基于统计数据异常的检测 232

11.1　通过SiLK获得流量排名 232

11.2　通过SiLK发现服务 236

11.3　使用统计结果实现深度检测 240

11.4　使用Gnuplot实现统计数据的可视化 242

11.5　使用Google图表实现统计数据的可视化 245

11.6　使用Afterglow实现统计数据的可视化 249

11.7　本章小结 254

第12章　使用金丝雀蜜罐进行检测 255

12.1　金丝雀蜜罐 255

12.2　蜜罐类型 256

12.3　金丝雀蜜罐架构 257

12.3.1　第一阶段：确定待模拟的设备和服务 257

12.3.2　第二阶段：确定金丝雀蜜罐安放位置 258

12.3.3　第三阶段：建立警报和日志记录 259

12.4　蜜罐平台 260

12.4.1　Honeyd 260

12.4.2　Kippo SSH 蜜罐 264

12.4.3　Tom’s Honeypot 267

12.4.4　蜜罐文档 269

12.5　本章小结 272

第三部分　分析

第13章　数据包分析 274

13.1　走近数据包 274

13.2　数据包数学知识 276

13.2.1 　以十六进制方式理解字节 276

13.2.2　十六进制转换为二进制和十进制 277

13.2.3　字节的计数 278

13.3　数据包分解 280

13.4　用于NSM分析的 cpdump 工具 283

13.5　用于数据包分析的Tshark工具 287

13.6　用于NSM分析的Wireshark工具 291

13.6.1　捕获数据包 291

13.6.2　改变时间显示格式 293

13.6.3　捕获概要 293

13.6.4　协议分层 294

13.6.5　终端和会话 295

13.6.6　流追踪 296

13.6.7　输入/输出数据流量图 296

13.6.8　导出对象 297

13.6.9　添加自定义字段 298

13.6.10　配置协议解析选项 299

13.6.11　捕获和显示过滤器 300

13.7　数据包过滤 301

13.7.1　伯克利数据包过滤器 301

13.7.2　Wireshark显示过滤器 304

13.8　本章小结 307

第14章　我方情报与威胁情报 308

……

前言/序言

　　前　言我喜欢抓坏人。当我还是个小孩子的时候，就想以某些方式抓住坏人。例如，就近找一条毛巾披上作斗篷，与小伙伴们满屋子跑，玩警察抓小偷的游戏。长大后，每当看到为百姓伸张正义，让各种坏蛋得到应有的惩罚，我都特别开心。但不管我多努力去尝试，我的愤怒也无法让我变成一个绿巨人，不管我被多少蜘蛛咬了，我也无法从我的手臂里发射出蜘蛛网。我也很快意识到我并不适合做执法工作。

　　自从认识到这个现实，我意识到我没有足够的财富建一堆华丽的小工具，并身着蝙蝠衣在夜里绕飞巡逻，所以我结束了一切幻想，将我的注意力转向了我的电脑。事隔多年，我已走出了童年梦想中想活捉坏蛋的角色，那已不是我初想象的那种感觉。

　　通过网络安全监控（NSM）的实战抓住坏人，这也是本书的主旨。NSM是基于防范终失效的原则，就是说无论你在保护你的网络中投入多少时间，坏人都有可能获胜。当这种情况发生时，你必须在组织上和技术上的位置，检测到入侵者的存在并及时做出响应，使事件可以得到及时通报，并以小代价减小入侵者的破坏。

　　“我要怎样做才能在网络上发现坏人？”

　　走上NSM实践的道路通常始于这个问题。NSM的问题其实是一种实践，而这个领域的专家则是NSM的实践者。

　　科学家们通常被称作科技领域的实战者。在近的上世纪80年代，医学上认为牛奶是治疗溃疡的有效方法。随着时间的推移，科学家们发现溃疡是由幽门螺旋杆菌引起的，而奶制品实际上会进一步加剧溃疡的恶化。虽然我们愿意相信大多数科学是准确的，但有时不是这样。所有科学研究是基于当时可用的佳数据，当随着时间的推移出现新的数据时，老问题的答案就会改变，并且重新定义了过去曾经被认为是事实的结论。这是医学研究的现实，也是作为NSM从业者面对的现实。

　　遗憾的是，当我开始涉猎NSM时，关于这个话题并没有太多参考资料可用。坦白地说，现在也没有。除了行业先驱者们偶尔写的博客以及一些特定的书籍外，大多数试图学习这个领域的人都被限制在他们自己设备的范围内。我觉得这是一个合适的时机来澄清一个重要误解，以消除我先前说法的潜在疑惑。市面上有各式各样的关于TCP/IP、包分析和各种入侵检测系统（IDS）话题的书籍。尽管这些书本中提及的概念是NSM的重要方面，但它们并不构成NSM的全过程。这就好比说，一本关于扳手的书，会教你如何诊断汽车，但不会教你如何启动。

　　本书致力于阐述NSM的实践。这意味着本书并不只是简单地提供NSM的工具或个别组件的概述，而是将讲解NSM的流程以及这些工具和组件是如何应用于实践的。

　　目标读者本书终将作为执业NSM分析师的指南。我每天的职责也包括对新分析师的培训，因此本书不仅为读者提供教育素材，也为培训过程提供支持性教材。既然如此，我的期望是读者们能将本书从头到尾阅览，对成为一名优秀分析师的核心概念能有入门级的掌握。

　　如果你已经是一名执业分析师，那么我希望本书将为你打下一个良好基础，让你可以增强分析技能，提升现有的工作效率。目前我已与数名优秀分析师共事，他们将成长为伟大的分析师，因为他们可以用本书中提及的一些技术和信息去提高他们的效率。

　　NSM的有效实践需要对各类工具有一定程度的熟练运用。因此，本书将会讨论到数款工具，但仅限于从分析师的立场去讨论。当我讨论Snort IDS、SiLK分析工具集或其他工具时，那些负责安装维护这些工具的人会发现我并不会很长篇大论地讲这些过程。但在有需要的时候，我会将其他相关资源补充进来。

　　此外，本书完全专注于免费和开源工具。这不仅是为了吸引更多可能没有预算来购买诸如NetWitness、Arcsight等商业分析工具的人，也是为了展示使用基于开源分析设计的工具带来的内在优势，因为它们在数据交互的过程能够提供更高的透明度。

　　所需基础知识成功的NSM分析师在开始安全相关工作之前，通常在其他信息技术领域已经拥有丰富的经验。这是因为他们已经具备了作为一名分析师的其他重要技能，比如对系统、网络管理的理解。如果没有这样的经历，建议阅读一些书，我罗列了一份我十分喜爱的主要书籍清单，我认为这些书能够帮助读者深入了解一名分析师必备的重要技能。我已尽了大努力，让读者在不需要太多基础知识的前提下阅读本书。但如果读者感兴趣，我强烈推荐阅读部分书籍作为本书的补充。

　　《TCP/IP 详解，卷1，协议》，作者 Kevin Fall 和 Dr. Richard Stevens （Addison Wesley出版社，2011）。对TCP/IP的核心理解是让NSM更加有效的重要技能之一。早期Dr. Richard Stevens 的经典文著已经被Kevin Fall更新，增加了新的协议、标准、佳实践、IPv6、协议安全，等等。

　　《The Tao of Network Security Monitoring》，作者 Richard Bejtlich （Addison Wesley出版社，2004）。Richard Bejtlich 帮助定义了很多概念，这些概念奠定了NSM实践的基础。基于这样的事实，我在整本书中会经常引用他的书或博客的内容。尽管Richard的书已经有将近10年的历史，但书中的许多材料仍然使它成为NSM范畴内相关文案。

　　《Practical Packet Analysis》 作者 Chris Sanders（No Starch Press出版社，2010）。我不是王婆卖瓜。鉴于 Dr. Stevens 的书已为TCP/IP协议提供全面深入的阐述，这本书则是使用Wireshark作为首选工具从实践层面讨论数据包分析。我们在书中讲述如何做数据包检测，如果你之前从未看过数据包，我建议你将此书作为基础。

　　《Counter Hack Reloaded》 作者Ed Skoudis 和 Tom Lison（Prentice Hall出版社，2006）。我一直认为这本书绝对是佳常规安全书籍之一。它覆盖的范围非常广，我向任何经验级别的读者都推荐此书。如果你从未做过安全相关的工作，那么我会说《Counter Hack Reloaded》是必读的一本书。

　　本书的组织本书划分成三部分：收集、检测和分析，每章重点讨论相关的工具、技术和核心领域流程。我是一个来自肯塔基州的普通乡村男孩，所以我将尽我所能地用一种不加太多修辞的简单基调来阐述。我也将尝试引入典型的先进概念，并尽可能把它们分解成一系列可重复的步骤。正如任何书籍阐述广义概念一样，当一个概念被提出时，请记住，它并不会覆盖每一种可能的场景或边缘案例。尽管我可以举出一些案例作为一个佳实践，但本书终构建的理论是基于集体研究、经验以及合著者的观点。因此，可能会有这样的场景，你的研究、经验和观点导致你对提及的话题有不同的结论。这是完全正常的情况，这就是为什么NSM是一门实践。

　　第1章：网络安全监控应用实践　这章专门定义了网络安全监控和它在现代安全环境的相关性。它讨论了很多整本书将会用到和引用到的核心术语和假设。

　　部分：收集第2章：数据收集计划　这是ANSM收集部分的第1章，介绍了数据收集和它的重要性。本章将介绍数据收集实施框架，它使用一种基于风险的方法来决定哪些数据应该被收集。

　　第3章：传感器平台　这章介绍NSM部署中重要的硬件组成：传感器。首先，我们对NSM的各类数据类型和传感器类型做简要概述。接着，引出讨论购买和部署传感器的重要考虑因素。后我们将谈及NSM传感器在网络上的位置，包括创建网络可视化地图分析的入门。

　　第4章：会话数据　该章讨论会话数据的重要性，同时详细介绍用于收集NetFlow数据的SiLK工具集。我们还将就会话数据的收集和解析对Argus工具集进行简要分析。

　　第5章：全包捕获数据　该章开头对全包捕获数据的重要性作概述。接着分析了几款允许全包捕获PCAP数据的工具，包括Netsniff-NG、Daemonlogger和Dumpcap，引出对FPC数据存储和保存计划，包括裁剪FPC数据存储数量不同考虑因素的讨论。

　　第6章：包字符串数据　该章介绍了包字符串数据（PSTR）以及它在NSM分析过程里的有效性。我们将介绍几种生成PSTR数据的方法：使用工具Httpry和Justniffer，我们还将了解用于解析和查看PSTR数据的工具：Logstash 和Kibana。

　　第二部分：检测第7章：检测机制、受害信标与特征　该章讨论检测机制与妥协指标（IOC）之间的关系。我们介绍IOCs是如何被逻辑组织，以及它们是如何被纳入到NSM计划进行有效管理的。这里面将会包含对指标分类的系统，以及部署在各种检测机制里的，用于计算和跟踪指标精确度的度量。我们也将看到两种不同格式的IOC ：OpenIOC 和 STIX。

　　第8章：基于信誉度的检测　该章将讨论种特定类型的检测：基于信誉度的检测。我们将讨论基于信誉度检测的基本原理，以及一些分析设备信誉度的资源。此次讨论将倾向于过程自动化的解决方案，并演示了如何使用简单BASH脚本，或通过使用Snort、Suricata、CIF或Bro来完成这一过程。

　　第9章：基于Snort和Suricata特征的检测　基于特征的检测是入侵检测传统的方式。本章将介绍这种检测类型的入门，并讨论入侵检测系统Snort和Suricata的使用方法。这里面包含Snort和Suricata的用法，以及为两种平台创建IDS特征的详细讨论。

　　第10章：Bro平台　该章将介绍Bro，比较流行的基于异常的检测解决方案之一。本章将综述Bro的架构、Bro语音和几个实际案例，来演示Bro作为一款IDS和网络记录引擎真正惊人的威力。

　　第11章：基于统计数据异常的检测　该章将讨论使用统计数据进行网络异常识别。这将侧重于使用各种NetFlow工具，如：rwstats和rwcount。我们将讨论使用Gnuplot和谷歌画图API进行可视化统计的方法。本章将提供几个能从NSM数据中生成有用统计的实际案例。

　　第12章：使用金丝雀蜜罐进行检测　金丝雀蜜罐以前仅用于研究目的，现在却是一种能用于有效检测的操作型蜜罐工具。本章将提供不同类型的蜜罐概况，以及什么特定类型能在NSM环境中被应用。我们将介绍几款能用于监控用途的流行蜜罐应用程序，如：Honeyd、Kippo和Tom’s Honeypot。我们也将简要讨论Honeydocs的概念。

　　第三部分：分析第13章：数据包分析　这是NSM分析师重要的技能，是具备解读和解密关键网络通信数据包的能力。为了有效做到这一点，需要对数据包是如何被分割有个基本的了解。该章将为读者提供基础支持，并说明如何逐字节单位地分解数据包字段。我们通过使用tcpdump和Wireshark来证实这些概念。该章也将通过使用Berkeley 包过滤器和Wireshark显示过滤器来介绍高级包过滤技术的基础。

　　第14章：我方情报与威胁情报　我方情报与威胁情报的生成，能够影响事件调查的好坏。本章首先介绍了传统的情报循环如何用于NSM。紧跟着，介绍通过网络扫描产生资产数据和扩充PRADS数据来生成我方情报的方法。后，我们将分析威胁情报的种类并讨论关于敌对主机的战略威胁情报研究的几个基本方法。

　　第15章：分析流程　后一章讨论整体的分析过程。开始只是讨论分析过程，后来分解成两个不同的分析过程：关系调查和鉴别诊断。紧跟着，讨论了从失败的事件中学到的教训过程。后，我们以几个佳分析实例来结束本书。

　　IP地址免责声明在本书中，提及的例子、原始数据和截图中涉及一些IP地址。在这些案例中，除非另外指明，这些IP地址已被各种工具随机化。因此，任何引用涉及某个组织的任意IP地址，纯属巧合，绝不代表是由那些实体产生的实际流量。

　　本书配套网站还有相当多的东西我们想在本书中介绍，但我们根本找不到地方容纳进来。于是，我们创建了一个配套网站，包含不同NSM话题的各种额外想法，以及代码片段、技巧和窍门。如果你喜欢本书内容，那么可以考虑查阅配套网站 http://www.appliednsm.com。虽然在本书完成出版前本站点并没有太多的更新，我们计划在本书发行后定期更新这个博客。本书的任何勘误也将在这里持续更新。

　　慈善支持我们很自豪地声明，本书所得版税将100%捐赠出去，用于支持以下五个慈善事业。

　　农村科技基金农村学生，特别是那些成绩优异的、接触到技术的机会通常会比他们在城市或城郊的同行少。2008年，克里斯·桑德斯创立了农村科技基金（RTF）。RTF的主旨是减少农村社区与他们的城市和城郊同行之间的技术鸿沟，方法是通过有针对性的奖学金计划、社区参与，以及在农村地区全面推广和宣传技术。

　　我们的奖学金是针对那些生活在农村社区、对计算机技术拥有热情并打算在这个领域继续深造的学生。本书版税的一部分将用于支持这些奖学金计划，并提供树莓派计算机给农村学校。

　　更多信息请参见：http://www.ruraltechfund.org黑客慈善组织（HFC）由 Johnny Long 创立，HFC雇佣黑客志愿者（无条件），让他们从事于短暂的“微型项目”，旨在帮助那些无法提供传统技术资源的慈善机构。除此之外，HFC也在乌干达、东非地区支持援助组织帮助世界上贫穷的公民。他们提供免费的电脑培训、技术支持、网络服务等。他们已经帮助许多当地学校增设电脑和培训软件。此外，HFC还通过他们的食物计划为东非的儿童们提供食物。

　　更多信息请参见：http://www.hackersforcharity.orgKivaKiva是个允许通过多领域公司直接捐钱给发展中国家人们的在线借贷平台。Kiva记录了每一个需要贷款的人的个人故事，让捐赠者能够直接联系他们。简单地说，Kiva方便了改变生活的借贷。该基金的捐赠来自于本书的销售所得，并为有需要的人提供这些贷款。

　　更多信息请参见：http://www.kiva.orgWarriors希望工程Warriors希望工程（Hope for the Warriors）的任务是提升后911服役人员的生活品质，包括他们的家人，以及那些曾在工作岗位上因持续的生理和心理创伤而倒下的家庭。Warriors希望工程致力于恢复自我意识，恢复家庭单位，以及恢复我们的服务人员和我们的军人家属对生活的希望。

　　更多信息请参见：http://www.hopeforthewarriors.org自闭症演讲组织自闭症是一种非常复杂的病症状态，患者在社交互动、沟通、重复的行为上均存在不同程度的困难。美国疾病控制中心估计，88个美国儿童当中会有1个存在某种形式的自闭症。自闭症演讲组织是一个致力于改变那些与自闭症作斗争的患者们的未来的组织。他们通过为生物医学研究提供资金来做到这一点，研究的范围涉及自闭症的病因、预防、治疗和治愈。自闭症演讲组织也提供自闭症宣传，以及为自闭症患者的家庭提供支持。

　　更多信息请参见：http://autismspeaks.org联系我们我和我的合著者们投入了大量的时间和精力在本书上，所以当我们听到有人读过我们的书并想分享他们的想法时，我们总是很兴奋。无论你想在什么时候联系我们，你可以把所有问题、意见、威胁和婚姻的建议直接发给我们，我们的联系方式如下：

　　Chris Sanders,作者E-mail: chris@chrissanders.orgBlog: http://www.chrissanders.org; http://www.appliednsm.comTwitter: @chrissanders88Jason Smith, 合著者E-mail: jason.smith.webmail@gmail.comBlog: http://www.appliednsm.comTwitter: @automaytDavid J. Bianco，贡献者E-mail: davidjbianco@gmail.comBlog: http://detect-respond.blogspot.com/; http://www.appliednsm.comTwitter: @davidjbiancoLiam Randall, 贡献者E-mail: liam@bro.orgBlog: http://liamrandall.com; http://www.appliednsm.comTwitter: @liamrandall致谢《哥林多后书》第12章节如是说：“但他对我说，‘我的恩典够你用的，因为我的能力是在人的软弱上显得完全。’因此，我更喜欢夸自己软弱，好让基督的能力庇佑我”。

　　写这本书的过程简直证明了上帝的力量对人性弱点的完善。本书是我曾经参与的困难的项目之一，对上帝的信念让我能够终坚持下来。因为上帝，这本书以及我所做的一切都是可能的，我真诚地希望我的这次工作可以作为上帝神奇力量的见证。

　　这本书之所以能完成，离不开许多朋友直接或间接的帮助。我想借此机会感谢他们。

　　Ellen，你是我的挚爱，我的后盾，我的力量，也是我的头号粉丝。没有你，这一切是不可能成功的。我要感谢你曾经承受过的压力与绝望，以及本书写作过程中那些疯狂的日日夜夜。同时我还想感谢你帮助修改本书。我想，你的英语专业终于派上了用场。我爱你，成为你的丈夫我感到很自豪。

　　爸爸妈妈，在你们的影响下成长，使我成为一个独特的人。作为子女我所能做的将会继续坚持，传承你们赋予的性格并分享你们给予的爱。我爱你，爸爸；我也爱你，妈妈。

　　我的家庭，尽管我们只是一个小团体，我们之间分享的爱却是浓厚的，这对我来说太重要了。虽然我们相距甚远，但我知道你们爱着我并支持我，我很感激这一点。

　　Perkins的家庭，感谢你积极地让我走入你的生活，我很幸运，有你的爱和支持。

　　Jason Smith，毫不夸张地说，你是我遇到过的睿智的人，与你相处非常愉悦。你不止是一个伟大的同事和合着者，你更是一个久经考验的朋友。我可以毫不犹豫地说，你已经是我的兄弟。我永远感激这一切。

　　David Bianco和Liam Randall，我已经不知道怎么感谢你们对本书的巨大贡献。你们的贡献价值实际已远远超出你们的想象。

　　至于我的同事（过去的和现在的），我一直认为，如果一个人周围都是好人，他会成为一个更好的人。很幸运我在公司工作中能够与一些优秀、正直的人共事。我要特别感谢我的InGuardians（公司名）大家庭：Jimmy、Jay、Suzanne、Teresa、John、Tom、Don、 Rad、Larry、Jaime、James、Bob和Alec。我还想感谢Mike Poor，是他为本书写的序言，他也依然是我心目中的数据包忍者偶像之一。

　　Syngress的工作人员，谢谢你们让我有机会写成这本书，并帮助我将这个梦想变成现实。

　　本书的技术内容和方向涉及的领域可能超出了我的认知能力，但我会尽力做到好。除了上面提到的亲朋好友，我还要感谢以下人员作出的贡献，是他们协助对每个章节做了细致的审查，让我从他们身上获得不少好的创作灵感，本书的成功离不开他们的支持，人员罗列如下（排名不分先后）：

　　Alexi Valencia、Ryan Clark、Joe Kadar、Stephen Reese、Tara Wink、Doug Burks、Richard Bejtlich、George Jones、Richard Friedberg、Geoffrey Sanders、Emily Sarneso、Mark Thomas、Daniel Ruef、 CERT NetSA团队的其他成员、Joel Esler、Bro团队、Mila Parkour、Dustin Weber、and Daniel Borkmann。

　　Chris Sanders

《数字警戒：数据洞察与安全态势的构建》 在这瞬息万变的数字时代，信息如潮水般涌动，其中暗流涌动着无数潜在的风险。我们生活在一个高度互联的世界，每一次点击、每一次交易、每一次沟通，都在数字空间中留下痕迹。这些痕迹，既是商业运作的生命线，也是安全防线的基石。《数字警戒：数据洞察与安全态势的构建》一书，便是一次深入探究数字世界安全奥秘的旅程，它并非聚焦于单一的技术或工具，而是致力于勾勒出一幅宏大而精密的数字安全蓝图，指导读者如何从海量数据中提炼出关键洞察，并以此构建起坚不可摧的安全态势。 本书的出发点，是对“安全”概念的重新审视。传统的安全模型往往侧重于防御措施的堆叠，如同筑起高墙，期望将威胁拒之门外。然而，事实证明，在复杂多变的攻击面前，这种被动防御的策略往往捉襟见肘。真正的安全，需要一种主动的、前瞻性的、基于深刻理解的策略。《数字警戒》所倡导的，正是这种从“数据”出发的安全观。它认为，海量的数据本身就蕴含着关于潜在威胁、系统脆弱性以及攻击者意图的宝贵线索。关键在于，我们能否有效地“看见”这些线索，并将其转化为可操作的洞察。 因此，本书的第一部分，将带领读者踏上一段关于“数据起源与特征”的探索之旅。我们并非简单罗列数据类型，而是深入剖析在数字环境中，数据是如何产生的，它们承载着什么样的信息，以及它们在安全领域的独特价值。从网络设备的日志、应用程序的运行记录，到用户行为的轨迹、终端设备的活动，每一个数据点都可能是解开安全谜题的关键碎片。我们会探讨不同类型数据的格式、采集方式，以及它们在安全分析中的潜在意义。例如，网络流量日志如何揭示异常通信模式，系统审计日志如何追踪未经授权的访问尝试，用户认证日志又如何反映账户被盗的风险。理解这些数据的本质，是后续所有安全工作的基石。 接着，本书将聚焦于“数据驱动的安全洞察”。这部分内容将是全书的核心，它将引导读者思考，如何将原始的、杂乱无章的数据，转化为有价值的安全情报。我们并非教授简单的“数据清洗”或“数据聚合”技巧，而是要深入探讨“洞察”的本质。洞察，意味着对数据背后含义的理解，对模式的识别，对异常的判断，以及对未来趋势的预测。本书将详细阐述多种策略和方法，帮助读者建立一套严谨的数据分析框架。这包括如何定义“正常”的行为模式，从而有效地识别“异常”；如何通过关联分析，将孤立的数据点联系起来，形成完整的攻击链；如何利用统计学原理，量化安全风险，并为决策提供依据。我们将审视各种分析技术，例如异常检测、基于规则的分析、关联规则挖掘，以及更高级的机器学习技术在安全领域的应用。本书会强调，成功的洞察并非偶然，而是系统性思考和实践的结晶。 更进一步，本书将深入探讨“构建可见的安全态势”。仅仅拥有数据洞察是不够的，这些洞察必须能够有效地转化为实际的安全防护能力。《数字警戒》认为，一个清晰、可见的安全态势，是主动防御的关键。这部分内容将聚焦于如何将数据洞察融入到安全运营的各个环节，从而提升整体的安全防护水平。我们会探讨如何建立一个全面的“威胁情报”体系，将来自内外部的数据源整合，形成对当前及未来威胁的预判。我们将阐述“安全编排、自动化与响应”（SOAR）在提升响应效率方面的重要性，以及如何利用数据洞察来驱动自动化流程，实现对威胁的快速处置。此外，本书还将强调“可视化”在安全态势构建中的作用。如何通过直观的图表、仪表盘和报告，清晰地呈现安全状况，让决策者和技术人员都能快速理解风险，并作出明智的决策。这包括构建实时的安全监控仪表盘，生成详细的安全审计报告，以及开发能够预警潜在攻击的告警系统。 值得强调的是，《数字警戒》一书将着力于“跨领域融合与实践”。在现代复杂的IT环境中，安全问题往往不是孤立的技术问题，而是与业务流程、系统架构、人员管理等紧密相关的挑战。本书将打破传统信息安全领域的壁垒，强调安全与 IT 运维、风险管理、合规性等方面的融合。我们会探讨如何将安全考量融入到系统设计的早期阶段，如何在DevOps流程中嵌入安全实践，以及如何通过数据分析来支持合规性审计和风险评估。本书将提供一系列的案例研究和实践指导，帮助读者理解如何在真实的业务场景中应用本书所提出的理念和方法。我们将探讨不同行业面临的独特安全挑战，以及如何根据自身特点构建适宜的数据驱动安全体系。 在阅读《数字警戒：数据洞察与安全态势的构建》的过程中，读者将不仅仅学习到理论知识，更重要的是，将培养一种全新的安全思维模式。这种思维模式，以数据为核心，以洞察为驱动，以态势构建为目标，能够帮助他们在复杂多变的数字世界中，保持警惕，洞察先机，并最终构建起坚固可靠的安全防线。本书旨在成为一本指导性的参考，帮助个人和组织在这个日益严峻的网络环境中，提升其应对未知风险的能力，确保数字资产的安全与可靠。它提供的是一种思考框架、一种方法论，以及一种持续进化的安全哲学，帮助读者在不断变化的威胁面前，始终占据主动。

评分☆☆☆☆☆

这本书的封面设计简洁而有力量，深蓝色的背景和抽象的网络数据流图形，给人的第一印象就是专业且前沿。我最近一直在关注网络安全监控这个领域，觉得它是信息安全防护体系中至关重要的一环。这本书的书名，直接点出了“收集、检测和分析”这三个核心环节，这正是我一直希望能够深入学习的内容。我特别期待书中能够详细讲解如何构建一个高效的数据收集机制，如何采集不同类型的安全数据，以及如何确保数据的完整性和准确性。在检测方面，我希望能够了解各种先进的威胁检测技术，例如基于行为分析的检测、利用人工智能进行异常检测的方法，以及如何应对不断演变的攻击手法。而“分析”部分，我认为是整个监控流程的昇华。我希望书中能够提供一些实用的数据分析技巧和工具，帮助安全人员从海量的日志和事件数据中，快速识别潜在的安全威胁，并进行有效的溯源和处置。这本书的结构，让我觉得它很可能是一本能够帮助读者建立起一套完整、科学的网络安全监控体系的实用指南，内容应该会非常丰富且有价值。

评分☆☆☆☆☆

我最近一直在寻找一本能够系统性地讲解网络安全监控技术，并且有实践指导意义的书籍。市面上同类书籍不少，但很多要么过于理论化，缺乏实际操作的指导；要么就过于碎片化，讲一些零散的技术点，而没有形成一个完整的体系。这本书的书名《网络安全监控：收集、检测和分析》正是抓住了我最关注的几个核心环节，让我觉得它可能就是我一直在寻找的那一本。我尤其好奇的是，书中对于“收集”部分会如何阐述，是会详细讲解各种日志源的采集方式，还是会介绍一些网络流量的捕获工具？而“检测”部分，是否会深入剖析各种攻击检测算法，比如基于签名的检测、基于异常的检测，甚至是基于行为分析的检测？最后，“分析”部分，作者又会如何指导我们从海量的数据中挖掘出有价值的安全事件，并进行有效的溯源和响应？我非常期待书中能够提供一些清晰的架构图和流程图，帮助我理解复杂的概念，并且最好能有一些实际的配置示例或者脚本代码，方便我直接应用到工作中。这本书给我的第一印象是，它似乎是对网络安全监控领域的一次全面梳理，力求为读者构建一个完整、清晰的知识体系。

评分☆☆☆☆☆

一直以来，我对网络安全监控的理解都停留在比较基础的层面，总觉得它是一个复杂且难以掌握的领域。这本书的标题，简明扼要地指出了监控工作的三个核心步骤——收集、检测和分析。这三个词让我觉得，这本书的逻辑性会很强，能够循序渐进地引导读者理解整个过程。我尤其好奇的是，作者在“收集”部分会如何讲解，是会介绍各种网络协议的抓包技术，还是会侧重于日志管理和集中化？在“检测”部分，我希望能看到一些关于不同类型威胁的检测方法，比如恶意软件、APT攻击、DDoS攻击等等，以及作者是如何区分正常流量和异常流量的。而“分析”部分，我认为是整个监控流程中最具挑战性的环节。我希望能看到一些关于如何从大量的告警信息中筛选出真正重要的事件，以及如何进行根本原因分析的指导。这本书的结构，让我觉得它很可能是一本能够从入门到进阶，一步步提升读者在网络安全监控方面的能力的宝藏。它不仅仅提供技术细节，更有可能提供一种解决问题的思路和方法论。

评分☆☆☆☆☆

这本书的出现，简直就像是在我近期对网络安全知识渴求的沙漠中，找到了一片绿洲。我一直在思考，如何在日益复杂的网络环境中，有效地保障企业的信息资产安全。过去，我更多地依赖于零散的教程和在线文章，这些信息虽然提供了帮助，但总感觉缺乏系统性和深度。而《网络安全监控：收集、检测和分析》这个书名，准确地戳中了我的痛点。它不仅仅是技术名词的堆砌，而是将网络安全监控的整个生命周期——从数据的收集，到威胁的识别，再到最终的分析和决策——都囊括其中。我特别期待书中能够深入探讨如何有效地收集各种来源的网络数据，包括但不限于网络流量、系统日志、应用程序日志等等，并且对这些数据进行有效的清洗和预处理。更重要的是，我希望书中能够详细介绍各种检测技术，特别是针对那些新型、隐蔽的攻击手段，作者是否能提供一些创新的检测思路和方法？此外，对于“分析”部分，我非常希望能看到如何运用大数据分析、机器学习等技术，从海量的数据中快速准确地定位安全威胁，并提供 actionable insights，以便快速响应和处置。这本书的标题预示着它是一本能够帮助读者构建一个完整、高效的网络安全监控体系的指南。

评分☆☆☆☆☆

这本书的封面设计相当吸引人，那种深邃的蓝色调，搭配着一些抽象的网络节点和数据流的图形，立刻就营造出一种科技感和专业感。我拿到这本书的时候，第一感觉就是它很厚实，拿在手里沉甸甸的，这通常意味着内容会比较充实，而不是那种浅尝辄止的介绍。虽然我还没有开始仔细阅读，但光是翻看目录，就已经让我对这本书的广度和深度有了初步的认识。它涵盖了从基础的网络安全概念，到具体的监控技术，再到高级的数据分析方法，几乎涵盖了网络安全监控的整个生命周期。特别是看到关于“威胁情报”和“SIEM系统”的章节，我非常期待里面能够有一些实际的案例分析，以及作者对于这些前沿技术应用的独到见解。作为一个在信息安全领域摸爬滚打多年的从业者，我深知理论知识固然重要，但更关键的是如何将这些理论转化为实际的防护措施。这本书的标题“收集、检测和分析”这三个关键词，精准地概括了网络安全监控的核心流程，让我对它寄予了很高的期望，希望它能帮助我解决在日常工作中遇到的一些瓶颈问题，并提供一些新的思路和方法。

评分☆☆☆☆☆

买一堆书，然后每个都评论，好累呀，额额……书不错吧，给公司买的……

评分☆☆☆☆☆

还不错，长知识，值得一看！

评分☆☆☆☆☆

认真阅读，对自己的提高有帮助。

评分☆☆☆☆☆

活动价比较实惠点，应该是正品

评分☆☆☆☆☆

学习来的，买来看看怎么样。

评分☆☆☆☆☆

正在认真品读，希望有所收获。

评分☆☆☆☆☆

内容丰富翔实，不可多得的好书

评分☆☆☆☆☆

好好好好好好好

评分☆☆☆☆☆

搞活动，一下子买了很多本书，粗看一下内容不错，还需要一段时间慢慢看。