基于数据分析的网络安全
本书特色
[
·使用传感器来收集网络、服务、主机和主动领域中的数据。·使用 SiLK 工具集、Python 编程语言,以及其他一些工具与技术,来操作你所收集的数据。·通过探索性的数据分析(EDA),并辅以可视化技术与数学技术来探测网络中的反常情况。·分析文本数据,获知流量所表示的行为,以及检测通信过程中的错误。·把网络建模成图,以便通过分析该图来了解网络中比较重要的结构。·检查与内部威胁有关的数据,获取威胁情报。·通过网络映射工作来编制网络资源目录,并确定其中较为重要的主机。·与运维人员协作以制定有效的防御及分析技术。
]
内容简介
[
传统的入侵探测手段与日志文件分析技术,已经无法适应当今这么复杂的网络状况了。在经过更新的这本书里,本书作者会给信息安全人员提供*的技术与工具,告诉大家怎样收集网络流量,并对这些数据集进行分析。你会学到怎样掌握网络的使用情况,以及如何采取必要的措施来巩固并守护网络中的系统。 本书由三部分组成,其中会讲到数据收集与数据整理工作所依循的流程,并告诉你怎样使用各类分析工具和如何运用各种分析技巧来处理不同的情况。有一些新的章节会专门讨论主动监控、流量操纵、内部威胁检测、数据挖掘、回归分析,以及机器学习等主题。“本书全面讲述了从哪里分析数据、分析什么样的数据,以及怎样处理收集到的各种数据,以帮助你更好地保护本组织的网络系统,从而及时发现并延缓网络攻击。凡是编写数据驱动型的网络安全程序的人,都应该参考这本书。”——Bob Rudis, Rapid 7的首席数据科学家“每一位网络工程师与网络分析师都应该看看这本书。如果你想知道怎样从安全操作层面及策略层面,给决策者提供建议并为决策过程提供支持,那么就来读这本书吧。”——Yurie Ito, Cybergreen Institute 的创始人与执行董事
]
作者简介
[
Michael Collins是RedJack,LLC的首席科学家,RedJack是位于美国华盛顿哥伦比亚特区的网络安全与数据分析公司。Collins主要关注网络测量与流量分析,尤其是对较大的流量数据集所做的分析。
]
目录
目录前言 1第I 部分 数据第1 章 整理数据:视点、领域、行动及验证 .171.1 领域 191.2 视点 211.3 行动:传感器对数据所做的处理 251.4 有效性与行动 271.5 延伸阅读 .34第2 章 视点:了解传感器在网络中的摆放情况 .362.1 网络分层的基础知识 362.2 在网络中的各个层面上进行寻址 452.3 延伸阅读 .57第3 章 网络领域内的传感器 .583.1 数据包与帧的格式 .593.2 NetFlow 673.3 通过IDS 收集数据 703.4 提高IDS 的工作成效783.5 中间盒日志及其影响 913.6 延伸阅读 .94第4 章 服务领域中的数据 .964.1 什么叫做服务领域中的数据?为什么要收集这些数据? .964.2 日志文件——*为基础的服务数据 984.3 获取并操纵日志文件 984.4 日志文件的内容 1014.5 延伸阅读 112第5 章 服务领域内的传感器 1135.1 典型的日志文件格式 . 1145.2 简单邮件传输协议(SMTP) 1195.3 其他一些较为有用的日志文件 .1255.4 传输日志文件的三种方式:文件传输、Syslog 和消息队列 .1275.5 延伸阅读 130第6 章 主机领域中的数据与传感器 .1316.1 从网络的角度观察主机 .1326.2 与网络接口(网卡)有关的信息 .1346.3 可以用来追踪身份的主机信息 .1386.4 进程 1406.5 文件系统 1456.6 历史数据:用户执行过的命令以及与登录有关的信息 1486.7 其他数据与传感器:HIPS 及AV .1496.8 延伸阅读 150第7 章 主动领域内的数据及传感器 .1517.1 发现、评估及维护 1527.2 发现:ping、traceroute、netcat 等工具的用法,以及nmap 工具的其中一部分用法 1537.3 评估:nmap、一些客户端和许多资源库 1617.4 用主动收集到的数据来进行验证 .1687.5 延伸阅读 169第Ⅱ部分 工具第8 章 把数据集中到一起 1738.1 宏观结构 1768.2 日志数据与CRUD 范式 1848.3 NoSQL 系统简介 .1878.4 延伸阅读 190第9 章 SiLK 工具包 1919.1 什么是SiLK ?它的工作原理是怎样的? 1919.2 取得并安装SiLK .1929.3 用rwcut 命令操纵字段,并按照一定的格式将其输出 .1949.4 用rwfilter 命令对字段进行基本的操纵 2009.5 用rwfileinfo 命令查询数据文件的出处 2109.6 用rwcount 命令把信息流合起来统计 2139.7 rwset 与IP set 2159.8 rwuniq 命令 .2209.9 rwbag 命令 2229.10 SiLK 工具包的高级功能 2239.11 收集SiLK 数据 2269.12 延伸阅读 233第10 章 参照与查询——用相关工具确定用户身份23510.1 MAC 与硬件地址 23610.2 IP 地址 23910.3 DNS .24610.4 搜索引擎 26610.5 延伸阅读 268第Ⅲ部分 分析第11 章 探索性数据分析及其视觉呈现27511.1 EDA 的目标:应用分析 .27711.2 EDA 的工作流程 28011.3 变量与可视化 28211.4 适用单个变量的可视化技术 28411.5 对双变量的数据集进行呈现 29111.6 对多变量的数据集进行呈现 29311.7 拟合与估算 30711.8 延伸阅读 315第12 章 文本分析 31612.1 文本的编码 31612.2 基本技能 32512.3 文本分析技术 33212.4 延伸阅读 339第13 章 Fumbling .34013.1 由于错误的配置、自动化的软件或扫描行为而引起的fumble 现象 34113.2 如何识别fumbling 攻击 .34413.3 服务层面的fumbling 35713.4 探测并分析Fumbling 现象 361第14 章 流量与时间 .36714.1 办公时间方面的规律及其对网络流量的影响 .36814.2 beaconing 37114.3 文件传输/raiding 37414.4 集中度 .37714.5 对流量与集中度进行分析 .38914.6 延伸阅读 395第15 章 图 39615.1 图的定义与特征 .39615.2 标记、权重与路径 40115.3 节点与连接性 40715.4 聚集系数 40815.5 对图进行分析 41015.6 延伸阅读 415第16 章 来自内部的威胁 .41616.1 把内部威胁与其他几种攻击区别开 .41816.2 避免互相伤害 42116.3 攻击方式 42216.4 收集并分析与内部威胁有关的数据 .42416.5 延伸阅读 428第17 章 威胁情报 42917.1 什么是威胁情报? 42917.2 创建威胁情报计划 43417.3 对威胁情报的创建工作进行小结 43917.4 延伸阅读 440第18 章 应用程序判定 .44118.1 可用来认定应用程序的各种手段 44218.2 认定应用程序的banner 并对其分类 45618.3 延伸阅读 459第19 章 网络映射 46019.1 创建初始的网络资源目录与网络映射图 46019.2 更新网络资源目录,以便持续地进行审计 48119.3 延伸阅读 482第20 章 与运维团队合作 .48320.1 运维工作概述 48320.2 运维工作中的各种流程 48520.3 延伸阅读 496第21 章 结论 498
封面
书名:基于数据分析的网络安全
作者:Michael Collins著
页数:498页
定价:¥128.0
出版社:中国电力出版社
出版日期:2020-01-01
ISBN:9787519837808
PDF电子书大小:74MB 高清扫描完整版