基于數據分析的網絡安全（第二版）

定　價：￥128.00

作　者：	Michael Collins 著
出版社：	中國電力出版社
叢編項：
標　簽：	暫缺

購買這本書可以去

ISBN：	9787519837808	出版時間：	2019-12-01	包裝：	平裝
開本：	16開	頁數：	512	字數：

內容簡介

　??？使用傳感器來收集網絡、服務、主機和主動領域中的數據。？使用 SiLK 工具集、Python 編程語言，以及其他一些工具與技術，來操作你所收集的數據。？通過探索性的數據分析（EDA），并輔以可視化技術與數學技術來探測網絡中的反常情況。？分析文本數據，獲知流量所表示的行為，以及檢測通信過程中的錯誤。？把網絡建模成圖，以便通過分析該圖來了解網絡中比較重要的結構。？檢查與內部威脅有關的數據，獲取威脅情報。？通過網絡映射工作來編制網絡資源目錄，并確定其中較為重要的主機。？與運維人員協作以制定有效的防御及分析技術。

作者簡介

　　Michael Collins是RedJack，LLC的首席科學家，RedJack是位于美國華盛頓哥倫比亞特區(qū)的網絡安全與數據分析公司。Collins主要關注網絡測量與流量分析，尤其是對較大的流量數據集所做的分析。

圖書目錄

前言 1
第I 部分數據
第1 章整理數據：視點、領域、行動及驗證 .17
1.1 領域 19
1.2 視點 21
1.3 行動：傳感器對數據所做的處理 25
1.4 有效性與行動 27
1.5 延伸閱讀 .34
第2 章視點：了解傳感器在網絡中的擺放情況 .36
2.1 網絡分層的基礎知識 36
2.2 在網絡中的各個層面上進行尋址 45
2.3 延伸閱讀 .57
第3 章網絡領域內的傳感器 .58
3.1 數據包與幀的格式 .59
3.2 NetFlow 67
3.3 通過IDS 收集數據 70
3.4 提高IDS 的工作成效78
3.5 中間盒日志及其影響 91
3.6 延伸閱讀 .94
第4 章服務領域中的數據 .96
4.1 什么叫做服務領域中的數據？為什么要收集這些數據？ .96
4.2 日志文件——最為基礎的服務數據 98
4.3 獲取并操縱日志文件 98
4.4 日志文件的內容 101
4.5 延伸閱讀 112
第5 章服務領域內的傳感器 113
5.1　典型的日志文件格式 . 114
5.2　簡單郵件傳輸協議（SMTP） 119
5.3　其他一些較為有用的日志文件 .125
5.4　傳輸日志文件的三種方式：文件傳輸、Syslog 和消息隊列 .127
5.5　延伸閱讀 130
第6 章主機領域中的數據與傳感器 .131
6.1　從網絡的角度觀察主機 .132
6.2　與網絡接口（網卡）有關的信息 .134
6.3　可以用來追蹤身份的主機信息 .138
6.4　進程 140
6.5　文件系統 145
6.6　歷史數據：用戶執(zhí)行過的命令以及與登錄有關的信息 148
6.7　其他數據與傳感器：HIPS 及AV .149
6.8　延伸閱讀 150
第7 章主動領域內的數據及傳感器 .151
7.1　發(fā)現、評估及維護 152
7.2　發(fā)現：ping、traceroute、netcat 等工具的用法，以及nmap 工具的
其中一部分用法 153
7.3　評估：nmap、一些客戶端和許多資源庫 161
7.4　用主動收集到的數據來進行驗證 .168
7.5　延伸閱讀 169
第Ⅱ部分工具
第8 章把數據集中到一起 173
8.1　宏觀結構 176
8.2　日志數據與CRUD 范式 184
8.3　NoSQL 系統簡介 .187
8.4　延伸閱讀 190
第9 章 SiLK 工具包 191
9.1　什么是SiLK ？它的工作原理是怎樣的？ 191
9.2　取得并安裝SiLK .192
9.3　用rwcut 命令操縱字段，并按照一定的格式將其輸出 .194
9.4　用rwfilter 命令對字段進行基本的操縱 200
9.5　用rwfileinfo 命令查詢數據文件的出處 210
9.6　用rwcount 命令把信息流合起來統計 213
9.7　rwset 與IP set 215
9.8　rwuniq 命令 .220
9.9　rwbag 命令 222
9.10　SiLK 工具包的高級功能 223
9.11　收集SiLK 數據 226
9.12　延伸閱讀 233
第10 章參照與查詢——用相關工具確定用戶身份235
10.1　MAC 與硬件地址 236
10.2　IP 地址 239
10.3　DNS .246
10.4　搜索引擎 266
10.5　延伸閱讀 268
第Ⅲ部分分析
第11 章探索性數據分析及其視覺呈現275
11.1　EDA 的目標：應用分析 .277
11.2　EDA 的工作流程 280
11.3　變量與可視化 282
11.4　適用單個變量的可視化技術 284
11.5　對雙變量的數據集進行呈現 291
11.6　對多變量的數據集進行呈現 293
11.7　擬合與估算 307
11.8　延伸閱讀 315
第12 章文本分析 316
12.1　文本的編碼 316
12.2　基本技能 325
12.3　文本分析技術 332
12.4　延伸閱讀 339
第13 章 Fumbling .340
13.1　由于錯誤的配置、自動化的軟件或掃描行為而引起的fumble 現象 341
13.2　如何識別fumbling 攻擊 .344
13.3　服務層面的fumbling 357
13.4　探測并分析Fumbling 現象 361
第14 章流量與時間 .367
14.1　辦公時間方面的規(guī)律及其對網絡流量的影響 .368
14.2　beaconing 371
14.3　文件傳輸/raiding 374
14.4　集中度 .377
14.5　對流量與集中度進行分析 .389
14.6　延伸閱讀 395
第15 章圖 396
15.1　圖的定義與特征 .396
15.2　標記、權重與路徑 401
15.3　節(jié)點與連接性 407
15.4　聚集系數 408
15.5　對圖進行分析 410
15.6　延伸閱讀 415
第16 章來自內部的威脅 .416
16.1　把內部威脅與其他幾種攻擊區(qū)別開 .418
16.2　避免互相傷害 421
16.3　攻擊方式 422
16.4　收集并分析與內部威脅有關的數據 .424
16.5　延伸閱讀 428
第17 章威脅情報 429
17.1　什么是威脅情報？ 429
17.2　創(chuàng)建威脅情報計劃 434
17.3　對威脅情報的創(chuàng)建工作進行小結 439
17.4　延伸閱讀 440
第18 章應用程序判定 .441
18.1　可用來認定應用程序的各種手段 442
18.2　認定應用程序的banner 并對其分類 456
18.3　延伸閱讀 459
第19 章網絡映射 460
19.1　創(chuàng)建初始的網絡資源目錄與網絡映射圖 460
19.2　更新網絡資源目錄，以便持續(xù)地進行審計 481
19.3　延伸閱讀 482
第20 章與運維團隊合作 .483
20.1　運維工作概述 483
20.2　運維工作中的各種流程 485
20.3　延伸閱讀 496
第21 章結論 498