數據驅動(dòng)的網(wǎng)絡(luò )分析簡(jiǎn)介，目錄書(shū)摘

編輯推薦:傳統的入侵檢測和日志文件分析已經(jīng)不再足以保護當今的復雜網(wǎng)絡(luò )。在本書(shū)中，安全研究人員Michael Collins展示了多種收集和分析網(wǎng)絡(luò )流量數據集的技術(shù)和工具。你將從中理解網(wǎng)絡(luò )的使用方式，以及保護和改進(jìn)它所必需的行動(dòng)。
《數據驅動(dòng)的網(wǎng)絡(luò )分析》分為3個(gè)部分，講解了收集和組織數據的過(guò)程、各種分析工具和多種不同的分析場(chǎng)景和技術(shù)。對于熟悉腳本的網(wǎng)絡(luò )管理員和運營(yíng)安全分析人員來(lái)說(shuō)，本書(shū)是他們的理想讀物。
《數據驅動(dòng)的網(wǎng)絡(luò )分析》內容如下：
探索捕捉安全數據的網(wǎng)絡(luò )、主機和服務(wù)傳感器；
使用關(guān)系數據庫、圖解數據庫、Redis和Hadoop存儲數據流量；
使用SiLK、R語(yǔ)言和其他工具進(jìn)行分析和可視化；
通過(guò)探索性數據分析檢測不尋常的現象；
用圖解分析識別網(wǎng)絡(luò )中的重要結構；
確定網(wǎng)絡(luò )中穿越服務(wù)端口的流量；
檢查通信量和行為，以發(fā)現DDoS和數據庫攫??；
獲得網(wǎng)絡(luò )映射和庫存盤(pán)點(diǎn)的詳細過(guò)程。

內容簡(jiǎn)介:　　傳統的入侵檢測和日志文件分析已經(jīng)不再足以保護當今的復雜網(wǎng)絡(luò )，本書(shū)講解了多種網(wǎng)絡(luò )流量數據集的采集和分析技術(shù)及工具，借助這些工具，可以迅速定位網(wǎng)絡(luò )中的問(wèn)題，并采取相應的行動(dòng)，保障網(wǎng)絡(luò )的運行安全?！　　稊祿寗?dòng)的網(wǎng)絡(luò )分析》分為3部分，共15章，內容包括數據采集的常規過(guò)程，用于采集網(wǎng)絡(luò )流量的傳感器，基于特定系統的傳感器，數據存儲和分析，使用互聯(lián)網(wǎng)層次知識系統（SiLK）分析NetFlow數據，用于安全分析的R語(yǔ)言簡(jiǎn)介、入侵檢測系統的工作機制以及實(shí)施，確定實(shí)施攻擊的幕后真兇，探索性數據分析以及數據可視化，檢查通信流量和行為，獲取網(wǎng)絡(luò )映射和庫存盤(pán)點(diǎn)的詳細過(guò)程等?！　　稊祿寗?dòng)的網(wǎng)絡(luò )分析》適合網(wǎng)絡(luò )安全工程師和網(wǎng)絡(luò )管理人員閱讀。

作者簡(jiǎn)介:　　Michael Collins，是RedJack有限責任公司的首席科學(xué)家，該公司是華盛頓首都特區的一家網(wǎng)絡(luò )安全和數據分析公司。在任職于RedJacak之前，Collins博士是卡內基·梅隆大學(xué)CERT/網(wǎng)絡(luò )態(tài)勢感知小組的成員。他的主要研究方向是網(wǎng)絡(luò )測量和流量分析，特別是大流量數據集的分析。Collins博士于2008年畢業(yè)于卡內基·梅隆大學(xué)，獲得電子工程博士學(xué)位。他的碩士和學(xué)士學(xué)位也來(lái)自于同一學(xué)校。

目錄:第1部分 數 據
第1章 傳感器和探測器簡(jiǎn)介 3
1．1 觀(guān)察點(diǎn)：傳感器的位置對數據采集的影響 4
1．2 領(lǐng)域：確定可以采集的數據 7
1．3 操作：傳感器對數據所做的處理 10
1．4 小結 12
第2章 網(wǎng)絡(luò )傳感器 13
2．1 網(wǎng)絡(luò )分層及其對測量的影響 14
2．1．1 網(wǎng)絡(luò )層次和觀(guān)察點(diǎn) 16
2．1．2 網(wǎng)絡(luò )層次和編址 19
2．2 封包數據 20
2．2．1 封包和幀格式 21
2．2．2 滾動(dòng)緩存 21
2．2．3 限制每個(gè)封包中捕捉的數據 21
2．2．4 過(guò)濾特定類(lèi)型封包 21
2．2．5 如果不是以太網(wǎng)怎么辦 25
2．3 NetFlow 26
2．3．1 NetFlow v5格式和字段 26
2．3．2 NetFlow生成和采集 28
第3章 主機和服務(wù)傳感器：在源上的流量日志 29
3．1 訪(fǎng)問(wèn)和操縱日志文件 30
3．2 日志文件的內容 32
3．2．1 優(yōu)秀日志消息的特性 32
3．2．2 現有日志文件以及處理方法 34
3．3 有代表性的日志文件格式 36
3．3．1 HTTP：CLF和ELF 36
3．3．2 SMTP 39
3．3．3 Microsoft Exchange：郵件跟蹤日志 41
3．4 日志文件傳輸：轉移、Syslog和消息隊列 43
3．4．1 轉移和日志文件留存 43
3．4．2 syslog 43
第4章 用于分析的數據存儲：關(guān)系數據庫、大數據和其他選項 46
4．1 日志數據和CRUD范式 47
4．2 NoSQL系統簡(jiǎn)介 49
4．3 使用何種存儲方法 52

第2部分 工 具
第5章 SiLK套件 56
5．1 SiLK的概念和工作原理 56
5．2 獲取和安裝SiLK 57
5．3 選擇和格式化輸出字段操作：rwcut 58
5．4 基本字段操縱：rwfilter 63
5．4．1 端口和協(xié)議 63
5．4．2 大小 65
5．4．3 IP地址 65
5．4．4 時(shí)間 66
5．4．5 TCP選項 67
5．4．6 助手選項 68
5．4．7 雜項過(guò)濾選項和一些技巧 69
5．5 rwfileinfo及出處 69
5．6 合并信息流：rwcount 72
5．7 rwset和IP集 74
5．8 rwuniq 77
5．9 rwbag 79
5．10 SiLK高級機制 79
5．11 采集SiLK數據 81
5．11．1 YAF 81
5．11．2 rwptoflow 83
5．11．3 rwtuc 84
第6章 R安全分析簡(jiǎn)介 86
6．1　安裝與設置 86
6．2　R語(yǔ)言基礎知識 87
6．2．1　R提示符 87
6．2．2　R變量 88
6．2．3　編寫(xiě)函數 93
6．2．4　條件與循環(huán) 95
6．3　使用R工作區 97
6．4　數據幀 98
6．5　可視化 101
6．5．1　可視化命令 101
6．5．2　可視化參數 101
6．5．3　可視化注解 103
6．5．4　導出可視化 104
6．6　分析：統計假設檢驗 104
6．6．1　假設檢驗 105
6．6．2　檢驗數據 107
第7章 分類(lèi)和事件工具：IDS、AV和SEM 110
7．1　IDS的工作原理 110
7．1．1　基本詞匯 111
7．1．2　分類(lèi)器失效率：理解“基率謬誤” 114
7．1．3　應用分類(lèi) 116
7．2　提高IDS性能 117
7．2．1　改進(jìn)IDS檢測 118
7．2．2　改進(jìn)IDS響應 122
7．2．3　預取數據 122
第8章 參考和查找：了解“某人是誰(shuí)”的工具 124
8．1 MAC和硬件地址 124
8．2 IP編址 126
8．2．1 IPv4地址、結構和重要地址 126
8．2．2 IPv6地址、結構和重要地址 128
8．2．3 檢查連接性：使用ping連接到某個(gè)地址 129
8．2．4 路由跟蹤 131
8．2．5 IP信息：地理位置和人口統計學(xué)特征 132
8．3 DNS 133
8．3．1 DNS名稱(chēng)結構 133
8．3．2 用dig轉發(fā)DNS查詢(xún) 134
8．3．3 DNS反向查找 142
8．3．4 使用whois查找所有者 143
8．4 其他參考工具 146
第9章 其他工具 148
9．1　可視化 148
9．2　通信和探查 151
9．2．1　netcat 151
9．2．2　nmap 153
9．2．3　Scapy 154
9．3　封包檢查和參考 157
9．3．1　Wireshark 157
9．3．2　GeoIP 157
9．3．3　NVD、惡意軟件網(wǎng)站和C*E 158
9．3．4　搜索引擎、郵件列表和人 160

第3部分 分 析
第10章 探索性數據分析和可視化 162
10．1 EDA的目標：應用分析 163
10．2 EDA工作流程 165
10．3 變量和可視化 166
10．4 單變量可視化：直方圖、QQ圖、箱線(xiàn)圖和等級圖 167
10．3．1 直方圖 167
10．3．2 柱狀圖（不是餅圖） 169
10．3．3 分位數-分位數（Quantile-Quantile ，QQ）圖 170
10．3．4 五數概括法和箱線(xiàn)圖 172
10．3．5 生成箱線(xiàn)圖 173
10．5 雙變量描述 175
10．5．1 散點(diǎn)圖 175
10．5．2 列聯(lián)表 177
10．6 多變量可視化 177
第11章 摸索 185
11．1 攻擊模式 185
11．2 摸索：錯誤的配置、自動(dòng)化和掃描 187
11．2．1 查找失敗 187
11．2．2 自動(dòng)化 188
11．2．3 掃描 188
11．3 識別摸索行為 189
11．3．1 TCP摸索：狀態(tài)機 189
11．3．2 ICMP消息和摸索 192
11．3．3 識別UDP摸索 193
11．4 服務(wù)級摸索 193
11．4．1 HTTP摸索 193
11．4．2 SMTP摸索 195
11．5 摸索分析 195
11．5．1 構建摸索警報 196
11．5．2 摸索行為的取證分析 196
11．5．3 設計一個(gè)網(wǎng)絡(luò )來(lái)利用摸索 197
第12章 通信量和時(shí)間分析 199
12．1 工作日對網(wǎng)絡(luò )通信量的影響 199
12．2 信標 201
12．3 文件傳輸/攫取 204
12．4 局部性 206
12．4．1 DDoS、突發(fā)擁塞和資源耗盡 209
12．4．2 DDoS和路由基礎架構 210
12．5 應用通信量和局部性分析 214
12．5．1 數據選擇 214
12．5．2 將通信量作為警報 216
12．5．3 將信標作為警報 216
12．5．4 將局部性作為警報 217
12．5．5 工程解決方案 217
第13章 圖解分析 219
13．1 圖的屬性：什么是圖 219
13．2 標簽、權重和路徑 222
13．3 分量和連通性 227
13．4 聚類(lèi)系數 228
13．5 圖的分析 229
13．5．1 將分量分析作為警報 229
13．5．2 將集中度分析用于取證 230
13．5．3 廣度優(yōu)先搜索的取證使用 231
13．5．4 將集中度分析用于工程 232
第14章 應用程序識別 234
14．1 應用程序識別機制 234
14．1．1 端口號 234
14．1．2 通過(guò)標志抓取識別應用程序 238
14．1．3 通過(guò)行為識別應用程序 241
14．1．4 通過(guò)附屬網(wǎng)站識別應用程序 244
14．2 應用程序標志：識別和分類(lèi) 245
14．2．1 非Web標志 245
14．2．2 Web客戶(hù)端標志：User-Agent字符串 246
第15章 網(wǎng)絡(luò )映射 249
15．1 創(chuàng )建一個(gè)初始網(wǎng)絡(luò )庫存清單和映射 249
15．1．1 創(chuàng )建庫存清單：數據、覆蓋范圍和文件 250
15．1．2 第1階段：前3個(gè)問(wèn)題 251
15．1．3 第2階段：檢查IP空間 254
15．1．4 第3階段：識別盲目和難以理解的流量 258
15．1．5 第4階段：識別客戶(hù)端和服務(wù)器 261
15．2 更新庫存清單：走向連續審計 263