本書由多位國際信息安全技術專家親力打造,是系統化建立網絡安全監控體系的重要參考,是由菜鳥到NSM分析員的必備參考書。不僅提供了入門基礎,并通過多個完整的真實案例闡述了網絡安全監控的關鍵理念與實踐。本書第1章概述了網絡安全監控以及現代網絡安全環境,討論了整本書將會用到的基本概念。然后分為收集、檢測和分析三大部分來闡述網絡安全監控的實踐。及時部分“收集”包括第2~6章,介紹收集什么數據以及如何收集數據,傳感器的類型、作用、部署、工具集,全包捕獲數據的重要性、工具,數據存儲和保存計劃,包串數據的生成、解析和查看等。第二部分“檢測”包括第7~12章,介紹檢測機制、受害信標與特征,基于信譽度的檢測方法以及一些分析設備信譽度的資源,使用Snort和Suricata進行基于特征的檢測,Bro平臺,基于異常的檢測與統計數據,使用金絲雀蜜罐進行檢測的方法等。第三部分“分析”包括第13~15章,介紹作為NSM分析師最重要的技能,我方情報與威脅情報的建立與分析,整體數據分析的過程以及分析實例。
作者簡介 About the AuthorChris Sanders,及時作者Chris Sanders 最初是肯塔基州Mayfield的一名信息安全顧問、作家和研究員。那個無名小鎮距離一個叫Possum Trot的小鎮西南方向30英里,距離一條叫Monkey’s Eyebrow的公路東南方向40英里,剛好位于道路的拐彎處。
Chris 是InGuardians的高級安全分析師。他有支持多個政府、軍事機構以及財富500強企業的豐富經驗。在美國國防部的眾多角色中,他有效地促進了計算機網絡防御服務提供商(CNDSP)模型的角色作用,協助創建了多種NSM模型以及多款目前在用智能化工具,以保衛國家的利益不受侵害。
Chris 曾撰寫了多本書籍和學術文章,其中包括國際暢銷書《Practical Packet Analysis》,目前已了第2版。Chris 目前擁有多項業界認證,包括 SANS、GSE以及CISSP。
2008年,Chris 創立農村科技基金(RTF)。RTF是一個501(c)(3)非營利組織,為來自農村地區攻讀計算機技術學位的學生提供獎學金機會。該組織還通過各種支持計劃促進了技術在農村地區的宣傳。RTF目前已為農村學生提供成千上萬美元的獎學金和幫助支持。
當Chris不埋頭于數據包分析的時候,他喜歡觀看肯塔基大學野貓籃球隊的比賽,擅長BBQ(美國真人秀節目),業余無人機制作愛好者,在海灘上消磨時光。Chris目前與他的妻子Ellen居住在南卡羅來納州的Charleston。
Chris的博客地址為www.appliednsm.com 和 www.chrissanders.org。他的推特賬號為 @chrissanders88。
Jason Smith,合著者Jason Smith 白天是一名入侵檢測分析師,晚上則是一名垃圾場工程師。起初來自于肯塔基州的Bowling Green,作為一名有潛質的物理學家,Jason以大數據挖掘和有限元分析為切入點開始他的職業生涯。偶然的運氣,對數據挖掘的熱愛將他引向了信息安全和網絡安全監控,一個讓他癡迷于數據處理和自動化的領域。
Jason有很長一段時間都在幫助州和聯邦機構強化他們的防御功能,現在在Mandiant擔任安全工程師。在部分開發工作中,他創建了諸多開源項目,很多已成為DISA CNDSP計劃的實踐工具。
Jason經常在車庫里度過周末,從街機柜到開輪式賽車,他都可以建造。其他愛好諸如家居自動化、槍械、大富翁游戲、吉他以及美食。Jason對美國鄉村有著深沉的愛,熱衷于駕駛,同時對學習有著孜孜不倦的欲望。Jason現在生活在肯塔基州的Framkfort。
Jason的博客地址為 www.appliednsm.com。他的推特賬號為 @automayt。
David J. Bianco,貢獻者David在Mandiant擔任一名狩獵團隊領導之前,花了5年的時間為一個財富500強企業建設了一套智能驅動的檢測響應系統。在那里,他為一個部署了近600個NSM傳感器覆蓋超過160個國家的網絡設置了檢測策略,主導響應了一些國家遭受到的最嚴重的針對式攻擊事件。他在安全社區、博客、演講和寫作上持續活躍著。
他經常在家看《Doctor Who》節目,或演奏他的四套風笛,或與孩子們一起玩耍。他還喜歡在除了海灘之外的任何地方長走。
David的博客地址為 detect-respond.blogspot.com。他的推特賬號為 @DavidJBianco。
Liam Randall,貢獻者Liam Randall 是舊金山Broala LLC(Bro核心團隊專家組)的首席合伙人。最初,他來自于肯塔基州的Louisville,在Xavier大學以系統管理員角色為學校工作,同時也獲得了學校的計算機科學學士學位。在那里,他及時次開始了設備驅動安全編程和基于XFS的自動柜員機軟件研發。
目前他正為財富500強企業、研究機構和教育網絡、軍隊服務分支、其他安全焦點小組提供高容量安全解決方案咨詢。他曾在Shmoocon、Derbycon和MIRcon等會議做過演講,并經常在安全事件上做Bro訓練班的培訓。
作為一名丈夫和父親,Liam在周末時做發酵酒,在他的花園里工作,修理小工具,或制作奶酪。作為一名戶外運動愛好者,他和他的妻子喜歡鐵人三項,長距離游泳,享受他們的社區活動。
Liam的博客地址為 liamrandall.com/。他的推特賬號為 @Hectaman。
Contents 目 錄
譯者序
作者簡介
序 言
前 言
第1章 網絡安全監控應用實踐 1
1.1 關鍵NSM術語 2
1.1.1 資產 2
1.1.2 威脅 2
1.1.3 漏洞 3
1.1.4 利用 3
1.1.5 風險 3
1.1.6 異常 3
1.1.7 事故 3
1.2 入侵檢測 4
1.3 網絡安全監控 4
1.4 以漏洞為中心vs以威脅為中心 7
1.5 NSM周期:收集、檢測和分析 7
1.5.1 收集 7
1.5.2 檢測 8
1.5.3 分析 8
1.6 NSM的挑戰 9
1.7 定義分析師 9
1.7.1 關鍵技能 10
1.7.2 分類分析師 11
1.7.3 成功措施 12
1.8 Security Onion 15
1.8.1 初始化安裝 15
1.8.2 更新Security Onion 16
1.8.3 執行NSM服務安裝 16
1.8.4 測試Security Onion 17
1.9 本章小結 19
及時部分 收集
第2章 數據收集計劃 22
2.1 應用收集框架 22
2.1.1 威脅定義 23
2.1.2 量化風險 24
2.1.3 識別數據源 25
2.1.4 焦點縮小 26
2.2 案例:網上零售商 28
2.2.1 識別組織威脅 28
2.2.2 量化風險 29
2.2.3 識別數據源 30
2.2.4 焦點縮小 33
2.3 本章小結 35
第3章 傳感器平臺 36
3.1 NSM數據類型 37
3.1.1 全包捕獲數據 37
3.1.2 會話數據 37
3.1.3 統計數據 37
3.1.4 包字符串數據 37
3.1.5 日志數據 38
3.1.6 告警數據 38
3.2 傳感器類型 39
3.2.1 僅收集 39
3.2.2 半周期 39
3.2.3 全周期檢測 39
3.3 傳感器硬件 40
3.3.1 CPU 41
3.3.2 內存 42
3.3.3 磁盤存儲空間 42
3.3.4 網絡接口 44
3.3.5 負載平衡:套接字緩沖區的
要求 45
3.3.6 SPAN端口 vs 網絡分流器 46
3.4 傳感器高級操作系統 50
3.5 傳感器的安置 50
3.5.1 利用適當的資源 50
3.5.2 網絡入口/出口點 50
3.5.3 內部IP地址的可視性 51
3.5.4 靠近關鍵資產 54
3.5.5 創建傳感器可視化視圖 55
3.6 加固傳感器 57
3.6.1 操作系統和軟件更新 57
3.6.2 操作系統加固 57
3.6.3 限制上網 57
3.6.4 最小化軟件安裝 58
3.6.5 VLAN分割 58
3.6.6 基于主機的IDS 58
3.6.7 雙因素身份驗證 58
3.6.8 基于網絡的IDS 59
3.7 本章小結 59
第4章 會話數據 60
4.1 流量記錄 61
4.1.1 NetFlow 63
4.1.2 IPFIX 64
4.1.3 其他流類型 64
4.2 收集會話數據 64
4.2.1 硬件生成 65
4.2.2 軟件生成 65
4.3 使用SiLK收集和分析流數據 66
4.3.1 SiLK包工具集 66
4.3.2 SiLK流類型 68
4.3.3 SiLK分析工具集 68
4.3.4 在Security Onin里安裝SiLK 69
4.3.5 使用Rwfilter過濾流數據 69
4.3.6 在Rwtools之間使用數據管道 70
4.3.7 其他SiLK資源 73
4.4 使用Argus收集和分析流數據 73
4.4.1 解決框架 74
4.4.2 特性 74
4.4.3 基礎數據檢索 75
4.4.4 其他Argus資源 76
4.5 會話數據的存儲考慮 76
4.6 本章小結 78
第5章 全包捕獲數據 79
5.1 Dumpcap 80
5.2 Daemonlogger 81
5.3 Netsniff-NG 83
5.4 選擇合適的FPC收集工具 84
5.5 FPC收集計劃 84
5.5.1 存儲考慮 85
5.5.2 使用Netsniff-NG和IFPPS
計算傳感器接口吞吐量 86
5.5.3 使用會話數據計算傳感器接口吞吐量 87
5.6 減少FPC數據存儲預算 88
5.6.1 過濾服務 88
5.6.2 過濾主機到主機的通信 90
5.7 管理FPC數據存儲周期 91
5.7.1 基于時間的存儲管理 92
5.7.2 基于大小的存儲管理 92
5.8 本章小結 96
第6章 包字符串數據 97
6.1 定義包字符串數據 97
6.2 PSTR數據收集 99
6.2.1 手動生成PSTR數據 100
6.2.2 URLSnarf 101
6.2.3 Httpry 102
6.2.4 Justniffer 104
6.3 查看PSTR數據 107
6.3.1 Logstash 107
6.3.2 使用BASH工具解析
原始文本 114
6.4 本章小結 116
第二部分 檢測
第7章 檢測機制、受害信標與特征 118
7.1 檢測機制 118
7.2 受害信標和特征 119
7.2.1 主機信標和網絡信標 120
7.2.2 靜態信標 120
7.2.3 可變信標 123
7.2.4 信標與特征的進化 124
7.2.5 特征調優 125
7.2.6 信標和特征的關鍵標準 127
7.3 信標和特征的管理 128
7.4 信標與特征框架 133
7.4.1 OpenIOC 134
7.4.2 STIX 135
7.5 本章小結 137
第8章 基于信譽度的檢測 138
8.1 公開信譽度列表 138
8.1.1 常用公開信譽度列表 139
8.1.2 使用公共信譽度列表的常見問題 143
8.2 基于信譽度的自動化檢測 145
8.2.1 使用BASH腳本實現手動檢索與檢測 145
8.2.2 集中智能框架 150
8.2.3 Snort 的IP信譽度檢測 153
8.2.4 Suricata 的IP信譽度檢測 154
8.2.5 Bro的信譽度檢測 156
8.3 本章小結 159
第9章 基于 Snort和Suricata特征檢測 160
9.1 Snort 161
9.2 SURICATA 163
9.3 在 Security Onion 系統中改變 IDS 引擎 165
9.4 初始化Snort 和 Suricata實現入侵檢測 165
9.5 Snort 和 Suricata 的配置 168
9.5.1 變量 168
9.5.2 IP變量 168
9.5.3 定義規則集 171
9.5.4 警報輸出 176
9.5.5 Snort 預處理器 178
9.5.6 NIDS模式命令行附加參數 179
9.6 IDS規則 181
9.6.1 規則解析 181
9.6.2 規則調優 195
9.7 查看 Snort和Suricata警報 201
9.7.1 Snorby 201
9.7.2 Sguil 202
9.8 本章小結 202
第10章 Bro平臺 203
10.1 Bro基本概念 203
10.2 Bro的執行 205
10.3 Bro 日志 205
10.4 使用Bro定制開發檢測工具 209
10.4.1 文件分割 209
10.4.2 選擇性提取文件 211
10.4.3 從網絡流量中實時提取文件 213
10.4.4 打包Bro程序 215
10.4.5 加入配置選項 216
10.4.6 使用Bro監控敵方 218
10.4.7 暗網檢測腳本的擴展 224
10.4.8 重載默認的通知處理 224
10.4.9 屏蔽,郵件,警報——舉手之勞 227
10.4.10 為Bro日志添加新字段 228
10.5 本章小結 231
第11章 基于統計數據異常的檢測 232
11.1 通過SiLK獲得流量排名 232
11.2 通過SiLK發現服務 236
11.3 使用統計結果實現深度檢測 240
11.4 使用Gnuplot實現統計數據的可視化 242
11.5 使用Google圖表實現統計數據的可視化 245
11.6 使用Afterglow實現統計數據的可視化 249
11.7 本章小結 254
第12章 使用金絲雀蜜罐進行檢測 255
12.1 金絲雀蜜罐 255
12.2 蜜罐類型 256
12.3 金絲雀蜜罐架構 257
12.3.1 及時階段:確定待模擬的設備和服務 257
12.3.2 第二階段:確定金絲雀蜜罐安放位置 258
12.3.3 第三階段:建立警報和日志記錄 259
12.4 蜜罐平臺 260
12.4.1 Honeyd 260
12.4.2 Kippo SSH 蜜罐 264
12.4.3 Tom’s Honeypot 267
12.4.4 蜜罐文檔 269
12.5 本章小結 272
第三部分 分析
第13章 數據包分析 274
13.1 走近數據包 274
13.2 數據包數學知識 276
13.2.1 以十六進制方式理解字節 276
13.2.2 十六進制轉換為二進制和十進制 277
13.2.3 字節的計數 278
13.3 數據包分解 280
13.4 用于NSM分析的 cpdump 工具 283
13.5 用于數據包分析的Tshark工具 287
13.6 用于NSM分析的Wireshark工具 291
13.6.1 捕獲數據包 291
13.6.2 改變時間顯示格式 293
13.6.3 捕獲概要 293
13.6.4 協議分層 294
13.6.5 終端和會話 295
13.6.6 流追蹤 296
13.6.7 輸入/輸出數據流量圖 296
13.6.8 導出對象 297
13.6.9 添加自定義字段 298
13.6.10 配置協議解析選項 299
13.6.11 捕獲和顯示過濾器 300
13.7 數據包過濾 301
13.7.1 伯克利數據包過濾器 301
13.7.2 Wireshark顯示過濾器 304
13.8 本章小結 307
第14章 我方情報與威脅情報 308
14.1 適用于NSM的情報過程 308
14.1.1 明確需求 309
14.1.2 制定規劃 309
14.1.3 情報搜集 310
14.1.4 情報處理 310
14.1.5 情報分析 311
14.1.6 情報傳播 311
14.2 生成我方情報 311
14.2.1 網絡資產的病歷和體格 311
14.2.2 定義網絡資產模型 312
14.2.3 被動實時資產檢測系統(PRADS) 315
14.3 生成威脅情報 320
14.3.1 調查敵方主機 322
14.3.2 調查敵方文件 328
14.4 本章小結 333
第15章 分析流程 334
15.1 分析方法 334
15.1.1 關聯調查 335
15.1.2 鑒別診斷 340
15.1.3 分析方法的執行 346
15.2 關于分析的實踐 346
15.2.1 不是自己制造的數據包,就不能保障正確 346
15.2.2 留心你得到的數據處理結果 346
15.2.3 三人行必有我師 347
15.2.4 永遠不要招惹攻擊者 347
15.2.5 數據包,性本善 348
15.2.6 分析不只靠Wireshark,就像天文學不只靠望遠鏡 348
15.2.7 分類是你的朋友 348
15.2.8 10分鐘原則 349
15.2.9 不要把簡單問題復雜化 349
15.3 事件并發癥和死亡率 350
15.3.1 醫療M&M 350
15.3.2 信息安全M&M 351
15.4 本章小結 354
附錄1 Security Onion 控制腳本 355
附錄2 重要Security Onion文件和目錄 360
附錄3 數據包頭 362
附錄4 十進制/十六進制/ASCII碼轉換表 367
不錯,技術類的書就是要不斷更新。
hao shu
當當有活動的時候,往往都刺激我的購買欲,呵呵,每次都趁機給孩子和自己買很多書,讓閱讀成為習慣,讓閱讀成為悅讀,有當當伴隨孩子的成長,我很滿意- -
不錯,值得看看。!!!!!!!。。。。。。。
好
這是一件非常好的商品, 質量很好,推薦給大家,從訂貨到物流服務都非常好,向大家推薦,感謝當當
非常棒的書
好書推薦值得購買
書的質量沒話說。。。這個系列的書都很好
