网志栈编辑推荐
;
内容简介
本书由多位国际信息安全技术专家亲力打造,是系统化建立网络安全监控体系的重要参考,是由菜鸟到NSM分析员的必备参考书。不仅提供了入门基础,并通过多个完整的真实案例阐述了网络安全监控的关键理念与*实践。本书第1章概述了网络安全监控以及现代网络安全环境,讨论了整本书将会用到的基本概念。然后分为收集、检测和分析三大部分来阐述网络安全监控的*实践。第一部分“收集”包括第2~6章,介绍收集什么数据以及如何收集数据,传感器的类型、作用、部署、工具集,全包捕获数据的重要性、工具,数据存储和保存计划,包串数据的生成、解析和查看等。第二部分“检测”包括第7~12章,介绍检测机制、受害信标与特征,基于信誉度的检测方法以及一些分析设备信誉度的资源,使用Snort和Suricata进行基于特征的检测,Bro平台,基于异常的检测与统计数据,使用金丝雀蜜罐进行检测的方法等。第三部分“分析”包括第13~15章,介绍作为NSM分析师最重要的技能,我方情报与威胁情报的建立与分析,整体数据分析的过程以及*分析实例。
;
作者简介
作者简介 About the AuthorChris Sanders,第一作者Chris Sanders 最初是肯塔基州Mayfield的一名信息安全顾问、作家和研究员。那个无名小镇距离一个叫Possum Trot的小镇西南方向30英里,距离一条叫Monkey’s Eyebrow的公路东南方向40英里,刚好位于道路的拐弯处。
; ; ; Chris 是InGuardians的高级安全分析师。他有支持多个政府、军事机构以及财富500强企业的丰富经验。在美国国防部的众多角色中,他有效地促进了计算机网络防御服务提供商(CNDSP)模型的角色作用,协助创建了多种NSM模型以及多款目前在用智能化工具,以保卫国家的利益不受侵害。
; ; ; Chris 曾撰写了多本书籍和学术文章,其中包括国际畅销书《Practical Packet Analysis》,目前已发布了第2版。Chris 目前拥有多项业界认证,包括 SANS、GSE以及CISSP。
; ; ;2008年,Chris 创立农村科技基金(RTF)。RTF是一个501(c)(3)非营利组织,为来自农村地区攻读计算机技术学位的学生提供奖学金机会。该组织还通过各种支持计划促进了技术在农村地区的宣传。RTF目前已为农村学生提供成千上万美元的奖学金和帮助支持。
; ; ; 当Chris不埋头于数据包分析的时候,他喜欢观看肯塔基大学野猫篮球队的比赛,擅长BBQ(美国真人秀节目),业余无人机制作爱好者,在海滩上消磨时光。Chris目前与他的妻子Ellen居住在南卡罗来纳州的Charleston。
; ; ; Chris的博客地址为http://www.appliednsm.com 和 http://www.chrissanders.org。他的推特账号为 @chrissanders88。
; ; ; Jason Smith,合著者Jason Smith 白天是一名入侵检测分析师,晚上则是一名垃圾场工程师。起初来自于肯塔基州的Bowling Green,作为一名有潜质的物理学家,Jason以大数据挖掘和有限元分析为切入点开始他的职业生涯。偶然的运气,对数据挖掘的热爱将他引向了信息安全和网络安全监控,一个让他痴迷于数据处理和自动化的领域。
; ; ; Jason有很长一段时间都在帮助州和联邦机构强化他们的防御功能,现在在Mandiant担任安全工程师。在部分开发工作中,他创建了诸多开源项目,很多已成为DISACNDSP计划的*实践工具。
; ; ; Jason经常在车库里度过周末,从街机柜到开轮式赛车,他都可以建造。其他爱好诸如家居自动化、枪械、大富翁游戏、吉他以及美食。Jason对美国乡村有着深沉的爱,热衷于驾驶,同时对学习有着孜孜不倦的欲望。Jason现在生活在肯塔基州的Framkfort。
; ; ; Jason的博客地址为 http://www.appliednsm.com。他的推特账号为 @automayt。
; ; ; David J. Bianco,贡献者David在Mandiant担任一名狩猎团队领导之前,花了5年的时间为一个财富500强企业建设了一套智能驱动的检测响应系统。在那里,他为一个部署了近600个NSM传感器覆盖超过160个国家的网络设置了检测策略,主导响应了一些国家遭受到的最严重的针对式攻击事件。他在安全社区、博客、演讲和写作上持续活跃着。
; ; ; 他经常在家看《DoctorWho》节目,或演奏他的四套风笛,或与孩子们一起玩耍。他还喜欢在除了海滩之外的任何地方长走。
; ; ; David的博客地址为 http://detect-respond.blogspot.com。他的推特账号为 @DavidJBianco。
; ; ; Liam Randall,贡献者Liam Randall 是旧金山Broala LLC(Bro核心团队专家组)的首席合伙人。最初,他来自于肯塔基州的Louisville,在Xavier大学以系统管理员角色为学校工作,同时也获得了学校的计算机科学学士学位。在那里,他第一次开始了设备驱动安全编程和基于XFS的自动柜员机软件研发。
; ; ; 目前他正为财富500强企业、研究机构和教育网络、军队服务分支、其他安全焦点小组提供高容量安全解决方案咨询。他曾在Shmoocon、Derbycon和MIRcon等会议做过演讲,并经常在安全事件上做Bro训练班的培训。
; ; ; 作为一名丈夫和父亲,Liam在周末时做发酵酒,在他的花园里工作,修理小工具,或制作奶酪。作为一名户外运动爱好者,他和他的妻子喜欢铁人三项,长距离游泳,享受他们的社区活动。
; ; ; Liam的博客地址为 http://liamrandall.com/。他的推特账号为 @Hectaman。
;
目录
Contents 目 录
译者序
作者简介
序 言
前 言
第1章 网络安全监控应用实践 ; 1
1.1 关键NSM术语 ; 2
1.1.1 资产 ; 2
1.1.2 威胁 ; 2
1.1.3 漏洞 ; 3
1.1.4 利用 ; 3
1.1.5 风险 ; 3
1.1.6 异常 ; ; 3
1.1.7 事故 ; 3
1.2 入侵检测 ; 4
1.3 网络安全监控 ; 4
1.4 以漏洞为中心vs以威胁为中心 ; 7
1.5 NSM周期:收集、检测和分析 ; 7
1.5.1 收集 ; 7
1.5.2 检测 ; 8
1.5.3 分析 ; 8
1.6 NSM的挑战 ; 9
1.7 定义分析师 ; 9
1.7.1 关键技能 ; 10
1.7.2 分类分析师 ; 11
1.7.3 成功措施 ; 12
1.8 Security Onion ;15
1.8.1 初始化安装 ; 15
1.8.2 更新Security Onion ;16
1.8.3 执行NSM服务安装 ; 16
1.8.4 测试Security Onion ;17
1.9 本章小结 ; 19
第一部分 收集
第2章 数据收集计划 ; 22
2.1 应用收集框架 ; 22
2.1.1 威胁定义 ; 23
2.1.2 量化风险 ; 24
2.1.3 识别数据源 ; 25
2.1.4 焦点缩小 ; 26
2.2 案例:网上零售商 ; 28
2.2.1 识别组织威胁 ; 28
2.2.2 量化风险 ; 29
2.2.3 识别数据源 ; 30
2.2.4 焦点缩小 ; 33
2.3 本章小结 ; 35
第3章 传感器平台 ; 36
3.1 NSM数据类型 ; 37
3.1.1 全包捕获数据 ; 37
3.1.2 会话数据 ; 37
3.1.3 统计数据 ; 37
3.1.4 包字符串数据 ; 37
3.1.5 日志数据 ; 38
3.1.6 告警数据 ; 38
3.2 传感器类型 39
3.2.1 仅收集 39
3.2.2 半周期 39
3.2.3 全周期检测 39
3.3 传感器硬件 40
3.3.1 CPU 41
3.3.2 内存 42
3.3.3 磁盘存储空间 42
3.3.4 网络接口 44
3.3.5 负载平衡:套接字缓冲区的
要求 45
3.3.6 SPAN端口 vs 网络分流器 46
3.4 传感器高级操作系统 50
3.5 传感器的安置 50
3.5.1 利用适当的资源 50
3.5.2 网络入口/出口点 50
3.5.3 内部IP地址的可视性 51
3.5.4 靠近关键资产 54
3.5.5 创建传感器可视化视图 55
3.6 加固传感器 57
3.6.1 操作系统和软件更新 57
3.6.2 操作系统加固 57
3.6.3 限制上网 57
3.6.4 最小化软件安装 58
3.6.5 VLAN分割 58
3.6.6 基于主机的IDS 58
3.6.7 双因素身份验证 58
3.6.8 基于网络的IDS 59
3.7 本章小结 59
第4章 会话数据 60
4.1 流量记录 61
4.1.1 NetFlow 63
4.1.2 IPFIX 64
4.1.3 其他流类型 64
4.2 收集会话数据 64
4.2.1 硬件生成 65
4.2.2 软件生成 65
4.3 使用SiLK收集和分析流数据 66
4.3.1 SiLK包工具集 66
4.3.2 SiLK流类型 68
4.3.3 SiLK分析工具集 68
4.3.4 在Security Onin里安装SiLK 69
4.3.5 使用Rwfilter过滤流数据 69
4.3.6 在Rwtools之间使用数据管道 70
4.3.7 其他SiLK资源 73
4.4 使用Argus收集和分析流数据 73
4.4.1 解决框架 74
4.4.2 特性 74
4.4.3 基础数据检索 75
4.4.4 其他Argus资源 76
4.5 会话数据的存储考虑 76
4.6 本章小结 78
第5章 全包捕获数据 79
5.1 Dumpcap 80
5.2 Daemonlogger 81
5.3 Netsniff-NG 83
5.4 选择合适的FPC收集工具 84
5.5 FPC收集计划 84
5.5.1 存储考虑 85
5.5.2 使用Netsniff-NG和IFPPS
计算传感器接口吞吐量 86
5.5.3 使用会话数据计算传感器接口吞吐量 87
5.6 减少FPC数据存储预算 88
5.6.1 过滤服务 88
5.6.2 过滤主机到主机的通信 90
5.7 管理FPC数据存储周期 91
5.7.1 基于时间的存储管理 92
5.7.2 基于大小的存储管理 92
5.8 本章小结 96
第6章 包字符串数据 97
6.1 定义包字符串数据 97
6.2 PSTR数据收集 99
6.2.1 手动生成PSTR数据 100
6.2.2 URLSnarf 101
6.2.3 Httpry 102
6.2.4 Justniffer 104
6.3 查看PSTR数据 107
6.3.1 Logstash 107
6.3.2 使用BASH工具解析
原始文本 114
6.4 本章小结 116
第二部分 检测
第7章 检测机制、受害信标与特征 118
7.1 检测机制 118
7.2 受害信标和特征 119
7.2.1 主机信标和网络信标 120
7.2.2 静态信标 120
7.2.3 可变信标 123
7.2.4 信标与特征的进化 124
7.2.5 特征调优 125
7.2.6 信标和特征的关键标准 127
7.3 信标和特征的管理 128
7.4 信标与特征框架 133
7.4.1 OpenIOC 134
7.4.2 STIX 135
7.5 本章小结 137
第8章 基于信誉度的检测 138
8.1 公开信誉度列表 138
8.1.1 常用公开信誉度列表 139
8.1.2 使用公共信誉度列表的常见问题 143
8.2 基于信誉度的自动化检测 145
8.2.1 使用BASH脚本实现手动检索与检测 145
8.2.2 集中智能框架 150
8.2.3 Snort 的IP信誉度检测 153
8.2.4 Suricata 的IP信誉度检测 154
8.2.5 Bro的信誉度检测 156
8.3 本章小结 159
第9章 基于 Snort和Suricata特征检测 160
9.1 Snort 161
9.2 SURICATA 163
9.3 在 Security Onion 系统中改变 IDS 引擎 165
9.4 初始化Snort 和 Suricata实现入侵检测 165
9.5 Snort 和 Suricata 的配置 168
9.5.1 变量 168
9.5.2 IP变量 168
9.5.3 定义规则集 171
9.5.4 警报输出 176
9.5.5 Snort 预处理器 178
9.5.6 NIDS模式命令行附加参数 179
9.6 IDS规则 181
9.6.1 规则解析 181
9.6.2 规则调优 195
9.7 查看 Snort和Suricata警报 201
9.7.1 Snorby 201
9.7.2 Sguil 202
9.8 本章小结 202
第10章 Bro平台 203
10.1 Bro基本概念 203
10.2 Bro的执行 205
10.3 Bro 日志 205
10.4 使用Bro定制开发检测工具 209
10.4.1 文件分割 209
10.4.2 选择性提取文件 211
10.4.3 从网络流量中实时提取文件 213
10.4.4 打包Bro程序 215
10.4.5 加入配置选项 216
10.4.6 使用Bro监控敌方 218
10.4.7 暗网检测脚本的扩展 224
10.4.8 重载默认的通知处理 224
10.4.9 屏蔽,邮件,警报——举手之劳 227
10.4.10 为Bro日志添加新字段 228
10.5 本章小结 231
第11章 基于统计数据异常的检测 232
11.1 通过SiLK获得流量排名 232
11.2 通过SiLK发现服务 236
11.3 使用统计结果实现深度检测 240
11.4 使用Gnuplot实现统计数据的可视化 242
11.5 使用Google图表实现统计数据的可视化 245
11.6 使用Afterglow实现统计数据的可视化 249
11.7 本章小结 254
第12章 使用金丝雀蜜罐进行检测 255
12.1 金丝雀蜜罐 255
12.2 蜜罐类型 256
12.3 金丝雀蜜罐架构 257
12.3.1 第一阶段:确定待模拟的设备和服务 257
12.3.2 第二阶段:确定金丝雀蜜罐安放位置 258
12.3.3 第三阶段:建立警报和日志记录 259
12.4 蜜罐平台 260
12.4.1 Honeyd 260
12.4.2 Kippo SSH 蜜罐 264
12.4.3 Tom’s Honeypot 267
12.4.4 蜜罐文档 269
12.5 本章小结 272
第三部分 分析
第13章 数据包分析 274
13.1 走近数据包 274
13.2 数据包数学知识 276
13.2.1 以十六进制方式理解字节 276
13.2.2 十六进制转换为二进制和十进制 277
13.2.3 字节的计数 278
13.3 数据包分解 280
13.4 用于NSM分析的 cpdump 工具 283
13.5 用于数据包分析的Tshark工具 287
13.6 用于NSM分析的Wireshark工具 291
13.6.1 捕获数据包 291
13.6.2 改变时间显示格式 293
13.6.3 捕获概要 293
13.6.4 协议分层 294
13.6.5 终端和会话 295
13.6.6 流追踪 296
13.6.7 输入/输出数据流量图 296
13.6.8 导出对象 297
13.6.9 添加自定义字段 298
13.6.10 配置协议解析选项 299
13.6.11 捕获和显示过滤器 300
13.7 数据包过滤 301
13.7.1 伯克利数据包过滤器 301
13.7.2 Wireshark显示过滤器 304
13.8 本章小结 307
第14章 我方情报与威胁情报 308
14.1 适用于NSM的情报过程 308
14.1.1 明确需求 309
14.1.2 制定规划 309
14.1.3 情报搜集 310
14.1.4 情报处理 310
14.1.5 情报分析 311
14.1.6 情报传播 311
14.2 生成我方情报 311
14.2.1 网络资产的病历和体格 311
14.2.2 定义网络资产模型 312
14.2.3 被动实时资产检测系统(PRADS) 315
14.3 生成威胁情报 320
14.3.1 调查敌方主机 322
14.3.2 调查敌方文件 328
14.4 本章小结 333
第15章 分析流程 334
15.1 分析方法 334
15.1.1 关联调查 335
15.1.2 鉴别诊断 340
15.1.3 分析方法的执行 346
15.2 关于分析的最佳实践 346
15.2.1 不是自己制造的数据包,就不能保证完全正确 346
15.2.2 留心你得到的数据处理结果 346
15.2.3 三人行必有我师 347
15.2.4 永远不要招惹攻击者 347
15.2.5 数据包,性本善 348
15.2.6 分析不只靠Wireshark,就像天文学不只靠望远镜 348
15.2.7 分类是你的朋友 348
15.2.8 10分钟原则 349
15.2.9 不要把简单问题复杂化 349
15.3 事件并发症和死亡率 350
15.3.1 医疗M&M 350
15.3.2 信息安全M&M 351
15.4 本章小结 354
附录1 Security Onion 控制脚本 355
附录2 重要Security Onion文件和目录 360
附录3 数据包头 362
附录4 十进制/十六进制/ASCII码转换表 367
前沿
preface前 言我喜欢抓坏人。当我还是个小孩子的时候,就想以某些方式抓住坏人。例如,就近找一条毛巾披上作斗篷,与小伙伴们满屋子跑,玩警察抓小偷的游戏。长大后,每当看到为百姓伸张正义,让各种坏蛋得到应有的惩罚,我都特别开心。但不管我多努力去尝试,我的愤怒也无法让我变成一个绿巨人,不管我被多少蜘蛛咬了,我也无法从我的手臂里发射出蜘蛛网。我也很快意识到我并不适合做执法工作。
自从认识到这个现实,我意识到我没有足够的财富建一堆华丽的小工具,并身着蝙蝠衣在夜里绕飞巡逻,所以我结束了一切幻想,将我的注意力转向了我的电脑。事隔多年,我已走出了童年梦想中想活捉坏蛋的角色,那已不是我最初想象的那种感觉。
通过网络安全监控(NSM)的实战抓住坏人,这也是本书的主旨。NSM是基于防范最终失效的原则,就是说无论你在保护你的网络中投入多少时间,坏人都有可能获胜。当这种情况发生时,你必须在组织上和技术上的位置,检测到入侵者的存在并及时做出响应,使事件可以得到及时通报,并以最小代价减小入侵者的破坏。
“我要怎样做才能在网络上发现坏人?”
走上NSM实践的道路通常始于这个问题。NSM的问题其实是一种实践,而这个领域的专家则是NSM的实践者。
科学家们通常被称作科技领域的实战者。在最近的上世纪80年代,医学上认为牛奶是治疗溃疡的有效方法。随着时间的推移,科学家们发现溃疡是由幽门螺旋杆菌引起的,而奶制品实际上会进一步加剧溃疡的恶化。虽然我们愿意相信大多数科学是准确的,但有时不是这样。所有科学研究是基于当时可用的最佳数据,当随着时间的推移出现新的数据时,老问题的答案就会改变,并且重新定义了过去曾经被认为是事实的结论。这是医学研究的现实,也是作为NSM从业者面对的现实。
遗憾的是,当我开始涉猎NSM时,关于这个话题并没有太多参考资料可用。坦白地说,现在也没有。除了行业先驱者们偶尔写的博客以及一些特定的书籍外,大多数试图学习这个领域的人都被限制在他们自己设备的范围内。我觉得这是一个合适的时机来澄清一个重要误解,以消除我先前说法的潜在疑惑。市面上有各式各样的关于TCP/IP、包分析和各种入侵检测系统(IDS)话题的书籍。尽管这些书本中提及的概念是NSM的重要方面,但它们并不构成NSM的全过程。这就好比说,一本关于扳手的书,会教你如何诊断汽车,但不会教你如何启动。
本书致力于阐述NSM的实践。这意味着本书并不只是简单地提供NSM的工具或个别组件的概述,而是将讲解NSM的流程以及这些工具和组件是如何应用于实践的。
目标读者本书最终将作为执业NSM分析师的指南。我每天的职责也包括对新分析师的培训,因此本书不仅为读者提供教育素材,也为培训过程提供支持性教材。既然如此,我的期望是读者们能将本书从头到尾阅览,对成为一名优秀分析师的核心概念能有入门级的掌握。
如果你已经是一名执业分析师,那么我希望本书将为你打下一个良好基础,让你可以增强分析技能,提升现有的工作效率。目前我已与数名优秀分析师共事,他们将成长为伟大的分析师,因为他们可以用本书中提及的一些技术和信息去提高他们的效率。
NSM的有效实践需要对各类工具有一定程度的熟练运用。因此,本书将会讨论到数款工具,但仅限于从分析师的立场去讨论。当我讨论Snort IDS、SiLK分析工具集或其他工具时,那些负责安装维护这些工具的人会发现我并不会很长篇大论地讲这些过程。但在有需要的时候,我会将其他相关资源补充进来。
此外,本书完全专注于免费和开源工具。这不仅是为了吸引更多可能没有预算来购买诸如NetWitness、Arcsight等商业分析工具的人,也是为了展示使用基于开源分析设计的工具带来的内在优势,因为它们在数据交互的过程能够提供更高的透明度。
所需基础知识最成功的NSM分析师在开始安全相关工作之前,通常在其他信息技术领域已经拥有丰富的经验。这是因为他们已经具备了作为一名分析师的其他重要技能,比如对系统、网络管理的理解。如果没有这样的经历,建议阅读一些书,我罗列了一份我十分喜爱的主要书籍清单,我认为这些书能够帮助读者深入了解一名分析师必备的重要技能。我已尽了最大努力,让读者在不需要太多基础知识的前提下阅读本书。但如果读者感兴趣,我强烈推荐阅读部分书籍作为本书的补充。
《TCP/IP 详解,卷1,协议》,作者 Kevin Fall 和 Dr. Richard Stevens (Addison Wesley出版社,2011)。对TCP/IP的核心理解是让NSM更加有效的重要技能之一。早期Dr. Richard Stevens 的经典文著已经被Kevin Fall更新,增加了最新的协议、标准、最佳实践、IPv6、协议安全,等等。
《The Tao ofNetwork Security Monitoring》,作者 Richard Bejtlich (Addison Wesley出版社,2004)。Richard Bejtlich 帮助定义了很多概念,这些概念奠定了NSM实践的基础。基于这样的事实,我在整本书中会经常引用他的书或博客的内容。尽管Richard的书已经有将近10年的历史,但书中的许多材料仍然使它成为NSM范畴内相关文案。
《PracticalPacket Analysis》 作者 Chris Sanders(No Starch Press出版社,2010)。我不是王婆卖瓜。鉴于 Dr. Stevens 的书已为TCP/IP协议提供全面深入的阐述,这本书则是使用Wireshark作为首选工具从实践层面讨论数据包分析。我们在书中讲述如何做数据包检测,如果你之前从未看过数据包,我建议你将此书作为基础。
《Counter HackReloaded》 作者Ed Skoudis 和 TomLison(Prentice Hall出版社,2006)。我一直认为这本书绝对是最佳常规安全书籍之一。它覆盖的范围非常广,我向任何经验级别的读者都推荐此书。如果你从未做过安全相关的工作,那么我会说《Counter Hack Reloaded》是必读的一本书。
本书的组织本书划分成三部分:收集、检测和分析,每章重点讨论相关的工具、技术和核心领域流程。我是一个来自肯塔基州的普通乡村男孩,所以我将尽我所能地用一种不加太多修辞的简单基调来阐述。我也将尝试引入典型的先进概念,并尽可能把它们分解成一系列可重复的步骤。正如任何书籍阐述广义概念一样,当一个概念被提出时,请记住,它并不会覆盖每一种可能的场景或边缘案例。尽管我可以举出一些案例作为一个最佳实践,但本书最终构建的理论是基于集体研究、经验以及合著者的观点。因此,可能会有这样的场景,你的研究、经验和观点导致你对提及的话题有不同的结论。这是完全正常的情况,这就是为什么NSM是一门实践。
第1章:网络安全监控应用实践 这章专门定义了网络安全监控和它在现代安全环境的相关性。它讨论了很多整本书将会用到和引用到的核心术语和假设。
第一部分:收集第2章:数据收集计划 这是ANSM收集部分的第1章,介绍了数据收集和它的重要性。本章将介绍数据收集实施框架,它使用一种基于风险的方法来决定哪些数据应该被收集。
第3章:传感器平台 这章介绍NSM部署中最重要的硬件组成:传感器。首先,我们对NSM的各类数据类型和传感器类型做简要概述。接着,引出讨论购买和部署传感器的重要考虑因素。最后我们将谈及NSM传感器在网络上的位置,包括创建网络可视化地图分析的入门。
第4章:会话数据 该章讨论会话数据的重要性,同时详细介绍用于收集NetFlow数据的SiLK工具集。我们还将就会话数据的收集和解析对Argus工具集进行简要分析。
第5章:全包捕获数据 该章开头对全包捕获数据的重要性作概述。接着分析了几款允许全包捕获PCAP数据的工具,包括Netsniff-NG、Daemonlogger和Dumpcap,引出对FPC数据存储和保存计划,包括裁剪FPC数据存储数量不同考虑因素的讨论。
第6章:包字符串数据 该章介绍了包字符串数据(PSTR)以及它在NSM分析过程里的有效性。我们将介绍几种生成PSTR数据的方法:使用工具Httpry和Justniffer,我们还将了解用于解析和查看PSTR数据的工具:Logstash 和Kibana。
第二部分:检测第7章:检测机制、受害信标与特征 该章讨论检测机制与妥协指标(IOC)之间的关系。我们介绍IOCs是如何被逻辑组织,以及它们是如何被纳入到NSM计划进行有效管理的。这里面将会包含对指标分类的系统,以及部署在各种检测机制里的,用于计算和跟踪指标精确度的度量。我们也将看到两种不同格式的IOC :OpenIOC 和 STIX。
第8章:基于信誉度的检测 该章将讨论第一种特定类型的检测:基于信誉度的检测。我们将讨论基于信誉度检测的基本原理,以及一些分析设备信誉度的资源。此次讨论将倾向于过程自动化的解决方案,并演示了如何使用简单BASH脚本,或通过使用Snort、Suricata、CIF或Bro来完成这一过程。
第9章:基于Snort和Suricata特征的检测 基于特征的检测是入侵检测最传统的方式。本章将介绍这种检测类型的入门,并讨论入侵检测系统Snort和Suricata的使用方法。这里面包含Snort和Suricata的用法,以及为两种平台创建IDS特征的详细讨论。
第10章:Bro平台 该章将介绍Bro,比较流行的基于异常的检测解决方案之一。本章将综述Bro的架构、Bro语音和几个实际案例,来演示Bro作为一款IDS和网络记录引擎真正惊人的威力。
第11章:基于统计数据异常的检测 该章将讨论使用统计数据进行网络异常识别。这将侧重于使用各种NetFlow工具,如:rwstats和rwcount。我们将讨论使用Gnuplot和谷歌画图API进行可视化统计的方法。本章将提供几个能从NSM数据中生成有用统计的实际案例。
第12章:使用金丝雀蜜罐进行检测 金丝雀蜜罐以前仅用于研究目的,现在却是一种能用于有效检测的操作型蜜罐工具。本章将提供不同类型的蜜罐概况,以及什么特定类型能在NSM环境中被应用。我们将介绍几款能用于监控用途的流行蜜罐应用程序,如:Honeyd、Kippo和Tom’s Honeypot。我们也将简要讨论Honeydocs的概念。
第三部分:分析第13章:数据包分析 这是NSM分析师最重要的技能,是具备解读和解密关键网络通信数据包的能力。为了有效做到这一点,需要对数据包是如何被分割有个基本的了解。该章将为读者提供基础支持,并说明如何逐字节单位地分解数据包字段。我们通过使用tcpdump和Wireshark来证实这些概念。该章也将通过使用Berkeley 包过滤器和Wireshark显示过滤器来介绍高级包过滤技术的基础。
第14章:我方情报与威胁情报 我方情报与威胁情报的生成,能够影响事件调查的好坏。本章首先介绍了传统的情报循环如何用于NSM。紧跟着,介绍通过网络扫描产生资产数据和扩充PRADS数据来生成我方情报的方法。最后,我们将分析威胁情报的种类并讨论关于敌对主机的战略威胁情报研究的几个基本方法。
第15章:分析流程 最后一章讨论整体的分析过程。开始只是讨论分析过程,后来分解成两个不同的分析过程:关系调查和鉴别诊断。紧跟着,讨论了从失败的事件中学到的教训过程。最后,我们以几个最佳分析实例来结束本书。
IP地址免责声明在本书中,提及的例子、原始数据和截图中涉及一些IP地址。在这些案例中,除非另外指明,这些IP地址已被各种工具随机化。因此,任何引用涉及某个组织的任意IP地址,纯属巧合,绝不代表是由那些实体产生的实际流量。
本书配套网站还有相当多的东西我们想在本书中介绍,但我们根本找不到地方容纳进来。于是,我们创建了一个配套网站,包含不同NSM话题的各种额外想法,以及代码片段、技巧和窍门。如果你喜欢本书内容,那么可以考虑查阅配套网站 http://www.appliednsm.com。虽然在本书完成出版前本站点并没有太多的更新,我们计划在本书发行后定期更新这个博客。本书的任何勘误也将在这里持续更新。
慈善支持我们很自豪地声明,本书所得版税将100%捐赠出去,用于支持以下五个慈善事业。
农村科技基金农村学生,特别是那些成绩优异的、接触到技术的机会通常会比他们在城市或城郊的同行少。2008年,克里斯·桑德斯创立了农村科技基金(RTF)。RTF的主旨是减少农村社区与他们的城市和城郊同行之间的技术鸿沟,方法是通过有针对性的奖学金计划、社区参与,以及在农村地区全面推广和宣传技术。
我们的奖学金是针对那些生活在农村社区、对计算机技术拥有热情并打算在这个领域继续深造的学生。本书版税的一部分将用于支持这些奖学金计划,并提供树莓派计算机给农村学校。
更多信息请参见:http://www.ruraltechfund.org黑客慈善组织(HFC)由 Johnny Long 创立,HFC雇佣黑客志愿者(无条件),让他们从事于短暂的“微型项目”,旨在帮助那些无法提供传统技术资源的慈善机构。除此之外,HFC也在乌干达、东非地区支持援助组织帮助世界上最贫穷的公民。他们提供免费的电脑培训、技术支持、网络服务等。他们已经帮助许多当地学校增设电脑和培训软件。此外,HFC还通过他们的食物计划为东非的儿童们提供食物。
更多信息请参见:http://www.hackersforcharity.orgKivaKiva是第一个允许通过多领域公司直接捐钱给发展中国家人们的在线借贷平台。Kiva记录了每一个需要贷款的人的个人故事,让捐赠者能够直接联系他们。简单地说,Kiva方便了改变生活的借贷。该基金的捐赠来自于本书的销售所得,并为有需要的人提供这些贷款。
更多信息请参见:http://www.kiva.orgWarriors希望工程Warriors希望工程(Hope for the Warriors)的任务是提升后911服役人员的生活品质,包括他们的家人,以及那些曾在工作岗位上因持续的生理和心理创伤而倒下的家庭。Warriors希望工程致力于恢复自我意识,恢复家庭单位,以及恢复我们的服务人员和我们的军人家属对生活的希望。
更多信息请参见:http://www.hopeforthewarriors.org自闭症演讲组织自闭症是一种非常复杂的病症状态,患者在社交互动、沟通、重复的行为上均存在不同程度的困难。美国疾病控制中心估计,88个美国儿童当中会有1个存在某种形式的自闭症。自闭症演讲组织是一个致力于改变那些与自闭症作斗争的患者们的未来的组织。他们通过为生物医学研究提供资金来做到这一点,研究的范围涉及自闭症的病因、预防、治疗和治愈。自闭症演讲组织也提供自闭症宣传,以及为自闭症患者的家庭提供支持。
更多信息请参见:http://autismspeaks.org联系我们我和我的合著者们投入了大量的时间和精力在本书上,所以当我们听到有人读过我们的书并想分享他们的想法时,我们总是很兴奋。无论你想在什么时候联系我们,你可以把所有问题、意见、威胁和婚姻的建议直接发给我们,我们的联系方式如下:
Chris Sanders,第一作者E-mail: chris@chrissanders.orgBlog: http://www.chrissanders.org;http://www.appliednsm.comTwitter: @chrissanders88Jason Smith, 合著者E-mail: jason.smith.webmail@gmail.comBlog:http://www.appliednsm.comTwitter: @automaytDavid J. Bianco,贡献者E-mail: davidjbianco@gmail.comBlog:http://detect-respond.blogspot.com/; http://www.appliednsm.comTwitter:@davidjbiancoLiam Randall, 贡献者E-mail: liam@bro.orgBlog:http://liamrandall.com; http://www.appliednsm.comTwitter: @liamrandall致谢《哥林多后书》第12章节如是说:“但他对我说,‘我的恩典够你用的,因为我的能力是在人的软弱上显得完全。’因此,我更喜欢夸自己软弱,好让基督的能力庇佑我”。
写这本书的过程简直证明了上帝的力量对人性弱点的完善。本书是我曾经参与的最困难的项目之一,对上帝的信念让我能够最终坚持下来。因为上帝,这本书以及我所做的一切都是可能的,我真诚地希望我的这次工作可以作为上帝神奇力量的见证。
这本书之所以能完成,离不开许多朋友直接或间接的帮助。我想借此机会感谢他们。
Ellen,你是我的挚爱,我的后盾,我的力量,也是我的头号粉丝。没有你,这一切是不可能成功的。我要感谢你曾经承受过的压力与绝望,以及本书写作过程中那些疯狂的日日夜夜。同时我还想感谢你帮助修改本书。我想,你的英语专业终于派上了用场。我爱你,成为你的丈夫我感到很自豪。
爸爸妈妈,在你们的影响下成长,使我成为一个独特的人。作为子女我所能做的将会继续坚持,传承你们赋予的性格并分享你们给予的爱。我爱你,爸爸;我也爱你,妈妈。
我的家庭,尽管我们只是一个小团体,我们之间分享的爱却是浓厚的,这对我来说太重要了。虽然我们相距甚远,但我知道你们爱着我并支持我,我很感激这一点。
Perkins的家庭,感谢你积极地让我走入你的生活,我很幸运,有你的爱和支持。
Jason Smith,毫不夸张地说,你是我遇到过的最睿智的人,与你相处非常愉悦。你不止是一个伟大的同事和合着者,你更是一个久经考验的朋友。我可以毫不犹豫地说,你已经是我的兄弟。我永远感激这一切。
David Bianco和LiamRandall,我已经不知道怎么感谢你们对本书的巨大贡献。你们的贡献价值实际已远远超出你们的想象。
至于我的同事(过去的和现在的),我一直认为,如果一个人周围都是好人,他会成为一个更好的人。很幸运我在公司工作中能够与一些优秀、正直的人共事。我要特别感谢我的InGuardians(公司名)大家庭:Jimmy、Jay、Suzanne、Teresa、John、Tom、Don、 Rad、Larry、Jaime、James、Bob和Alec。我还想感谢Mike Poor,是他为本书写的序言,他也依然是我心目中的数据包忍者偶像之一。
Syngress的工作人员,谢谢你们让我有机会写成这本书,并帮助我将这个梦想变成现实。
本书的技术内容和方向涉及的领域可能超出了我的认知能力,但我会尽力做到最好。除了上面提到的亲朋好友,我还要感谢以下人员作出的贡献,是他们协助对每个章节做了细致的审查,让我从他们身上获得不少好的创作灵感,本书的成功离不开他们的支持,人员罗列如下(排名不分先后):
Alexi Valencia、Ryan Clark、Joe Kadar、Stephen Reese、Tara Wink、Doug Burks、Richard Bejtlich、George Jones、Richard Friedberg、Geoffrey Sanders、Emily Sarneso、Mark Thomas、Daniel Ruef、 CERT NetSA团队的其他成员、Joel Esler、Bro团队、Mila Parkour、DustinWeber、and Daniel Borkmann。
Chris Sanders
网络安全监控:收集、检测和分析 pdf下载声明
本pdf资料下载仅供个人学习和研究使用,不能用于商业用途,请在下载后24小时内删除。如果喜欢,请购买正版
