網路安全監控:收集、檢測和分析

網路安全監控:收集、檢測和分析

《網路安全監控:收集、檢測和分析》中國機械工業出版社在2016 年1月出版,作者:(美)克里斯·桑德斯(Chris Sanders) 、 (美)傑森·史密斯(Jason Smith);翻譯:李柏松、 李燕宏 ,本書圍繞NSM(網路安全監控)的採集、檢測和分析三個階段展開,由多位NSM資深專家親力打造,給出了NSM的系統化概念與最佳實踐,有些知識可以直接派上用場。如果你剛開始NSM分析工作,本書能幫助你掌握為真正的分析師所需的核心概念;如果你已經扮演著分析師的角色,本書可幫你汲取分析技巧,提高分析效果。

譯者序

一直以來,在企業網路安全的攻、防對抗中,防禦者都是處於不利位置的。這不僅因為攻、防雙方力量對比懸殊,更重要的是,防禦方往往需要全面防守,一著不慎則滿盤皆輸;攻擊方只需要單點成功突破,藉助區域網路橫向滲透手段,就可以在企業網路環境中肆無忌憚地獲取所需資源。另外,“敵在暗,我在明”,防禦者往往無法及時發現、分析、處置網路安全事件,只能在安全事件發生後,被動回響,收拾殘局。假設防禦方能夠有效地部署網路安全監控產品,全面地收集網路數據,準確地檢測安全威脅,深入地分析調查安全事件出現的原因,就可以及時發現防禦工事的脆弱之處,有針對性地調整防禦策略。
本書全面地介紹了網路安全監控“收集、檢測、分析”各環節的技術要點。對於一些關鍵步驟,作者結合大量的實戰案例,詳細地講解具體操作方法。即使是初學者,也可以在本書的指導之下輕鬆上手。對於具有一定基礎的分析人員,書中提供了大量的實用腳本和公共網路資源,以及作者根據多年實戰經驗總結出的若干最佳實踐。雖然這是一本專業性較強的技術書籍,但作者行文生動活潑、語調輕鬆詼諧,讀起來饒有趣味。
值得一提的是,在本書第12章 “使用金絲雀蜜罐進行檢測”中,作者介紹了蜜罐文檔(Honeydoc)的使用方法,這是一個簡便易行的攻擊者溯源的技術手段,能夠以極低的實施成本,在一定程度上對網路安全事件作出預警,甚至可以輔助定位到攻擊者。在2015年度中國網際網路安全大會(ISC2015)的“APT與新威脅論壇”中,我曾在相關議題中介紹了作者提出的這種思路。另外,在本書第15章 “分析流程”中,作者創造性地將刑偵調查和醫學診斷這兩套分析模型套用於網路安全事件的分析中。這兩個模型的引入,將原本錯綜複雜的分析方法解釋得通俗易懂。
由於譯者水平有限,譯文中難免存在紕漏,懇請讀者批評、指正。讀者在閱讀本書的過程中,如果對譯文有任何意見或建議,或者對書中(尤其是對檢測、分析這兩部分的內容)提及的技術手段、實現方法有什麼想法或思路。
最後,感謝家人給我的支持,感謝安天的同事們給我的幫助,感謝吳怡編輯和合譯者燕宏給我的鼓勵。
李柏松
2015年10月25日於哈爾濱

內容介紹

主要內容
·探討部署、執行NSM數據採集策略的恰當方法。
·提供包括Snort、Suricata、Bro-IDS、Silk、PRADS及更多工具在內的實戰演練。
·明確提出適用於以結構化和體系化方法進行NSM的綜合分析框架。
·內含Security Qnion Linux的多個套用實例。
·配套網站包括作者關於NSM最新進展的實時更新部落格,全面補充了書中材料。

圖書目錄

第1章:網路安全監控套用實踐這章專門定義了網路安全監控和它在現代安全環境的相關性。它討論了很多整本書將會用到和引用到的核心術語和假設。
第一部分:收集
第2章:數據收集計畫這是ANSM收集部分的第1章,介紹了數據收集和它的重要性。本章將介紹數據收集實施框架,它使用一種基於風險的方法來決定哪些數據應該被收集。
第3章:感測器平台這章介紹NSM部署中最重要的硬體組成:感測器。首先,我們對NSM的各類數據類型和感測器類型做簡要概述。接著,引出討論購買和部署感測器的重要考慮因素。最後我們將談及NSM感測器在網路上的位置,包括創建網路可視化地圖分析的入門。
第4章:會話數據該章討論會話數據的重要性,同時詳細介紹用於收集NetFlow數據的SiLK工具集。我們還將就會話數據的收集和解析對Argus工具集進行簡要分析。
第5章:全包捕獲數據該章開頭對全包捕獲數據的重要性作概述。接著分析了幾款允許全包捕獲PCAP數據的工具,包括Netsniff-NG、Daemonlogger和Dumpcap,引出對FPC數據存儲和保存計畫,包括裁剪FPC數據存儲數量不同考慮因素的討論。
第6章:包字元串數據該章介紹了包字元串數據(PSTR)以及它在NSM分析過程里的有效性。我們將介紹幾種生成PSTR數據的方法:使用工具Httpry和Justniffer,我們還將了解用於解析和查看PSTR數據的工具:Logstash 和Kibana。
第二部分:檢測
第7章:檢測機制、受害信標與特徵該章討論檢測機制與妥協指標(IOC)之間的關係。我們介紹IOCs是如何被邏輯組織,以及它們是如何被納入到NSM計畫進行有效管理的。這裡面將會包含對指標分類的系統,以及部署在各種檢測機制里的,用於計算和跟蹤指標精確度的度量。我們也將看到兩種不同格式的IOC :OpenIOC 和 STIX。
第8章:基於信譽度的檢測該章將討論第一種特定類型的檢測:基於信譽度的檢測。我們將討論基於信譽度檢測的基本原理,以及一些分析設備信譽度的資源。此次討論將傾向於過程自動化的解決方案,並演示了如何使用簡單BASH腳本,或通過使用Snort、Suricata、CIF或Bro來完成這一過程。
第9章:基於Snort和Suricata特徵的檢測基於特徵的檢測是入侵檢測最傳統的方式。本章將介紹這種檢測類型的入門,並討論入侵檢測系統Snort和Suricata的使用方法。這裡面包含Snort和Suricata的用法,以及為兩種平台創建IDS特徵的詳細討論。
第10章:Bro平台該章將介紹Bro,比較流行的基於異常的檢測解決方案之一。本章將綜述Bro的架構、Bro語音和幾個實際案例,來演示Bro作為一款IDS和網路記錄引擎真正驚人的威力。
第11章:基於統計數據異常的檢測該章將討論使用統計數據進行網路異常識別。這將側重於使用各種NetFlow工具,如:rwstats和rwcount。我們將討論使用Gnuplot和谷歌畫圖API進行可視化統計的方法。本章將提供幾個能從NSM數據中生成有用統計的實際案例。
第12章:使用金絲雀蜜罐進行檢測金絲雀蜜罐以前僅用於研究目的,現在卻是一種能用於有效檢測的操作型蜜罐工具。本章將提供不同類型的蜜罐概況,以及什麼特定類型能在NSM環境中被套用。我們將介紹幾款能用於監控用途的流行蜜罐應用程式,如:Honeyd、Kippo和Tom’s Honeypot。我們也將簡要討論Honeydocs的概念。
第三部分:分析
第13章:數據包分析這是NSM分析師最重要的技能,是具備解讀和解密關鍵網路通信數據包的能力。為了有效做到這一點,需要對數據包是如何被分割有個基本的了解。該章將為讀者提供基礎支持,並說明如何逐位元組單位地分解數據包欄位。我們通過使用tcpdump和Wireshark來證實這些概念。該章也將通過使用Berkeley 包過濾器和Wireshark顯示過濾器來介紹高級包過濾技術的基礎。
第14章:我方情報與威脅情報我方情報與威脅情報的生成,能夠影響事件調查的好壞。本章首先介紹了傳統的情報循環如何用於NSM。緊跟著,介紹通過網路掃描產生資產數據和擴充PRADS數據來生成我方情報的方法。最後,我們將分析威脅情報的種類並討論關於敵對主機的戰略威脅情報研究的幾個基本方法。
第15章:分析流程最後一章討論整體的分析過程。開始只是討論分析過程,後來分解成兩個不同的分析過程:關係調查和鑑別診斷。緊跟著,討論了從失敗的事件中學到的教訓過程。最後,我們以幾個最佳分析實例來結束本書。

相關詞條

熱門詞條

聯絡我們