Contents 目 錄
譯者序
作者簡介
序 言
前 言
第1章 網(wǎng)絡(luò)安全監(jiān)控應(yīng)用實踐 1
1.1 關(guān)鍵NSM術(shù)語 2
1.1.1 資產(chǎn) 2
1.1.2 威脅 2
1.1.3 漏洞 3
1.1.4 利用 3
1.1.5 風險 3
1.1.6 異常 3
1.1.7 事故 3
1.2 入侵檢測 4
1.3 網(wǎng)絡(luò)安全監(jiān)控 4
1.4 以漏洞為中心vs以威脅為中心 7
1.5 NSM周期:收集��、檢測和分析 7
1.5.1 收集 7
1.5.2 檢測 8
1.5.3 分析 8
1.6 NSM的挑戰(zhàn) 9
1.7 定義分析師 9
1.7.1 關(guān)鍵技能 10
1.7.2 分類分析師 11
1.7.3 成功措施 12
1.8 Security Onion 15
1.8.1 初始化安裝 15
1.8.2 更新Security Onion 16
1.8.3 執(zhí)行NSM服務(wù)安裝 16
1.8.4 測試Security Onion 17
1.9 本章小結(jié) 19
及時部分 收集
第2章 數(shù)據(jù)收集計劃 22
2.1 應(yīng)用收集框架 22
2.1.1 威脅定義 23
2.1.2 量化風險 24
2.1.3 識別數(shù)據(jù)源 25
2.1.4 焦點縮小 26
2.2 案例:網(wǎng)上零售商 28
2.2.1 識別組織威脅 28
2.2.2 量化風險 29
2.2.3 識別數(shù)據(jù)源 30
2.2.4 焦點縮小 33
2.3 本章小結(jié) 35
第3章 傳感器平臺 36
3.1 NSM數(shù)據(jù)類型 37
3.1.1 全包捕獲數(shù)據(jù) 37
3.1.2 會話數(shù)據(jù) 37
3.1.3 統(tǒng)計數(shù)據(jù) 37
3.1.4 包字符串數(shù)據(jù) 37
3.1.5 日志數(shù)據(jù) 38
3.1.6 告警數(shù)據(jù) 38
3.2 傳感器類型 39
3.2.1 僅收集 39
3.2.2 半周期 39
3.2.3 全周期檢測 39
3.3 傳感器硬件 40
3.3.1 CPU 41
3.3.2 內(nèi)存 42
3.3.3 磁盤存儲空間 42
3.3.4 網(wǎng)絡(luò)接口 44
3.3.5 負載平衡:套接字緩沖區(qū)的
要求 45
3.3.6 SPAN端口 vs 網(wǎng)絡(luò)分流器 46
3.4 傳感器高級操作系統(tǒng) 50
3.5 傳感器的安置 50
3.5.1 利用適當?shù)馁Y源 50
3.5.2 網(wǎng)絡(luò)入口/出口點 50
3.5.3 內(nèi)部IP地址的可視性 51
3.5.4 靠近關(guān)鍵資產(chǎn) 54
3.5.5 創(chuàng)建傳感器可視化視圖 55
3.6 加固傳感器 57
3.6.1 操作系統(tǒng)和軟件更新 57
3.6.2 操作系統(tǒng)加固 57
3.6.3 限制上網(wǎng) 57
3.6.4 最小化軟件安裝 58
3.6.5 VLAN分割 58
3.6.6 基于主機的IDS 58
3.6.7 雙因素身份驗證 58
3.6.8 基于網(wǎng)絡(luò)的IDS 59
3.7 本章小結(jié) 59
第4章 會話數(shù)據(jù) 60
4.1 流量記錄 61
4.1.1 NetFlow 63
4.1.2 IPFIX 64
4.1.3 其他流類型 64
4.2 收集會話數(shù)據(jù) 64
4.2.1 硬件生成 65
4.2.2 軟件生成 65
4.3 使用SiLK收集和分析流數(shù)據(jù) 66
4.3.1 SiLK包工具集 66
4.3.2 SiLK流類型 68
4.3.3 SiLK分析工具集 68
4.3.4 在Security Onin里安裝SiLK 69
4.3.5 使用Rwfilter過濾流數(shù)據(jù) 69
4.3.6 在Rwtools之間使用數(shù)據(jù)管道 70
4.3.7 其他SiLK資源 73
4.4 使用Argus收集和分析流數(shù)據(jù) 73
4.4.1 解決框架 74
4.4.2 特性 74
4.4.3 基礎(chǔ)數(shù)據(jù)檢索 75
4.4.4 其他Argus資源 76
4.5 會話數(shù)據(jù)的存儲考慮 76
4.6 本章小結(jié) 78
第5章 全包捕獲數(shù)據(jù) 79
5.1 Dumpcap 80
5.2 Daemonlogger 81
5.3 Netsniff-NG 83
5.4 選擇合適的FPC收集工具 84
5.5 FPC收集計劃 84
5.5.1 存儲考慮 85
5.5.2 使用Netsniff-NG和IFPPS
計算傳感器接口吞吐量 86
5.5.3 使用會話數(shù)據(jù)計算傳感器接口吞吐量 87
5.6 減少FPC數(shù)據(jù)存儲預(yù)算 88
5.6.1 過濾服務(wù) 88
5.6.2 過濾主機到主機的通信 90
5.7 管理FPC數(shù)據(jù)存儲周期 91
5.7.1 基于時間的存儲管理 92
5.7.2 基于大小的存儲管理 92
5.8 本章小結(jié) 96
第6章 包字符串數(shù)據(jù) 97
6.1 定義包字符串數(shù)據(jù) 97
6.2 PSTR數(shù)據(jù)收集 99
6.2.1 手動生成PSTR數(shù)據(jù) 100
6.2.2 URLSnarf 101
6.2.3 Httpry 102
6.2.4 Justniffer 104
6.3 查看PSTR數(shù)據(jù) 107
6.3.1 Logstash 107
6.3.2 使用BASH工具解析
原始文本 114
6.4 本章小結(jié) 116
第二部分 檢測
第7章 檢測機制��、受害信標與特征 118
7.1 檢測機制 118
7.2 受害信標和特征 119
7.2.1 主機信標和網(wǎng)絡(luò)信標 120
7.2.2 靜態(tài)信標 120
7.2.3 可變信標 123
7.2.4 信標與特征的進化 124
7.2.5 特征調(diào)優(yōu) 125
7.2.6 信標和特征的關(guān)鍵標準 127
7.3 信標和特征的管理 128
7.4 信標與特征框架 133
7.4.1 OpenIOC 134
7.4.2 STIX 135
7.5 本章小結(jié) 137
第8章 基于信譽度的檢測 138
8.1 公開信譽度列表 138
8.1.1 常用公開信譽度列表 139
8.1.2 使用公共信譽度列表的常見問題 143
8.2 基于信譽度的自動化檢測 145
8.2.1 使用BASH腳本實現(xiàn)手動檢索與檢測 145
8.2.2 集中智能框架 150
8.2.3 Snort 的IP信譽度檢測 153
8.2.4 Suricata 的IP信譽度檢測 154
8.2.5 Bro的信譽度檢測 156
8.3 本章小結(jié) 159
第9章 基于 Snort和Suricata特征檢測 160
9.1 Snort 161
9.2 SURICATA 163
9.3 在 Security Onion 系統(tǒng)中改變 IDS 引擎 165
9.4 初始化Snort 和 Suricata實現(xiàn)入侵檢測 165
9.5 Snort 和 Suricata 的配置 168
9.5.1 變量 168
9.5.2 IP變量 168
9.5.3 定義規(guī)則集 171
9.5.4 警報輸出 176
9.5.5 Snort 預(yù)處理器 178
9.5.6 NIDS模式命令行附加參數(shù) 179
9.6 IDS規(guī)則 181
9.6.1 規(guī)則解析 181
9.6.2 規(guī)則調(diào)優(yōu) 195
9.7 查看 Snort和Suricata警報 201
9.7.1 Snorby 201
9.7.2 Sguil 202
9.8 本章小結(jié) 202
第10章 Bro平臺 203
10.1 Bro基本概念 203
10.2 Bro的執(zhí)行 205
10.3 Bro 日志 205
10.4 使用Bro定制開發(fā)檢測工具 209
10.4.1 文件分割 209
10.4.2 選擇性提取文件 211
10.4.3 從網(wǎng)絡(luò)流量中實時提取文件 213
10.4.4 打包Bro程序 215
10.4.5 加入配置選項 216
10.4.6 使用Bro監(jiān)控敵方 218
10.4.7 暗網(wǎng)檢測腳本的擴展 224
10.4.8 重載默認的通知處理 224
10.4.9 屏蔽�,郵件���,警報——舉手之勞 227
10.4.10 為Bro日志添加新字段 228
10.5 本章小結(jié) 231
第11章 基于統(tǒng)計數(shù)據(jù)異常的檢測 232
11.1 通過SiLK獲得流量排名 232
11.2 通過SiLK發(fā)現(xiàn)服務(wù) 236
11.3 使用統(tǒng)計結(jié)果實現(xiàn)深度檢測 240
11.4 使用Gnuplot實現(xiàn)統(tǒng)計數(shù)據(jù)的可視化 242
11.5 使用Google圖表實現(xiàn)統(tǒng)計數(shù)據(jù)的可視化 245
11.6 使用Afterglow實現(xiàn)統(tǒng)計數(shù)據(jù)的可視化 249
11.7 本章小結(jié) 254
第12章 使用金絲雀蜜罐進行檢測 255
12.1 金絲雀蜜罐 255
12.2 蜜罐類型 256
12.3 金絲雀蜜罐架構(gòu) 257
12.3.1 及時階段:確定待模擬的設(shè)備和服務(wù) 257
12.3.2 第二階段:確定金絲雀蜜罐安放位置 258
12.3.3 第三階段:建立警報和日志記錄 259
12.4 蜜罐平臺 260
12.4.1 Honeyd 260
12.4.2 Kippo SSH 蜜罐 264
12.4.3 Tom’s Honeypot 267
12.4.4 蜜罐文檔 269
12.5 本章小結(jié) 272
第三部分 分析
第13章 數(shù)據(jù)包分析 274
13.1 走近數(shù)據(jù)包 274
13.2 數(shù)據(jù)包數(shù)學(xué)知識 276
13.2.1 以十六進制方式理解字節(jié) 276
13.2.2 十六進制轉(zhuǎn)換為二進制和十進制 277
13.2.3 字節(jié)的計數(shù) 278
13.3 數(shù)據(jù)包分解 280
13.4 用于NSM分析的 cpdump 工具 283
13.5 用于數(shù)據(jù)包分析的Tshark工具 287
13.6 用于NSM分析的Wireshark工具 291
13.6.1 捕獲數(shù)據(jù)包 291
13.6.2 改變時間顯示格式 293
13.6.3 捕獲概要 293
13.6.4 協(xié)議分層 294
13.6.5 終端和會話 295
13.6.6 流追蹤 296
13.6.7 輸入/輸出數(shù)據(jù)流量圖 296
13.6.8 導(dǎo)出對象 297
13.6.9 添加自定義字段 298
13.6.10 配置協(xié)議解析選項 299
13.6.11 捕獲和顯示過濾器 300
13.7 數(shù)據(jù)包過濾 301
13.7.1 伯克利數(shù)據(jù)包過濾器 301
13.7.2 Wireshark顯示過濾器 304
13.8 本章小結(jié) 307
第14章 我方情報與威脅情報 308
14.1 適用于NSM的情報過程 308
14.1.1 明確需求 309
14.1.2 制定規(guī)劃 309
14.1.3 情報搜集 310
14.1.4 情報處理 310
14.1.5 情報分析 311
14.1.6 情報傳播 311
14.2 生成我方情報 311
14.2.1 網(wǎng)絡(luò)資產(chǎn)的病歷和體格 311
14.2.2 定義網(wǎng)絡(luò)資產(chǎn)模型 312
14.2.3 被動實時資產(chǎn)檢測系統(tǒng)(PRADS) 315
14.3 生成威脅情報 320
14.3.1 調(diào)查敵方主機 322
14.3.2 調(diào)查敵方文件 328
14.4 本章小結(jié) 333
第15章 分析流程 334
15.1 分析方法 334
15.1.1 關(guān)聯(lián)調(diào)查 335
15.1.2 鑒別診斷 340
15.1.3 分析方法的執(zhí)行 346
15.2 關(guān)于分析的實踐 346
15.2.1 不是自己制造的數(shù)據(jù)包�,就不能保障正確 346
15.2.2 留心你得到的數(shù)據(jù)處理結(jié)果 346
15.2.3 三人行必有我?guī)?347
15.2.4 永遠不要招惹攻擊者 347
15.2.5 數(shù)據(jù)包,性本善 348
15.2.6 分析不只靠Wireshark��,就像天文學(xué)不只靠望遠鏡 348
15.2.7 分類是你的朋友 348
15.2.8 10分鐘原則 349
15.2.9 不要把簡單問題復(fù)雜化 349
15.3 事件并發(fā)癥和死亡率 350
15.3.1 醫(yī)療M&M 350
15.3.2 信息安全M&M 351
15.4 本章小結(jié) 354
附錄1 Security Onion 控制腳本 355
附錄2 重要Security Onion文件和目錄 360
附錄3 數(shù)據(jù)包頭 362
附錄4 十進制/十六進制/ASCII碼轉(zhuǎn)換表 367
