本书由多位国际信息安全技术专家亲力打造，是系统化建立网络安全监控体系的重要参考，书中不仅详细介绍了网络安全监控的相关工具和技术，还通过多个完整的真实案例阐述了网络安全监控的关键理念与最佳实践，是由菜鸟到NSM分析师的必备参考。
全书分为三部分，共15章。第1章概述网络安全监控以及现代网络安全环境，讨论整本书将会用到的基本概念。第一部分（第2～6章）介绍数据收集，包括收集什么数据以及如何收集数据，传感器的类型、作用、部署、工具集，全包捕获数据的重要性和工具，数据存储和保存计划，包串数据的生成、解析和查看等。第二部分（第7～12章）详细介绍检测机制基础、受害信标与特征，以及几种借助信标与特征的检测机制的实际应用，涉及基于信誉度的检测方法、使用Snort和Suricata 进行基于特征的检测、Bro平台、基于异常的检测与统计数据、使用金丝雀蜜罐进行检测的方法等。第三部分（第13～15章）详细讲解数据包分析的相关知识、我方情报与威胁情报的建立与分析、整体的分析过程，并介绍一些最佳分析实践。
网络安全监控是建立在“防不胜防”的基础上的。在当前的威胁环境之下，不论你如何努力，目的明确的攻击者总能找到破绽渗透进入你的网络环境。届时，你将面对的是一个小插曲还是一场大灾难，取决于你对于入侵事件的检测与响应能力。
本书围绕NSM（网络安全监控）的采集、检测和分析三个阶段展开，由多位NSM资深专家亲力打造，给出了NSM的系统化概念与最佳实践，有些知识可以直接派上用场。如果你刚开始NSM分析工作，本书能帮助你掌握成为真正的分析师所需的核心概念；如果你已经扮演着分析师的角色，本书可帮你汲取分析技巧，提高分析效果。
面对当前复杂的网络环境，每个人都可能放松警惕、盲目片面，有时还会在阻止攻击者的网络战斗中败下阵来。本书会为你装备好正确的工具，让这些工具帮助你采集所需数据、检测恶意行为，并通过分析理解入侵的性质。单纯的防御措施终将失败，而NSM却不会。
本书主要内容：
探讨部署、执行NSM数据采集策略的恰当方法。
提供包括Snort、Suricata、Bro-IDS、SiLK、PRADS及更多工具在内的实战演练。
明确提出适用于以结构化和体系化方法进行NSM的综合分析框架。
内含Security Onion Linux的多个应用实例。
配套网站包括作者关于NSM最新进展的实时更新博客，全面补充了书中材料。
作者简介
克里斯 · 桑德斯（Chris Sanders）是美国InGuardians的高级安全分析师，参与过政府、军队以及财富500强企业的多种网络安全防御工作，实战经验丰富。在美国国防部的工作中，他有效地发挥了计算机网络防御服务提供商（CNDSP）模型的作用，协助创建了多个NSM模型以及智能化工具。他曾撰写多本书籍和多篇学术文章，其中包括国际畅销书《Practical Packet Analysis》。他拥有多项业界证书，包括 SANS、GSE以及CISSP。
杰森 · 史密斯（Jason Smith）是Mandiant安全工程师、安全分析师，参与过州和国家级机构的信息安全防御基础设施建设。他拥有多项业界证书，包括 SANS、GCIA以及GCFA。
译者简介
李柏松　著名信息安全公司安天实验室第一副总工程师，现任安天安全研究与应急处理中心主任。他曾在逆向工程、虚拟机技术方面进行大量探索性研究，是安天主线产品AVL SDK反病毒引擎的核心技术实现者之一，先后主持或参与多项相关科研项目，申请了多项技术专利。
李燕宏　华为高级安全分析师，海外安全服务团队负责人，资深SOC安全运营专家。他曾任职于腾讯、盛大等互联网公司，先后主持或参与过多个大型企业的SOC平台建设与运营管理。他致力于SOC安全运营领域的研究，主要研究兴趣包括威胁情报分析、NSM技术、安全运营流程以及安全大数据分析与可视化等。

我喜欢抓坏人。当我还是个小孩子的时候，就想以某些方式抓住坏人。例如，就近找一条毛巾披上作斗篷，与小伙伴们满屋子跑，玩警察抓小偷的游戏。长大后，每当看到为百姓伸张正义，让各种坏蛋得到应有的惩罚，我都特别开心。但不管我多努力去尝试，我的愤怒也无法让我变成一个绿巨人，不管我被多少蜘蛛咬了，我也无法从我的手臂里发射出蜘蛛网。我也很快意识到我并不适合做执法工作。
自从认识到这个现实，我意识到我没有足够的财富建一堆华丽的小工具，并身着蝙蝠衣在夜里绕飞巡逻，所以我结束了一切幻想，将我的注意力转向了我的电脑。事隔多年，我已走出了童年梦想中想活捉坏蛋的角色，那已不是我最初想象的那种感觉。
通过网络安全监控（NSM）的实战抓住坏人，这也是本书的主旨。NSM是基于防范最终失效的原则，就是说无论你在保护你的网络中投入多少时间，坏人都有可能获胜。当这种情况发生时，你必须在组织上和技术上的位置，检测到入侵者的存在并及时做出响应，使事件可以得到及时通报，并以最小代价减小入侵者的破坏。
“我要怎样做才能在网络上发现坏人？”
走上NSM实践的道路通常始于这个问题。NSM的问题其实是一种实践，而这个领域的专家则是NSM的实践者。
科学家们通常被称作科技领域的实战者。在最近的上世纪80年代，医学上认为牛奶是治疗溃疡的有效方法。随着时间的推移，科学家们发现溃疡是由幽门螺旋杆菌引起的，而奶制品实际上会进一步加剧溃疡的恶化。虽然我们愿意相信大多数科学是准确的，但有时不是这样。所有科学研究是基于当时可用的最佳数据，当随着时间的推移出现新的数据时，老问题的答案就会改变，并且重新定义了过去曾经被认为是事实的结论。这是医学研究的现实，也是作为NSM从业者面对的现实。
遗憾的是，当我开始涉猎NSM时，关于这个话题并没有太多参考资料可用。坦白地说，现在也没有。除了行业先驱者们偶尔写的博客以及一些特定的书籍外，大多数试图学习这个领域的人都被限制在他们自己设备的范围内。我觉得这是一个合适的时机来澄清一个重要误解，以消除我先前说法的潜在疑惑。市面上有各式各样的关于TCP/IP、包分析和各种入侵检测系统（IDS）话题的书籍。尽管这些书本中提及的概念是NSM的重要方面，但它们并不构成NSM的全过程。这就好比说，一本关于扳手的书，会教你如何诊断汽车，但不会教你如何启动。
本书致力于阐述NSM的实践。这意味着本书并不只是简单地提供NSM的工具或个别组件的概述，而是将讲解NSM的流程以及这些工具和组件是如何应用于实践的。
目标读者
本书最终将作为执业NSM分析师的指南。我每天的职责也包括对新分析师的培训，因此本书不仅为读者提供教育素材，也为培训过程提供支持性教材。既然如此，我的期望是读者们能将本书从头到尾阅览，对成为一名优秀分析师的核心概念能有入门级的掌握。
如果你已经是一名执业分析师，那么我希望本书将为你打下一个良好基础，让你可以增强分析技能，提升现有的工作效率。目前我已与数名优秀分析师共事，他们将成长为伟大的分析师，因为他们可以用本书中提及的一些技术和信息去提高他们的效率。
NSM的有效实践需要对各类工具有一定程度的熟练运用。因此，本书将会讨论到数款工具，但仅限于从分析师的立场去讨论。当我讨论Snort IDS、SiLK分析工具集或其他工具时，那些负责安装维护这些工具的人会发现我并不会很长篇大论地讲这些过程。但在有需要的时候，我会将其他相关资源补充进来。
此外，本书完全专注于免费和开源工具。这不仅是为了吸引更多可能没有预算来购买诸如NetWitness、Arcsight等商业分析工具的人，也是为了展示使用基于开源分析设计的工具带来的内在优势，因为它们在数据交互的过程能够提供更高的透明度。
所需基础知识
最成功的NSM分析师在开始安全相关工作之前，通常在其他信息技术领域已经拥有丰富的经验。这是因为他们已经具备了作为一名分析师的其他重要技能，比如对系统、网络管理的理解。如果没有这样的经历，建议阅读一些书，我罗列了一份我十分喜爱的主要书籍清单，我认为这些书能够帮助读者深入了解一名分析师必备的重要技能。我已尽了最大努力，让读者在不需要太多基础知识的前提下阅读本书。但如果读者感兴趣，我强烈推荐阅读部分书籍作为本书的补充。
《TCP/IP 详解，卷1，协议》，作者 Kevin Fall 和 Dr. Richard Stevens （Addison Wesley出版社，2011）。对TCP/IP的核心理解是让NSM更加有效的重要技能之一。早期Dr. Richard Stevens 的经典文著已经被Kevin Fall更新，增加了最新的协议、标准、最佳实践、IPv6、协议安全，等等。
《The Tao of Network Security Monitoring》，作者 Richard Bejtlich （Addison Wesley出版社，2004）。Richard Bejtlich 帮助定义了很多概念，这些概念奠定了NSM实践的基础。基于这样的事实，我在整本书中会经常引用他的书或博客的内容。尽管Richard的书已经有将近10年的历史，但书中的许多材料仍然使它成为NSM范畴内相关文案。
《Practical Packet Analysis》 作者 Chris Sanders（No Starch Press出版社，2010）。我不是王婆卖瓜。鉴于 Dr. Stevens 的书已为TCP/IP协议提供全面深入的阐述，这本书则是使用Wireshark作为首选工具从实践层面讨论数据包分析。我们在书中讲述如何做数据包检测，如果你之前从未看过数据包，我建议你将此书作为基础。
《Counter Hack Reloaded》 作者Ed Skoudis 和 Tom Lison（Prentice Hall出版社，2006）。我一直认为这本书绝对是最佳常规安全书籍之一。它覆盖的范围非常广，我向任何经验级别的读者都推荐此书。如果你从未做过安全相关的工作，那么我会说《Counter Hack Reloaded》是必读的一本书。
本书的组织
本书划分成三部分：收集、检测和分析，每章重点讨论相关的工具、技术和核心领域流程。我是一个来自肯塔基州的普通乡村男孩，所以我将尽我所能地用一种不加太多修辞的简单基调来阐述。我也将尝试引入典型的先进概念，并尽可能把它们分解成一系列可重复的步骤。正如任何书籍阐述广义概念一样，当一个概念被提出时，请记住，它并不会覆盖每一种可能的场景或边缘案例。尽管我可以举出一些案例作为一个最佳实践，但本书最终构建的理论是基于集体研究、经验以及合著者的观点。因此，可能会有这样的场景，你的研究、经验和观点导致你对提及的话题有不同的结论。这是完全正常的情况，这就是为什么NSM是一门实践。
第1章：网络安全监控应用实践　这章专门定义了网络安全监控和它在现代安全环境的相关性。它讨论了很多整本书将会用到和引用到的核心术语和假设。
第一部分：收集
第2章：数据收集计划　这是ANSM收集部分的第1章，介绍了数据收集和它的重要性。本章将介绍数据收集实施框架，它使用一种基于风险的方法来决定哪些数据应该被收集。
第3章：传感器平台　这章介绍NSM部署中最重要的硬件组成：传感器。首先，我们对NSM的各类数据类型和传感器类型做简要概述。接着，引出讨论购买和部署传感器的重要考虑因素。最后我们将谈及NSM传感器在网络上的位置，包括创建网络可视化地图分析的入门。
第4章：会话数据　该章讨论会话数据的重要性，同时详细介绍用于收集NetFlow数据的SiLK工具集。我们还将就会话数据的收集和解析对Argus工具集进行简要分析。
第5章：全包捕获数据　该章开头对全包捕获数据的重要性作概述。接着分析了几款允许全包捕获PCAP数据的工具，包括Netsniff-NG、Daemonlogger和Dumpcap，引出对FPC数据存储和保存计划，包括裁剪FPC数据存储数量不同考虑因素的讨论。
第6章：包字符串数据　该章介绍了包字符串数据（PSTR）以及它在NSM分析过程里的有效性。我们将介绍几种生成PSTR数据的方法：使用工具Httpry和Justniffer，我们还将了解用于解析和查看PSTR数据的工具：Logstash 和Kibana。
第二部分：检测
第7章：检测机制、受害信标与特征　该章讨论检测机制与妥协指标（IOC）之间的关系。我们介绍IOCs是如何被逻辑组织，以及它们是如何被纳入到NSM计划进行有效管理的。这里面将会包含对指标分类的系统，以及部署在各种检测机制里的，用于计算和跟踪指标精确度的度量。我们也将看到两种不同格式的IOC ：OpenIOC 和 STIX。
第8章：基于信誉度的检测　该章将讨论第一种特定类型的检测：基于信誉度的检测。我们将讨论基于信誉度检测的基本原理，以及一些分析设备信誉度的资源。此次讨论将倾向于过程自动化的解决方案，并演示了如何使用简单BASH脚本，或通过使用Snort、Suricata、CIF或Bro来完成这一过程。
第9章：基于Snort和Suricata特征的检测　基于特征的检测是入侵检测最传统的方式。本章将介绍这种检测类型的入门，并讨论入侵检测系统Snort和Suricata的使用方法。这里面包含Snort和Suricata的用法，以及为两种平台创建IDS特征的详细讨论。
第10章：Bro平台　该章将介绍Bro，比较流行的基于异常的检测解决方案之一。本章将综述Bro的架构、Bro语音和几个实际案例，来演示Bro作为一款IDS和网络记录引擎真正惊人的威力。
第11章：基于统计数据异常的检测　该章将讨论使用统计数据进行网络异常识别。这将侧重于使用各种NetFlow工具，如：rwstats和rwcount。我们将讨论使用Gnuplot和谷歌画图API进行可视化统计的方法。本章将提供几个能从NSM数据中生成有用统计的实际案例。
第12章：使用金丝雀蜜罐进行检测　金丝雀蜜罐以前仅用于研究目的，现在却是一种能用于有效检测的操作型蜜罐工具。本章将提供不同类型的蜜罐概况，以及什么特定类型能在NSM环境中被应用。我们将介绍几款能用于监控用途的流行蜜罐应用程序，如：Honeyd、Kippo和Tom’s Honeypot。我们也将简要讨论Honeydocs的概念。
第三部分：分析
第13章：数据包分析　这是NSM分析师最重要的技能，是具备解读和解密关键网络通信数据包的能力。为了有效做到这一点，需要对数据包是如何被分割有个基本的了解。该章将为读者提供基础支持，并说明如何逐字节单位地分解数据包字段。我们通过使用tcpdump和Wireshark来证实这些概念。该章也将通过使用Berkeley 包过滤器和Wireshark显示过滤器来介绍高级包过滤技术的基础。
第14章：我方情报与威胁情报　我方情报与威胁情报的生成，能够影响事件调查的好坏。本章首先介绍了传统的情报循环如何用于NSM。紧跟着，介绍通过网络扫描产生资产数据和扩充PRADS数据来生成我方情报的方法。最后，我们将分析威胁情报的种类并讨论关于敌对主机的战略威胁情报研究的几个基本方法。
第15章：分析流程　最后一章讨论整体的分析过程。开始只是讨论分析过程，后来分解成两个不同的分析过程：关系调查和鉴别诊断。紧跟着，讨论了从失败的事件中学到的教训过程。最后，我们以几个最佳分析实例来结束本书。
IP地址免责声明
在本书中，提及的例子、原始数据和截图中涉及一些IP地址。在这些案例中，除非另外指明，这些IP地址已被各种工具随机化。因此，任何引用涉及某个组织的任意IP地址，纯属巧合，绝不代表是由那些实体产生的实际流量。
本书配套网站
还有相当多的东西我们想在本书中介绍，但我们根本找不到地方容纳进来。于是，我们创建了一个配套网站，包含不同NSM话题的各种额外想法，以及代码片段、技巧和窍门。如果你喜欢本书内容，那么可以考虑查阅配套网站 http://www.appliednsm.com。虽然在本书完成出版前本站点并没有太多的更新，我们计划在本书发行后定期更新这个博客。本书的任何勘误也将在这里持续更新。
慈善支持
我们很自豪地声明，本书所得版税将100%捐赠出去，用于支持以下五个慈善事业。
农村科技基金
农村学生，特别是那些成绩优异的、接触到技术的机会通常会比他们在城市或城郊的同行少。2008年，克里斯·桑德斯创立了农村科技基金（RTF）。RTF的主旨是减少农村社区与他们的城市和城郊同行之间的技术鸿沟，方法是通过有针对性的奖学金计划、社区参与，以及在农村地区全面推广和宣传技术。
我们的奖学金是针对那些生活在农村社区、对计算机技术拥有热情并打算在这个领域继续深造的学生。本书版税的一部分将用于支持这些奖学金计划，并提供树莓派计算机给农村学校。
更多信息请参见：http://www.ruraltechfund.org
黑客慈善组织（HFC）
由 Johnny Long 创立，HFC雇佣黑客志愿者（无条件），让他们从事于短暂的“微型项目”，旨在帮助那些无法提供传统技术资源的慈善机构。除此之外，HFC也在乌干达、东非地区支持援助组织帮助世界上最贫穷的公民。他们提供免费的电脑培训、技术支持、网络服务等。他们已经帮助许多当地学校增设电脑和培训软件。此外，HFC还通过他们的食物计划为东非的儿童们提供食物。
更多信息请参见：http://www.hackersforcharity.org
Kiva
Kiva是第一个允许通过多领域公司直接捐钱给发展中国家人们的在线借贷平台。Kiva记录了每一个需要贷款的人的个人故事，让捐赠者能够直接联系他们。简单地说，Kiva方便了改变生活的借贷。该基金的捐赠来自于本书的销售所得，并为有需要的人提供这些贷款。
更多信息请参见：http://www.kiva.org
Warriors希望工程
Warriors希望工程（Hope for the Warriors）的任务是提升后911服役人员的生活品质，包括他们的家人，以及那些曾在工作岗位上因持续的生理和心理创伤而倒下的家庭。Warriors希望工程致力于恢复自我意识，恢复家庭单位，以及恢复我们的服务人员和我们的军人家属对生活的希望。
更多信息请参见：http://www.hopeforthewarriors.org
自闭症演讲组织
自闭症是一种非常复杂的病症状态，患者在社交互动、沟通、重复的行为上均存在不同程度的困难。美国疾病控制中心估计，88个美国儿童当中会有1个存在某种形式的自闭症。自闭症演讲组织是一个致力于改变那些与自闭症作斗争的患者们的未来的组织。他们通过为生物医学研究提供资金来做到这一点，研究的范围涉及自闭症的病因、预防、治疗和治愈。自闭症演讲组织也提供自闭症宣传，以及为自闭症患者的家庭提供支持。
更多信息请参见：http://autismspeaks.org
联系我们
我和我的合著者们投入了大量的时间和精力在本书上，所以当我们听到有人读过我们的书并想分享他们的想法时，我们总是很兴奋。无论你想在什么时候联系我们，你可以把所有问题、意见、威胁和婚姻的建议直接发给我们，我们的联系方式如下：
Chris Sanders,第一作者
E-mail: chris@chrissanders.org
Blog: http://www.chrissanders.org; http://www.appliednsm.com
Twitter: @chrissanders88
Jason Smith, 合著者
E-mail: jason.smith.webmail@gmail.com
Blog: http://www.appliednsm.com
Twitter: @automayt
David J. Bianco，贡献者
E-mail: davidjbianco@gmail.com
Blog: http://detect-respond.blogspot.com/; http://www.appliednsm.com
Twitter: @davidjbianco
Liam Randall, 贡献者
E-mail: liam@bro.org
Blog: http://liamrandall.com; http://www.appliednsm.com
Twitter: @liamrandall
致谢
《哥林多后书》第12章节如是说：“但他对我说，‘我的恩典够你用的，因为我的能力是在人的软弱上显得完全。’因此，我更喜欢夸自己软弱，好让基督的能力庇佑我”。
写这本书的过程简直证明了上帝的力量对人性弱点的完善。本书是我曾经参与的最困难的项目之一，对上帝的信念让我能够最终坚持下来。因为上帝，这本书以及我所做的一切都是可能的，我真诚地希望我的这次工作可以作为上帝神奇力量的见证。
这本书之所以能完成，离不开许多朋友直接或间接的帮助。我想借此机会感谢他们。
Ellen，你是我的挚爱，我的后盾，我的力量，也是我的头号粉丝。没有你，这一切是不可能成功的。我要感谢你曾经承受过的压力与绝望，以及本书写作过程中那些疯狂的日日夜夜。同时我还想感谢你帮助修改本书。我想，你的英语专业终于派上了用场。我爱你，成为你的丈夫我感到很自豪。
爸爸妈妈，在你们的影响下成长，使我成为一个独特的人。作为子女我所能做的将会继续坚持，传承你们赋予的性格并分享你们给予的爱。我爱你，爸爸；我也爱你，妈妈。
我的家庭，尽管我们只是一个小团体，我们之间分享的爱却是浓厚的，这对我来说太重要了。虽然我们相距甚远，但我知道你们爱着我并支持我，我很感激这一点。
Perkins的家庭，感谢你积极地让我走入你的生活，我很幸运，有你的爱和支持。
Jason Smith，毫不夸张地说，你是我遇到过的最睿智的人，与你相处非常愉悦。你不止是一个伟大的同事和合着者，你更是一个久经考验的朋友。我可以毫不犹豫地说，你已经是我的兄弟。我永远感激这一切。
David Bianco和Liam Randall，我已经不知道怎么感谢你们对本书的巨大贡献。你们的贡献价值实际已远远超出你们的想象。
至于我的同事（过去的和现在的），我一直认为，如果一个人周围都是好人，他会成为一个更好的人。很幸运我在公司工作中能够与一些优秀、正直的人共事。我要特别感谢我的InGuardians（公司名）大家庭：Jimmy、Jay、Suzanne、Teresa、John、Tom、Don、 Rad、Larry、Jaime、James、Bob和Alec。我还想感谢Mike Poor，是他为本书写的序言，他也依然是我心目中的数据包忍者偶像之一。
Syngress的工作人员，谢谢你们让我有机会写成这本书，并帮助我将这个梦想变成现实。
本书的技术内容和方向涉及的领域可能超出了我的认知能力，但我会尽力做到最好。除了上面提到的亲朋好友，我还要感谢以下人员作出的贡献，是他们协助对每个章节做了细致的审查，让我从他们身上获得不少好的创作灵感，本书的成功离不开他们的支持，人员罗列如下（排名不分先后）：
Alexi Valencia、Ryan Clark、Joe Kadar、Stephen Reese、Tara Wink、Doug Burks、Richard Bejtlich、George Jones、Richard Friedberg、Geoffrey Sanders、Emily Sarneso、Mark Thomas、Daniel Ruef、 CERT NetSA团队的其他成员、Joel Esler、Bro团队、Mila Parkour、Dustin Weber、and Daniel Borkmann。

Chris Sanders

计算机\安全

网络安全监控是建立在“防不胜防”的基础上的。在当前的威胁环境之下，不论你如何努力，目的明确的攻击者总能找到破绽渗透进入你的网络环境。届时，你将面对的是一个小插曲还是一场大灾难，取决于你对于入侵事件的检测与响应能力。
本书围绕NSM（网络安全监控）的采集、检测和分析三个阶段展开，由多位NSM资深专家亲力打造，给出了NSM的系统化概念与最佳实践，有些知识可以直接派上用场。如果你刚开始NSM分析工作，本书能帮助你掌握成为真正的分析师所需的核心概念；如果你已经扮演着分析师的角色，本书可帮你汲取分析技巧，提高分析效果。
面对当前复杂的网络环境，每个人都可能放松警惕、盲目片面，有时还会在阻止攻击者的网络战斗中败下阵来。本书会为你装备好正确的工具，让这些工具帮助你采集所需数据、检测恶意行为，并通过分析理解入侵的性质。单纯的防御措施终将失败，而NSM却不会。
本书主要内容
 探讨部署、执行NSM数据采集策略的恰当方法。
 提供包括Snort、Suricata、Bro-IDS、SiLK、PRADS及更多工具在内的实战演练。
 明确提出适用于以结构化和体系化方法进行NSM的综合分析框架。
 内含Security Onion Linux的多个应用实例。
 配套网站包括作者关于NSM最新进展的实时更新博客，全面补充了书中材料。

学习如何建设与运营一个网络安全监控基础设施是一项艰巨的任务。Chris Sanders 和他的团队制定了NSM的框架，为读者编纂了一个将网络安全监控付诸实践的有效计划。
大中型组织正面临令人崩溃的大量数据。面对着某些情况下过亿的事件量，有一个可扩展的监控框架和标准化运营流程是当务之急。
寻找即寻见，反之亦然。数据收集工作本身没有太大意义，甚至对检测环节来说很可能也一样，而分析工作却非常重要。这本书将给你一把钥匙，打开NSM的大门，展示其中的每一步骤：收集、检测和分析。
在20世纪30年代末期，许多民间飞行员主张使用他们的技能来捍卫国家。如今，民间组织积极投身保卫国家的时代再次到来。我们常常无故遭到攻击，制造业、化工业、石油和天然气行业、能源业以及我们社会中许多重要领域，在一系列有协作有计划的攻击中首当其冲。当专家们已在思考未来爆发网络战争的可能性时，身处一线的从业者们仍对其重视不足。
当然，我不是在宣扬战争，而是想强调分析的重要性。你的系统被root提权了？那么你必须分析你的日志。大多数网络攻击会留下痕迹，这得靠每一个系统管理员对入侵迹象做日志审查。尽管如此，管理员查看日志大多数是为了提升系统性能和商业分析。单单提升系统性能就可以帮助企业获得投资上的回报，而正手上的商业分析就更加不用说了，能为企业带来的价值无法估量。
在InGuardians公司，我们常被叫去响应网络安全事故以防止大规模数据破坏。大多数组织现在通常是从核心网络的设备、代理、防火墙、系统和应用中保存了相关数据，这些数据已存储了相当长的一段时间，看不到明显的投资回报率。在大多数情况下，我们通过独立的日志分析就可以识别出现在或过去发生的数据泄漏事件。
当你在你的控制台上回溯一些日志时，可能会手足无措地想：“我不知道要寻找些什么”。请立足于你所知道的，所理解的，不要再去想其他，勇敢面对，一切都将是有趣的。
Semper Vigilans
Mike Poor

[美]克里斯·桑德斯（Chris Sanders） 杰森·史密斯（Jason Smith）著：暂无简介

李柏松 李燕宏 译：暂无简介

一直以来，在企业网络安全的攻、防对抗中，防御者都是处于不利位置的。这不仅因为攻、防双方力量对比悬殊，更重要的是，防御方往往需要全面防守，一着不慎则满盘皆输；攻击方只需要单点成功突破，借助内网横向渗透手段，就可以在企业网络环境中肆无忌惮地获取所需资源。另外，“敌在暗，我在明”，防御者往往无法及时发现、分析、处置网络安全事件，只能在安全事件发生后，被动响应，收拾残局。假设防御方能够有效地部署网络安全监控产品，全面地收集网络数据，准确地检测安全威胁，深入地分析调查安全事件出现的原因，就可以及时发现防御工事的脆弱之处，有针对性地调整防御策略。
本书全面地介绍了网络安全监控“收集、检测、分析”各环节的技术要点。对于一些关键步骤，作者结合大量的实战案例，详细地讲解具体操作方法。即使是初学者，也可以在本书的指导之下轻松上手。对于具有一定基础的分析人员，书中提供了大量的实用脚本和公共网络资源，以及作者根据多年实战经验总结出的若干最佳实践。虽然这是一本专业性较强的技术书籍，但作者行文生动活泼、语调轻松诙谐，读起来饶有趣味。
值得一提的是，在本书第12章 “使用金丝雀蜜罐进行检测”中，作者介绍了蜜罐文档（Honeydoc）的使用方法，这是一个简便易行的攻击者溯源的技术手段，能够以极低的实施成本，在一定程度上对网络安全事件作出预警，甚至可以辅助定位到攻击者。在2015年度中国互联网安全大会（ISC2015）的“APT与新威胁论坛”中，我曾在相关议题中介绍了作者提出的这种思路。另外，在本书第15章 “分析流程”中，作者创造性地将刑侦调查和医学诊断这两套分析模型应用于网络安全事件的分析中。这两个模型的引入，将原本错综复杂的分析方法解释得通俗易懂。
由于译者水平有限，译文中难免存在纰漏，恳请读者批评、指正。读者在阅读本书的过程中，如果对译文有任何意见或建议，或者对书中（尤其是对检测、分析这两部分的内容）提及的技术手段、实现方法有什么想法或思路，欢迎给我发邮件： libaisong@antiy.cn，或通过我的新浪微博“@安天李柏松”深入交流。
最后，感谢家人给我的支持，感谢安天的同事们给我的帮助，感谢吴怡编辑和合译者燕宏给我的鼓励。
李柏松
2015年10月25日于哈尔滨

译者序
作者简介
序　言
前　言
第1章　网络安全监控应用实践　1
1.1　关键NSM术语　2
1.1.1　资产　2
1.1.2　威胁　2
1.1.3　漏洞　3
1.1.4　利用　3
1.1.5　风险　3
1.1.6　异常　 3
1.1.7　事故　3
1.2　入侵检测　4
1.3　网络安全监控　4
1.4　以漏洞为中心vs以威胁为中心　7
1.5　NSM周期：收集、检测和分析　7
1.5.1　收集　7
1.5.2　检测　8
1.5.3　分析　8
1.6　NSM的挑战　9
1.7　定义分析师　9
1.7.1　关键技能　10
1.7.2　分类分析师　11
1.7.3　成功措施　12
1.8　Security Onion　15
1.8.1　初始化安装　15
1.8.2　更新Security Onion　16
1.8.3　执行NSM服务安装　16
1.8.4　测试Security Onion　17
1.9　本章小结　19
第一部分　收集
第2章　数据收集计划　22
2.1　应用收集框架　22
2.1.1　威胁定义　23
2.1.2　量化风险　24
2.1.3　识别数据源　25
2.1.4　焦点缩小　26
2.2　案例：网上零售商　28
2.2.1　识别组织威胁　28
2.2.2　量化风险　29
2.2.3　识别数据源　30
2.2.4　焦点缩小　33
2.3　本章小结　35
第3章　传感器平台　36
3.1　NSM数据类型　37
3.1.1　全包捕获数据　37
3.1.2　会话数据　37
3.1.3　统计数据　37
3.1.4　包字符串数据　37
3.1.5　日志数据　38
3.1.6　告警数据　38
3.2　传感器类型　39
3.2.1　仅收集　39
3.2.2　半周期　39
3.2.3　全周期检测　39
3.3　传感器硬件　40
3.3.1　CPU　41
3.3.2　内存　42
3.3.3　磁盘存储空间　42
3.3.4　网络接口　44
3.3.5　负载平衡：套接字缓冲区的
要求　45
3.3.6　SPAN端口 vs 网络分流器　46
3.4　传感器高级操作系统　50
3.5　传感器的安置　50
3.5.1　利用适当的资源　50
3.5.2　网络入口/出口点　50
3.5.3　内部IP地址的可视性　51
3.5.4　靠近关键资产　54
3.5.5　创建传感器可视化视图　55
3.6　加固传感器　57
3.6.1　操作系统和软件更新　57
3.6.2　操作系统加固　57
3.6.3　限制上网　57
3.6.4　最小化软件安装　 58
3.6.5　VLAN分割　 58
3.6.6　基于主机的IDS　58
3.6.7　双因素身份验证　58
3.6.8　基于网络的IDS　59
3.7　本章小结　59
第4章　会话数据　60
4.1　流量记录　61
4.1.1　NetFlow　63
4.1.2　IPFIX　64
4.1.3　其他流类型　64
4.2　收集会话数据　64
4.2.1　硬件生成　65
4.2.2　软件生成　65
4.3　使用SiLK收集和分析流数据　66
4.3.1　SiLK包工具集　66
4.3.2　SiLK流类型　68
4.3.3　SiLK分析工具集　68
4.3.4　在Security Onin里安装SiLK　69
4.3.5　使用Rwfilter过滤流数据　69
4.3.6　在Rwtools之间使用数据管道　70
4.3.7　其他SiLK资源　73
4.4　使用Argus收集和分析流数据　73
4.4.1　解决框架　74
4.4.2　特性　74
4.4.3　基础数据检索　75
4.4.4　其他Argus资源　76
4.5　会话数据的存储考虑　76
4.6　本章小结　78
第5章　全包捕获数据　79
5.1　Dumpcap　80
5.2　Daemonlogger　81
5.3　Netsniff-NG　83
5.4　选择合适的FPC收集工具　84
5.5　FPC收集计划　84
5.5.1　存储考虑　85
5.5.2　使用Netsniff-NG和IFPPS
计算传感器接口吞吐量　86
5.5.3　使用会话数据计算传感器接口吞吐量　87
5.6　减少FPC数据存储预算　88
5.6.1　过滤服务　88
5.6.2　过滤主机到主机的通信　90
5.7　管理FPC数据存储周期　91
5.7.1　基于时间的存储管理　92
5.7.2　基于大小的存储管理　92
5.8　本章小结　96
第6章　包字符串数据　97
6.1　定义包字符串数据　97
6.2　PSTR数据收集　99
6.2.1　手动生成PSTR数据　100
6.2.2　URLSnarf　101
6.2.3　Httpry　102
6.2.4　Justniffer　104
6.3　查看PSTR数据　107
6.3.1　Logstash　107
6.3.2　使用BASH工具解析
原始文本　114
6.4　本章小结　116
第二部分　检测
第7章　检测机制、受害信标与特征　118
7.1　检测机制　118
7.2　受害信标和特征　119
7.2.1　主机信标和网络信标　120
7.2.2　静态信标　120
7.2.3　可变信标　123
7.2.4　信标与特征的进化　124
7.2.5　特征调优　125
7.2.6　信标和特征的关键标准　127
7.3　信标和特征的管理　128
7.4　信标与特征框架　133
7.4.1　OpenIOC　134
7.4.2　STIX　135
7.5　本章小结　137
第8章　基于信誉度的检测　138
8.1　公开信誉度列表　138
8.1.1　常用公开信誉度列表　139
8.1.2　使用公共信誉度列表的常见问题　143
8.2　基于信誉度的自动化检测　145
8.2.1　使用BASH脚本实现手动检索与检测　145
8.2.2　集中智能框架　150
8.2.3　Snort 的IP信誉度检测　153
8.2.4　Suricata 的IP信誉度检测　154
8.2.5　Bro的信誉度检测　156
8.3　本章小结　159
第9章　基于 Snort和Suricata特征检测　160
9.1　Snort　161
9.2　SURICATA　163
9.3　在 Security Onion 系统中改变 IDS 引擎　165
9.4　初始化Snort 和 Suricata实现入侵检测　165
9.5　Snort 和 Suricata 的配置　168
9.5.1　变量　168
9.5.2　IP变量　168
9.5.3　定义规则集　171
9.5.4　警报输出　176
9.5.5　Snort 预处理器　178
9.5.6　NIDS模式命令行附加参数　179
9.6　IDS规则　181
9.6.1　规则解析　181
9.6.2　规则调优　195
9.7　查看 Snort和Suricata警报　201
9.7.1　Snorby　201
9.7.2　Sguil　202
9.8　本章小结　202
第10章　Bro平台　203
10.1　Bro基本概念　203
10.2　Bro的执行　205
10.3　Bro 日志　205
10.4　使用Bro定制开发检测工具　209
10.4.1　文件分割　209
10.4.2　选择性提取文件　211
10.4.3　从网络流量中实时提取文件　213
10.4.4　打包Bro程序　215
10.4.5　加入配置选项　216
10.4.6　使用Bro监控敌方　218
10.4.7　暗网检测脚本的扩展　224
10.4.8　重载默认的通知处理　224
10.4.9　屏蔽，邮件，警报——举手之劳　227
10.4.10　为Bro日志添加新字段　228
10.5　本章小结　231
第11章　基于统计数据异常的检测　232
11.1　通过SiLK获得流量排名　232
11.2　通过SiLK发现服务　236
11.3　使用统计结果实现深度检测　240
11.4　使用Gnuplot实现统计数据的可视化　242
11.5　使用Google图表实现统计数据的可视化　245
11.6　使用Afterglow实现统计数据的可视化　249
11.7　本章小结　254
第12章　使用金丝雀蜜罐进行检测　255
12.1　金丝雀蜜罐　255
12.2　蜜罐类型　256
12.3　金丝雀蜜罐架构　257
12.3.1　第一阶段：确定待模拟的设备和服务　257
12.3.2　第二阶段：确定金丝雀蜜罐安放位置　258
12.3.3　第三阶段：建立警报和日志记录　259
12.4　蜜罐平台　260
12.4.1　Honeyd　260
12.4.2　Kippo SSH 蜜罐　264
12.4.3　Tom’s Honeypot　267
12.4.4　蜜罐文档　269
12.5　本章小结　272
第三部分　分析
第13章　数据包分析　274
13.1　走近数据包　274
13.2　数据包数学知识　276
13.2.1 　以十六进制方式理解字节　276
13.2.2　十六进制转换为二进制和十进制　277
13.2.3　字节的计数　278
13.3　数据包分解　280
13.4　用于NSM分析的 cpdump 工具　283
13.5　用于数据包分析的Tshark工具　287
13.6　用于NSM分析的Wireshark工具　291
13.6.1　捕获数据包　291
13.6.2　改变时间显示格式　293
13.6.3　捕获概要　293
13.6.4　协议分层　294
13.6.5　终端和会话　295
13.6.6　流追踪　296
13.6.7　输入/输出数据流量图　296
13.6.8　导出对象　297
13.6.9　添加自定义字段　298
13.6.10　配置协议解析选项　299
13.6.11　捕获和显示过滤器　300
13.7　数据包过滤　301
13.7.1　伯克利数据包过滤器　 301
13.7.2　Wireshark显示过滤器　304
13.8　本章小结　307
第14章　我方情报与威胁情报　308
14.1　适用于NSM的情报过程　308
14.1.1　明确需求　309
14.1.2　制定规划　309
14.1.3　情报搜集　310
14.1.4　情报处理　310
14.1.5　情报分析　311
14.1.6　情报传播　311
14.2　生成我方情报　311
14.2.1　网络资产的病历和体格　311
14.2.2　定义网络资产模型　312
14.2.3　被动实时资产检测系统（PRADS）　315
14.3　生成威胁情报　320
14.3.1　调查敌方主机　322
14.3.2　调查敌方文件　328
14.4　本章小结　333
第15章　分析流程　334
15.1　分析方法　334
15.1.1　关联调查　335
15.1.2　鉴别诊断　340
15.1.3　分析方法的执行　346
15.2　关于分析的最佳实践　346
15.2.1　不是自己制造的数据包，就不能保证完全正确　346
15.2.2　留心你得到的数据处理结果　346
15.2.3　三人行必有我师　347
15.2.4　永远不要招惹攻击者　347
15.2.5　数据包，性本善　348
15.2.6　分析不只靠Wireshark，就像天文学不只靠望远镜　348
15.2.7　分类是你的朋友　348
15.2.8　10分钟原则　349
15.2.9　不要把简单问题复杂化　349
15.3　事件并发症和死亡率　350
15.3.1　医疗M&M　350
15.3.2　信息安全M&M　351
15.4　本章小结　354
附录1　Security Onion 控制脚本　355
附录2　重要Security Onion文件和目录　360
附录3　数据包头　362
附录4　十进制/十六进制/ASCII码转换表　367