基於數據分析的網絡安全, 2/e (Network Security through Data Analysis: From Data to Action, 2/e)

使用傳感器來收集網絡、服務、主機和主動領域中的數據。
使用SiLK 工具集、Python 編程語言，以及其他一些工具與技術，來操作你所收集的數據。
通過探索性的數據分析（EDA），並輔以可視化技術與數學技術來探測網絡中的反常情況。
分析文本數據，獲知流量所表示的行為，以及檢測通信過程中的錯誤。
把網絡建模成圖，以便通過分析該圖來了解網絡中比較重要的結構。
檢查與內部威脅有關的數據，獲取威脅情報。通過網絡映射工作來編制網絡資源目錄，並確定其中較為重要的主機。
與運維人員協作以製定有效的防禦及分析技術。

Michael Collins

是RedJack，LLC的首席科學家，RedJack是位於美國華盛頓哥倫比亞特區的網絡安全與數據分析公司。
Collins主要關注網絡測量與流量分析，尤其是對較大的流量數據集所做的分析。

前言1
第I部分數據
第1章整理數據：視點、領域、行動及驗證.17
1.1領域19
1.2視點21
1.3行動：傳感器對數據所做的處理25
1.4有效性與行動27
1.5延伸閱讀.34

第2章視點：了解傳感器在網絡中的擺放情況.36
2.1網絡分層的基礎知識36
2.2在網絡中的各個層面上進行尋址45
2.3延伸閱讀.57

第3章網絡領域內的傳感器.58
3.1數據包與幀的格式.59
3.2 NetFlow 67
3.3通過IDS收集數據70
3.4提高IDS的工作成效78
3.5中間盒日誌及其影響91
3.6延伸閱讀.94

第4章服務領域中的數據.96
4.1什麼叫做服務領域中的數據？為什麼要收集這些數據？.96
4.2日誌文件——最為基礎的服務數據98
4.3獲取並操縱日誌文件98
4.4日誌文件的內容101
4.5延伸閱讀112

第5章服務領域內的傳感器113
5.1典型的日誌文件格式. 114
5.2簡單郵件傳輸協議（SMTP） 119
5.3其他一些較為有用的日誌文件.125
5.4傳輸日誌文件的三種方式：文件傳輸、Syslog和消息隊列.127
5.5延伸閱讀130

第6章主機領域中的數據與傳感器.131
6.1從網絡的角度觀察主機.132
6.2與網絡接口（網卡）有關的信息.134
6.3可以用來追踪身份的主機信息.138
6.4進程140
6.5文件系統145
6.6歷史數據：用戶執行過的命令以及與登錄有關的信息148
6.7其他數據與傳感器：HIPS及AV .149
6.8延伸閱讀150

第7章主動領域內的數據及傳感器.151
7.1發現、評估及維護152
7.2發現：ping、traceroute、netcat等工具的用法，以及nmap工具的
其中一部分用法153
7.3評估：nmap、一些客戶端和許多資源庫161
7.4用主動收集到的數據來進行驗證.168
7.5延伸閱讀169

第Ⅱ部分工具
第8章把數據集中到一起173
8.1宏觀結構176
8.2日誌數據與CRUD範式184
8.3 NoSQL系統簡介.187
8.4延伸閱讀190

第9章SiLK工具 包191
9.1什麼是SiLK ？它的工作原理是怎樣的？191
9.2取得併安裝SiLK .192
9.3用rwcut命令操縱字段，並按照一定的格式將其輸出.194
9.4用rwfilter命令對字段進行基本的操縱200
9.5用rwfileinfo命令查詢數據文件的出處210
9.6用rwcount命令把信息流合起來統計213
9.7 rwset與IP set 215
9.8 rwuniq命令.220
9.9 rwbag命令222
9.10 SiLK工具包的高級功能223
9.11收集SiLK數據226
9.12延伸閱讀233

第10章參照與查詢——用相關工具確定用戶身份235
10.1 MAC與硬件地址236
10.2 IP地址239
10.3 DNS .246
10.4搜索引擎266
10.5延伸閱讀268

第Ⅲ部分分析
第11章探索性數據分析及其視覺呈現275
11.1 EDA的目標：應用分析. 277
11.2 EDA的工作流程280
11.3變量與可視化282
11.4適用單個變量的可視化技術284
11.5對雙變量的數據集進行呈現291
11.6對多變量的數據集進行呈現293
11.7擬合與估算307
11.8延伸閱讀315

第12章文本分析316
12.1文本的編碼316
12.2基本技能325
12.3文本分析技術332
12.4延伸閱讀339

第13章Fumbling .340
13.1由於錯誤的配置、自動化的軟件或掃描行為而引起的fumble現象341
13.2如何識別fumbling攻擊.344
13.3服務層面的fumbling 357
13.4探測並分析Fumbling現象361

第14章流量與時間.367
14.1辦公時間方面的規律及其對網絡流量的影響.368
14.2 beaconing 371
14.3文件傳輸/raiding 374
14.4集中度.377
14.5對流量與集中度進行分析.389
14.6延伸閱讀395

第15章圖396
15.1圖的定義與特徵.396
15.2標記、權重與路徑401
15.3節點與連接性407
15.4聚集係數408
15.5對圖進行分析410
15.6延伸閱讀415

第16章來自內部的威脅.416
16.1把內部威脅與其他幾種攻擊區別開.418
16.2避免互相傷害421
16.3攻擊方式422
16.4收集並分析與內部威脅有關的數據.424
16.5延伸閱讀428

第17章威脅情報429
17.1什麼是威脅情報？429
17.2創建威脅情報計劃434
17.3對威脅情報的創建工作進行小結439
17.4延伸閱讀440

第18章應用程序判定.441
18.1可用來認定應用程序的各種手段442
18.2認定應用程序的banner並對其分類456
18.3延伸閱讀459

第19章網絡映射460
19.1創建初始的網絡資源目錄與網絡映射圖460
19.2更新網絡資源目錄，以便持續地進行審計481
19.3延伸閱讀482

第20章與運維團隊合作.483
20.1運維工作概述483
20.2運維工作中的各種流程485
20.3延伸閱讀496

第21章結論498