目錄 前言 1 第I 部分 數(shù)據(jù) 第1 章 整理數(shù)據(jù)：視點(diǎn)、領(lǐng)域、行動及驗(yàn)證 .17 1.1 領(lǐng)域 19 1.2 視點(diǎn) 21 1.3 行動：傳感器對數(shù)據(jù)所做的處理 25 1.4 有效性與行動 27 1.5 延伸閱讀 .34 第2 章 視點(diǎn)：了解傳感器在網(wǎng)絡(luò)中的擺放情況 .36 2.1 網(wǎng)絡(luò)分層的基礎(chǔ)知識 36 2.2 在網(wǎng)絡(luò)中的各個層面上進(jìn)行尋址 45 2.3 延伸閱讀 .57 第3 章 網(wǎng)絡(luò)領(lǐng)域內(nèi)的傳感器 .58 3.1 數(shù)據(jù)包與幀的格式 .59 3.2 NetFlow 67 3.3 通過IDS 收集數(shù)據(jù) 70 3.4 提高IDS 的工作成效78 3.5 中間盒日志及其影響 91 3.6 延伸閱讀 .94 第4 章 服務(wù)領(lǐng)域中的數(shù)據(jù) .96 4.1 什么叫做服務(wù)領(lǐng)域中的數(shù)據(jù)？為什么要收集這些數(shù)據(jù)？ .96 4.2 日志文件——最為基礎(chǔ)的服務(wù)數(shù)據(jù) 98 4.3 獲取并操縱日志文件 98 4.4 日志文件的內(nèi)容 101 4.5 延伸閱讀 112 第5 章 服務(wù)領(lǐng)域內(nèi)的傳感器 113 5.1　典型的日志文件格式 . 114 5.2　簡單郵件傳輸協(xié)議（SMTP） 119 5.3　其他一些較為有用的日志文件 .125 5.4　傳輸日志文件的三種方式：文件傳輸、Syslog 和消息隊(duì)列 .127 5.5　延伸閱讀 130 第6 章 主機(jī)領(lǐng)域中的數(shù)據(jù)與傳感器 .131 6.1　從網(wǎng)絡(luò)的角度觀察主機(jī) .132 6.2　與網(wǎng)絡(luò)接口（網(wǎng)卡）有關(guān)的信息 .134 6.3　可以用來追蹤身份的主機(jī)信息 .138 6.4　進(jìn)程 140 6.5　文件系統(tǒng) 145 6.6　歷史數(shù)據(jù)：用戶執(zhí)行過的命令以及與登錄有關(guān)的信息 148 6.7　其他數(shù)據(jù)與傳感器：HIPS 及AV .149 6.8　延伸閱讀 150 第7 章 主動領(lǐng)域內(nèi)的數(shù)據(jù)及傳感器 .151 7.1　發(fā)現(xiàn)、評估及維護(hù) 152 7.2　發(fā)現(xiàn)：ping、traceroute、netcat 等工具的用法，以及nmap 工具的 其中一部分用法 153 7.3　評估：nmap、一些客戶端和許多資源庫 161 7.4　用主動收集到的數(shù)據(jù)來進(jìn)行驗(yàn)證 .168 7.5　延伸閱讀 169 第Ⅱ部分 工具 第8 章 把數(shù)據(jù)集中到一起 173 8.1　宏觀結(jié)構(gòu) 176 8.2　日志數(shù)據(jù)與CRUD 范式 184 8.3　NoSQL 系統(tǒng)簡介 .187 8.4　延伸閱讀 190 第9 章 SiLK 工具包 191 9.1　什么是SiLK ？它的工作原理是怎樣的？ 191 9.2　取得并安裝SiLK .192 9.3　用rwcut 命令操縱字段，并按照一定的格式將其輸出 .194 9.4　用rwfilter 命令對字段進(jìn)行基本的操縱 200 9.5　用rwfileinfo 命令查詢數(shù)據(jù)文件的出處 210 9.6　用rwcount 命令把信息流合起來統(tǒng)計(jì) 213 9.7　rwset 與IP set 215 9.8　rwuniq 命令 .220 9.9　rwbag 命令 222 9.10　SiLK 工具包的高級功能 223 9.11　收集SiLK 數(shù)據(jù) 226 9.12　延伸閱讀 233 第10 章 參照與查詢——用相關(guān)工具確定用戶身份235 10.1　MAC 與硬件地址 236 10.2　IP 地址 239 10.3　DNS .246 10.4　搜索引擎 266 10.5　延伸閱讀 268 第Ⅲ部分 分析 第11 章 探索性數(shù)據(jù)分析及其視覺呈現(xiàn)275 11.1　EDA 的目標(biāo)：應(yīng)用分析 .277 11.2　EDA 的工作流程 280 11.3　變量與可視化 282 11.4　適用單個變量的可視化技術(shù) 284 11.5　對雙變量的數(shù)據(jù)集進(jìn)行呈現(xiàn) 291 11.6　對多變量的數(shù)據(jù)集進(jìn)行呈現(xiàn) 293 11.7　擬合與估算 307 11.8　延伸閱讀 315 第12 章 文本分析 316 12.1　文本的編碼 316 12.2　基本技能 325 12.3　文本分析技術(shù) 332 12.4　延伸閱讀 339 第13 章 Fumbling .340 13.1　由于錯誤的配置、自動化的軟件或掃描行為而引起的fumble 現(xiàn)象 341 13.2　如何識別fumbling 攻擊 .344 13.3　服務(wù)層面的fumbling 357 13.4　探測并分析Fumbling 現(xiàn)象 361 第14 章 流量與時(shí)間 .367 14.1　辦公時(shí)間方面的規(guī)律及其對網(wǎng)絡(luò)流量的影響 .368 14.2　beaconing 371 14.3　文件傳輸/raiding 374 14.4　集中度 .377 14.5　對流量與集中度進(jìn)行分析 .389 14.6　延伸閱讀 395 第15 章 圖 396 15.1　圖的定義與特征 .396 15.2　標(biāo)記、權(quán)重與路徑 401 15.3　節(jié)點(diǎn)與連接性 407 15.4　聚集系數(shù) 408 15.5　對圖進(jìn)行分析 410 15.6　延伸閱讀 415 第16 章 來自內(nèi)部的威脅 .416 16.1　把內(nèi)部威脅與其他幾種攻擊區(qū)別開 .418 16.2　避免互相傷害 421 16.3　攻擊方式 422 16.4　收集并分析與內(nèi)部威脅有關(guān)的數(shù)據(jù) .424 16.5　延伸閱讀 428 第17 章 威脅情報(bào) 429 17.1　什么是威脅情報(bào)？ 429 17.2　創(chuàng)建威脅情報(bào)計(jì)劃 434 17.3　對威脅情報(bào)的創(chuàng)建工作進(jìn)行小結(jié) 439 17.4　延伸閱讀 440 第18 章 應(yīng)用程序判定 .441 18.1　可用來認(rèn)定應(yīng)用程序的各種手段 442 18.2　認(rèn)定應(yīng)用程序的banner 并對其分類 456 18.3　延伸閱讀 459 第19 章 網(wǎng)絡(luò)映射 460 19.1　創(chuàng)建初始的網(wǎng)絡(luò)資源目錄與網(wǎng)絡(luò)映射圖 460 19.2　更新網(wǎng)絡(luò)資源目錄，以便持續(xù)地進(jìn)行審計(jì) 481 19.3　延伸閱讀 482 第20 章 與運(yùn)維團(tuán)隊(duì)合作 .483 20.1　運(yùn)維工作概述 483 20.2　運(yùn)維工作中的各種流程 485 20.3　延伸閱讀 496 第21 章 結(jié)論 498