Защита сетей. Подход на основе анализа данных

Издательство: ДМК-Пресс
Автор: Коллинз М.
ISBN: 978-5-97060-649-0
Страниц: 308
Язык: Русский
Год издания: 2019

 
 
 

Описание книгиСодержаниеДополнительно

Книги по IT. Чтобы защитить современные сложные сети в настоящее время уже недостаточно мониторинга файлов журналов и обычных методов выявления вторжений. В обновленном втором издании этого практического руководства исследователь безопасности Майкл Коллинз знакомит читателя с новейшими методами и инструментами для сбора и анализа наборов данных сетевого трафика. Вы научитесь: использовать датчики для сбора данных о сети, сервисе, хосте и активном домене; работе с набором инструментов SiLK, Python и другими инструментами и техниками для манипулирования данными, которые вы собираете; обнаружению необычных явлений с помощью исследовательского анализа данных (EDA) с использованием визуализации и математических методов; анализу текстовых данных, поведения трафика и ошибок связи; Определите важные структуры в вашей сети с помощью анализа графиков; изучать данные об угрозах изнутри; составлять карту своей сети и определять важные узлы в ней; работе с операциями по разработке защиты и методов анализа. Целевая аудитория для этого издания — сетевые администраторы и аналитики безопасности, персонал, работающий на этажах NOC или регулярно сталкивающийся с консолью IDS.

Об авторе 5
Предисловие 11
Предисловие от издательства 19
Часть I. ДАННЫЕ 21
Глава 1. Сенсоры и детекторы: введение 23
Область обзора сенсора: зависимость сбора данных от расположения сенсора 24
Уровни расположения сенсоров: какие данные можно собрать 27
Действия сенсора: как сенсор обрабатывает данные 30
Заключение 32
Глава 2. Сетевые сенсоры 33
Влияние уровней сети на ее оснащение 34
Уровни сети и область обзора сенсоров 36
Уровни сети и адресация 40
Пакетные данные 41
Форматы пакетов и фреймов 42
Циклический (кольцевой) буфер 42
Лимитирование захваченных пакетных данных 42
Фильтрация специфических типов пакетов 43
seq 265488449, win 65535, options [mss 1460,nop,wscale 3,nop] 45
Если вы не используете Ethernet 46
NetFlow 47
Форматы и поля NetFlow v5 47
«Поток и наполнение». NetFlow v9 и стандарт IPFIX 48
Генерация и сбор данных в NetFlow 49
Дополнительные материалы для чтения 50
Глава 3. Датчики хостов и сервисов:
журналирование трафика в источнике даных 51
Доступ и управление файлами журнала 52
Содержание файлов журнала 54
Характеристики хорошего сообщения журнала 54
Существующие файлы журнала и как ими управлять 57
Представительные форматы файла журнала 58
HTTP: CLF и ELF 58
SMTP 62
Microsoft Exchange: журналы отслеживающие сообщения 64
Транспорт файла журнала: передачи, системы и очереди сообщений 65
Передача и ротация файла журнала 65
Системный журнал 66
Дополнительные материалы для чтения 67
Глава 4. Хранение данных для анализа: реляционные базы
данных, большие данные и другие опции 68
Данные журналов и парадигма CRUD 69
Создание хорошо организованной плоской файловой системы: уроки от SiLK 70
Краткое введение в системы NoSQL 72
Какой подход к хранению данных использовать 75
Иерархия устройств хранения данных, время выполнения запроса и старение 77
Часть 2. ИНСТРУМЕНТЫ 79
Глава 5. Комплект SiLK 81
Что такое SiLK и как он работает? 81
Получение и установка SiLK 82
Файлы данных 82
Выбор и форматирование выходного управления полем: rwcut 83
Основное управление полем: rwfi lter 87
Порты и протоколы 88
Размер 89
IP-адреса 89
Время 91
Опции TCP 91
Опции помощника 93
Разные опции фильтрации и некоторые взломы 93
rwfi leinfo и происхождение 94
Объединение информационных потоков: rwcount 96
rwset и IP Sets 98
rwuniq 101
rwbag 103
Усовершенствованные средства SiLK 103
pmaps 104
Сбор данных SiLK 105
YAF 106
rwptofl ow 108
rwtuc 108
Дополнительные материалы для чтения 109
Глава 6. Введение в R для аналитиков по вопросам безопасности 110
Монтаж и установка 111
Основы языка 111
Подсказка R 111
R-переменные 113
Запись функций 118
Условные выражения и итерация 119
Использование рабочей области R 121
Кадры данных 122
Визуализация 125
Команды визуализации 126
Параметры визуализации 126
Аннотирование визуализации 128
Экспорт визуализации 129
Анализ: статистическое тестирование гипотезы 129
Тестирование гипотезы 130
Тестирование данных 132
Дополнительные материалы для чтения 134
Глава 7. Классификация и инструменты события: IDS, AV и SEM 135
Как работает IDS 136
Базовый словарь 136
Интенсивность отказов классификатора: понимание ошибки тарифной ставки 140
Применение классификации 142
Улучшение производительности IDS 143
Улучшение обнаружения IDS 144
Улучшение ответа IDS 148
Упреждающая выборка данных 149
Дополнительные материалы для чтения 150
Глава 8. Ссылка и поиск: инструменты для выяснения,
кто есть кто 151
MAC и аппаратные адреса 151
IP-адресация 153
Адреса IPv4, их структура и важные адреса 154
Адреса IPv6, их структура и важные адреса 155
Проверка возможности соединения: используя ping для соединения с адресом 157
Tracerouting 158
Интеллект IP: геолокация и демография 160
DNS 161
Структура имени DNS 161
Направление запроса DNS с использованием dig 163
Поиск реверса DNS 169
Использование whois для нахождения владельца 170
Дополнительные ссылочные инструменты 173
DNSBLs 173
Глава 9. Больше инструментов 176
Визуализация 176
Graphviz 176
Коммуникации и зондирование 179
netcat 179
nmap 181
Scapy 182
Проверка пакетов и ссылка 184
Wireshark 185
GeoIP 185
NVD, вредоносные сайты и C*Es 186
Поисковые системы, списки рассылки и люди 187
Дополнительные материалы для чтения 188
ЧАСТЬ III. АНАЛИТИКА 189
Глава 10. Исследовательский анализ данных и визуализация 191
Цель EDA: применение анализа 192
Поток операций EDA 194
Переменные и визуализация 196
Одномерная визуализация: гистограммы, графики QQ, коробчатые диаграммы и графики разряда 197
Гистограммы 197
Столбиковые диаграммы (некруговые диаграммы) 199
График квантиль-квантиль (QQ) 200
Сводка с пятью числами и коробчатая диаграмма 202
Генерация коробчатой диаграммы 203
Двумерное описание 206
Scatterplots (графики рассеяния) разброса 206
Таблицы сопряженности 208
Многомерная визуализация 209
Введение в эксплуатацию визуализации безопасности 211
Правило первое: связанность и разделение визуализации для управления разрушениями 211
Дополнительные материалы для чтения 217
Глава 11. О «нащупывании» 218
Модели нападения 218
Нащупывание: неверная конфигурация, автоматизация и сканирование 221
Отказы поиска 221
Автоматизация 222
Сканирование 222
Идентификация нащупывания 223
Нащупывание TCP: машина состояния 223
Сообщения ICMP и нащупывание 226
Идентификация нащупывания UDP 228
Нащупывание на уровне обслуживания 228
Нащупывание HTTP 228
Нащупывание SMTP 230
Анализ нащупывания 230
Создание предупреждений нащупывания 231
Судебный анализ нащупывания 232
Разработка сети для использования нащупывания в своих интересах 232
Дополнительные материалы для чтения 233
Глава 12. Объемный и временной анализ 234
Рабочий день и его влияние на объем сетевого трафика 234
Запуск маячка 237
Рейдерское (несанкционированное) копирование 239
Локальность 242
DDoS, флеш-толпы и исчерпание ресурса 245
DDoS и инфраструктура маршрутизации 246
Применение анализа объема и локальности 251
Выбор данных 251
Использование объема как предупреждения 254
Использование запуска маячка как предупреждения 254
Использование локальности как предупреждение 255
Технические решения 255
Дополнительные материалы для чтения 256
Глава 13. Анализ графа 257
Атрибуты графа: что такое граф? 257
Маркировка, вес и пути 261
Компоненты и возможность соединения 266
Коэффициент кластеризации 267
Анализ графов 268
Использование факторного анализа как предупреждения 268
Использование анализа центрированности для судебной экспертизы 270
Использование поиска в ширину криминалистически 270
Использоваие анализа центрированности для разработки 272
Дополнительные материалы для чтения 272
Глава 14. Идентификация приложения 273
Механизмы для идентификации приложения 273
Номер порта 274
Идентификация приложения захватом баннера 277
Идентификация приложения поведением 280
Идентификация приложения вспомогательным сайтом 284
Баннеры приложений: идентификация и классификация 284
Баннеры за пределами WWW 284
Баннеры веб-клиента: строка агента пользователя 285
Дополнительные материалы для чтения 287
Глава 15. Сетевая картография 288
Создание первоначальных сетевых материально-технических ресурсов и карты 288
Создание материально-технических ресурсов: данные, покрытие и файлы 289
Фаза I: первые три вопроса 290
Фаза II: исследование пространства IP 293
Фаза III: идентификация слепого и запутывающего трафика 297
Фаза IV: идентификация клиентов и серверов 300
Идентификация обнаружения и блокирования инфраструктуры 302
Обновление инвентаризации: к непрерывному аудиту 303
Дополнительные материалы для чтения 303
Предметный указатель 304

Об авторе.
Майкл Коллинз — главный научный сотрудник RedJack, LLC., Компании NetworkSecurity and Data Analysis, расположенной в Вашингтоне. До своей работы в RedJack доктор Коллинз был членом технического персонала группы CERT / Network ситуационной осведомленности в Университете Карнеги-Меллона. Основное внимание он уделяет инструментам сети и анализу трафика, в частности анализу больших наборов данных трафика. Коллинз получил степень доктора наук по электротехнике в Университете Карнеги-Меллона в 2008 году, имеет степень магистра и бакалавра в том же учебном заведении.


Отрывок из книги
Оригинальное издание книги
Книга на amazon
ссылка