第1部分 數 據
第1章 傳感器和探測器簡介3
1.1 觀察點：傳感器的位置對數據采集的影響4
1.2 領域：確定可以采集的數據7
1.3 操作：傳感器對數據所做的處理10
1.4 小結12
第2章 網絡傳感器13
2.1 網絡分層及其對測量的影響14
2.1.1 網絡層次和觀察點16
2.1.2 網絡層次和編址19
2.2 封包數據20
2.2.1 封包和幀格式21
2.2.2 滾動緩存21
2.2.3 限製每個封包中捕捉的數據21
2.2.4 過濾特定類型封包21
2.2.5 如果不是以太網怎麼辦25
2.3 NetFlow26
2.3.1 NetFlow v5格式和字段26
2.3.2 NetFlow生成和采集28
第3章 主機和服務傳感器：在源上的流量日誌29
3.1 訪問和操縱日誌文件30
3.2 日誌文件的內容32
3.2.1 優秀日誌消息的特性32
3.2.2 現有日誌文件以及處理方法34
3.3 有代錶性的日誌文件格式36
3.3.1 HTTP：CLF和ELF36
3.3.2 SMTP39
3.3.3 Microsoft Exchange：郵件跟蹤日誌41
3.4 日誌文件傳輸：轉移、Syslog和消息隊列43
3.4.1 轉移和日誌文件留存43
3.4.2 syslog43
第4章 用於分析的數據存儲：關係數據庫、大數據和其他選項46
4.1 日誌數據和CRUD範式47
4.2 NoSQL係統簡介49
4.3 使用何種存儲方法52
第2部分 工 具
第5章 SiLK套件56
5.1 SiLK的概念和工作原理56
5.2 獲取和安裝SiLK57
5.3 選擇和格式化輸齣字段操作：rwcut58
5.4 基本字段操縱：rwfilter63
5.4.1 端口和協議63
5.4.2 大小65
5.4.3 IP地址65
5.4.4 時間66
5.4.5 TCP選項67
5.4.6 助手選項68
5.4.7 雜項過濾選項和一些技巧69
5.5 rwfileinfo及齣處69
5.6 閤並信息流：rwcount72
5.7 rwset和IP集74
5.8 rwuniq77
5.9 rwbag79
5.10 SiLK高級機製79
5.11 采集SiLK數據81
5.11.1 YAF81
5.11.2 rwptoflow83
5.11.3 rwtuc84
第6章 R安全分析簡介86
6.1 安裝與設置86
6.2 R語言基礎知識87
6.2.1 R提示符87
6.2.2 R變量88
6.2.3 編寫函數93
6.2.4 條件與循環95
6.3 使用R工作區97
6.4 數據幀98
6.5 可視化101
6.5.1 可視化命令101
6.5.2 可視化參數101
6.5.3 可視化注解103
6.5.4 導齣可視化104
6.6 分析：統計假設檢驗104
6.6.1 假設檢驗105
6.6.2 檢驗數據107
第7章 分類和事件工具：IDS、AV和SEM110
7.1 IDS的工作原理110
7.1.1 基本詞匯111
7.1.2 分類器失效率：理解“基率謬誤”114
7.1.3 應用分類116
7.2 提高IDS性能117
7.2.1 改進IDS檢測118
7.2.2 改進IDS響應122
7.2.3 預取數據122
第8章 參考和查找：瞭解“某人是誰”的工具124
8.1 MAC和硬件地址124
8.2 IP編址126
8.2.1 IPv4地址、結構和重要地址126
8.2.2 IPv6地址、結構和重要地址128
8.2.3 檢查連接性：使用ping連接到某個地址129
8.2.4 路由跟蹤131
8.2.5 IP信息：地理位置和人口統計學特徵132
8.3 DNS133
8.3.1 DNS名稱結構133
8.3.2 用dig轉發DNS查詢134
8.3.3 DNS反嚮查找142
8.3.4 使用whois查找所有者143
8.4 其他參考工具146
第9章 其他工具148
9.1 可視化148
9.2 通信和探查151
9.2.1 netcat151
9.2.2 nmap153
9.2.3 Scapy154
9.3 封包檢查和參考157
9.3.1 Wireshark157
9.3.2 GeoIP157
9.3.3 NVD、惡意軟件網站和C*E158
9.3.4 搜索引擎、郵件列錶和人160
第3部分 分 析
第10章 探索性數據分析和可視化162
10.1 EDA的目標：應用分析163
10.2 EDA工作流程165
10.3 變量和可視化166
10.4 單變量可視化：直方圖、QQ圖、箱綫圖和等級圖167
10.3.1 直方圖167
10.3.2 柱狀圖（不是餅圖）169
10.3.3 分位數—分位數（Quantile—Quantile ，QQ）圖170
10.3.4 五數概括法和箱綫圖172
10.3.5 生成箱綫圖173
10.5 雙變量描述175
10.5.1 散點圖175
10.5.2 列聯錶177
10.6 多變量可視化177
第11章 摸索185
11.1 攻擊模式185
11.2 摸索：錯誤的配置、自動化和掃描187
11.2.1 查找失敗187
11.2.2 自動化188
11.2.3 掃描188
11.3 識彆摸索行為189
11.3.1 TCP摸索：狀態機189
11.3.2 ICMP消息和摸索192
11.3.3 識彆UDP摸索193
11.4 服務級摸索193
11.4.1 HTTP摸索193
11.4.2 SMTP摸索195
11.5 摸索分析195
11.5.1 構建摸索警報196
11.5.2 摸索行為的取證分析196
11.5.3 設計一個網絡來利用摸索197
第12章 通信量和時間分析199
12.1 工作日對網絡通信量的影響199
12.2 信標201
12.3 文件傳輸／攫取204
12.4 局部性206
12.4.1 DDoS、突發擁塞和資源耗盡209
12.4.2 DDoS和路由基礎架構210
12.5 應用通信量和局部性分析214
12.5.1 數據選擇214
12.5.2 將通信量作為警報216
12.5.3 將信標作為警報216
12.5.4 將局部性作為警報217
12.5.5 工程解決方案217
第13章 圖解分析219
13.1 圖的屬性：什麼是圖219
13.2 標簽、權重和路徑222
13.3 分量和連通性227
13.4 聚類係數228
13.5 圖的分析229
13.5.1 將分量分析作為警報229
13.5.2 將集中度分析用於取證230
13.5.3 廣度優先搜索的取證使用231
13.5.4 將集中度分析用於工程232
第14章 應用程序識彆234
14.1 應用程序識彆機製234
14.1.1 端口號234
14.1.2 通過標誌抓取識彆應用程序238
14.1.3 通過行為識彆應用程序241
14.1.4 通過附屬網站識彆應用程序244
14.2 應用程序標誌：識彆和分類245
14.2.1 非Web標誌245
14.2.2 Web客戶端標誌：User—Agent字符串246
第15章 網絡映射249
15.1 創建一個初始網絡庫存清單和映射249
15.1.1 創建庫存清單：數據、覆蓋範圍和文件250
15.1.2 第1階段：前3個問題251
15.1.3 第2階段：檢查IP空間254
15.1.4 第3階段：識彆盲目和難以理解的流量258
15.1.5 第4階段：識彆客戶端和服務器261
15.2 更新庫存清單：走嚮連續審計263
· · · · · · (收起)