《网络安全监控：收集、检测和分析》

编辑推荐

　　国际信息安全技术专家亲力打造，是系统化建立网络安全监控体系的重要参考

　　既详细讲解网络安全监控的相关工具和技术，又通过多个完整的真实案例阐述了网络安全监控的关键理念与实践，是由菜鸟到NSM分析师的必备参考书

内容简介

　　《网络安全监控：收集、检测和分析》由多位国际信息安全技术专家亲力打造，是系统化建立网络安全监控体系的重要参考，书中不仅详细介绍了网络安全监控的相关工具和技术，还通过多个完整的真实案例阐述了网络安全监控的关键理念与实践，是由菜鸟到NSM分析师的必备参考。

　　《网络安全监控：收集、检测和分析》分为三部分，共15章。第1章概述网络安全监控以及现代网络安全环境，讨论整《网络安全监控：收集、检测和分析》将会用到的基本概念。第一部分（第2～6章）介绍数据收集，包括收集什么数据以及如何收集数据，传感器的类型、作用、部署、工具集，全包捕获数据的重要性和工具，数据存储和保存计划，包串数据的生成、解析和查看等。第二部分（第7～12章）详细介绍检测机制基础、受害信标与特征，以及几种借助信标与特征的检测机制的实际应用，涉及基于信誉度的检测方法、使用Snort和Suricata进行基于特征的检测、Bro平台、基于异常的检测与统计数据、使用金丝雀蜜罐进行检测的方法等。第三部分（第13～15章）详细讲解数据包分析的相关知识、我方情报与威胁情报的建立与分析、整体的分析过程，并介绍一些分析实践。

　　网络安全监控是建立在“防不胜防”的基础上的。在当前的威胁环境之下，不论你如何努力，目的明确的攻击者总能找到破绽渗透进入你的网络环境。届时，你将面对的是一个小插曲还是一场大灾难，取决于你对于入侵事件的检测与响应能力。

　　《网络安全监控：收集、检测和分析》围绕NSM（网络安全监控）的采集、检测和分析三个阶段展开，由多位NSM资深专家亲力打造，给出了NSM的系统化概念与实践，有些知识可以直接派上用场。如果你刚开始NSM分析工作，《网络安全监控：收集、检测和分析》能帮助你掌握成为真正的分析师所需的核心概念；如果你已经扮演着分析师的角色，《网络安全监控：收集、检测和分析》可帮你汲取分析技巧，提高分析效果。

　　面对当前复杂的网络环境，每个人都可能放松警惕、盲目片面，有时还会在阻止攻击者的网络战斗中败下阵来。《网络安全监控：收集、检测和分析》会为你装备好正确的工具，让这些工具帮助你采集所需数据、检测恶意行为，并通过分析理解入侵的性质。单纯的防御措施终将失败，而NSM却不会。

　　《网络安全监控：收集、检测和分析》主要内容：

　　探讨部署、执行NSM数据采集策略的恰当方法。

　　提供包括Snort、Suricata、Bro-IDS、SiLK、PRADS及更多工具在内的实战演练。

　　明确提出适用于以结构化和体系化方法进行NSM的综合分析框架。

　　内含SecurityOnionLinux的多个应用实例。

　　配套网站包括作者关于NSM新进展的实时更新博客，全面补充了书中材料。

作者简介

　　作者简介

　　克里斯·桑德斯（ChrisSanders），是美国InGuardians的高级安全分析师，参与过政府、军队以及财富500强企业的多种网络安全防御工作，实战经验丰富。在美国国防部的工作中，他有效地发挥了计算机网络防御服务提供商（CNDSP）模型的作用，协助创建了多个NSM模型以及智能化工具。他曾撰写多《网络安全监控：收集、检测和分析》籍和多篇学术文章，其中包括国际畅销书《PracticalPacketAnalysis》。他拥有多项业界证书，包括SANS、GSE以及CISSP。

　　杰森·史密斯（JasonSmith），是Mandiant安全工程师、安全分析师，参与过州和国家机构的信息安全防御基础设施建设。他拥有多项业界证书，包括SANS、GCIA以及GCFA。

　　译者简介

　　李柏松，著名信息安全公司安天实验室副总工程师，现任安天安全研究与应急处理中心主任。他曾在逆向工程、虚拟机技术方面进行大量探索性研究，是安天主线产品AVLSDK反病毒引擎的核心技术实现者之一，先后主持或参与多项相关科研项目，申请了多项技术专利。

　　李燕宏，华为高级安全分析师，海外安全服务团队负责人，资深SOC安全运营专家。他曾任职于腾讯、盛大等互联网公司，先后主持或参与过多个大型企业的SOC平台建设与运营管理。他致力于SOC安全运营领域的研究，主要研究兴趣包括威胁情报分析、NSM技术、安全运营流程以及安全大数据分析与可视化等。

目录

译者序

作者简介

序　言

前　言

第1章　网络安全监控应用实践1

1.1　关键NSM术语2

1.1.1　资产2

1.1.2　威胁2

1.1.3　漏洞3

1.1.4　利用3

1.1.5　风险3

1.1.6　异常3

1.1.7　事故3

1.2　入侵检测4

1.3　网络安全监控4

1.4　以漏洞为中心vs以威胁为中心7

1.5　NSM周期：收集、检测和分析7

1.5.1　收集7

1.5.2　检测8

1.5.3　分析8

1.6　NSM的挑战9

1.7　定义分析师9

1.7.1　关键技能10

1.7.2　分类分析师11

1.7.3　成功措施12

1.8　SecurityOnion15

1.8.1　初始化安装15

1.8.2　更新SecurityOnion16

1.8.3　执行NSM服务安装16

1.8.4　测试SecurityOnion17

1.9　本章小结19

第一部分　收集

第2章　数据收集计划22

2.1　应用收集框架22

2.1.1　威胁定义23

2.1.2　量化风险24

2.1.3　识别数据源25

2.1.4　焦点缩小26

2.2　案例：网上零售商28

2.2.1　识别组织威胁28

2.2.2　量化风险29

2.2.3　识别数据源30

2.2.4　焦点缩小33

2.3　本章小结35

第3章　传感器平台36

3.1　NSM数据类型37

3.1.1　全包捕获数据37

3.1.2　会话数据37

3.1.3　统计数据37

3.1.4　包字符串数据37

3.1.5　日志数据38

3.1.6　告警数据38

3.2　传感器类型39

3.2.1　仅收集39

3.2.2　半周期39

3.2.3　全周期检测39

3.3　传感器硬件40

3.3.1　CPU41

3.3.2　内存42

3.3.3　磁盘存储空间42

3.3.4　网络接口44

3.3.5　负载平衡：套接字缓冲区的

要求45

3.3.6　SPAN端口vs网络分流器46

3.4　传感器高级操作系统50

3.5　传感器的安置50

3.5.1　利用适当的资源50

3.5.2　网络入口/出口点50

3.5.3　内部IP地址的可视性51

3.5.4　靠近关键资产54

3.5.5　创建传感器可视化视图55

3.6　加固传感器57

3.6.1　操作系统和软件更新57

3.6.2　操作系统加固57

3.6.3　限制上网57

3.6.4　小化软件安装58

3.6.5　VLAN分割58

3.6.6　基于主机的IDS58

3.6.7　双因素身份验证58

3.6.8　基于网络的IDS59

3.7　本章小结59

第4章　会话数据60

4.1　流量记录61

4.1.1　NetFlow63

4.1.2　IPFIX64

4.1.3　其他流类型64

4.2　收集会话数据64

4.2.1　硬件生成65

4.2.2　软件生成65

4.3　使用SiLK收集和分析流数据66

4.3.1　SiLK包工具集66

4.3.2　SiLK流类型68

4.3.3　SiLK分析工具集68

4.3.4　在SecurityOnin里安装SiLK69

4.3.5　使用Rwfilter过滤流数据69

4.3.6　在Rwtools之间使用数据管道70

4.3.7　其他SiLK资源73

4.4　使用Argus收集和分析流数据73

4.4.1　解决框架74

4.4.2　特性74

4.4.3　基础数据检索75

4.4.4　其他Argus资源76

4.5　会话数据的存储考虑76

4.6　本章小结78

第5章　全包捕获数据79

5.1　Dumpcap80

5.2　Daemonlogger81

5.3　Netsniff-NG83

5.4　选择合适的FPC收集工具84

5.5　FPC收集计划84

5.5.1　存储考虑85

5.5.2　使用Netsniff-NG和IFPPS

计算传感器接口吞吐量86

5.5.3　使用会话数据计算传感器接口吞吐量87

5.6　减少FPC数据存储预算88

5.6.1　过滤服务88

5.6.2　过滤主机到主机的通信90

5.7　管理FPC数据存储周期91

5.7.1　基于时间的存储管理92

5.7.2　基于大小的存储管理92

5.8　本章小结96

第6章　包字符串数据97

6.1　定义包字符串数据97

6.2　PSTR数据收集99

6.2.1　手动生成PSTR数据100

6.2.2　URLSnarf101

6.2.3　Httpry102

6.2.4　Justniffer104

6.3　查看PSTR数据107

6.3.1　Logstash107

6.3.2　使用BASH工具解析

原始文本114

6.4　本章小结116

第二部分　检测

第7章　检测机制、受害信标与特征118

7.1　检测机制118

7.2　受害信标和特征119

7.2.1　主机信标和网络信标120

7.2.2　静态信标120

7.2.3　可变信标123

7.2.4　信标与特征的进化124

7.2.5　特征调优125

7.2.6　信标和特征的关键标准127

7.3　信标和特征的管理128

7.4　信标与特征框架133

7.4.1　OpenIOC134

7.4.2　STIX135

7.5　本章小结137

第8章　基于信誉度的检测138

8.1　公开信誉度列表138

8.1.1　常用公开信誉度列表139

8.1.2　使用公共信誉度列表的常见问题143

8.2　基于信誉度的自动化检测145

8.2.1　使用BASH脚本实现手动检索与检测145

8.2.2　集中智能框架150

8.2.3　Snort的IP信誉度检测153

8.2.4　Suricata的IP信誉度检测154

8.2.5　Bro的信誉度检测156

8.3　本章小结159

第9章　基于Snort和Suricata特征检测160

9.1　Snort161

9.2　SURICATA163

9.3　在SecurityOnion系统中改变IDS引擎165

9.4　初始化Snort和Suricata实现入侵检测165

9.5　Snort和Suricata的配置168

9.5.1　变量168

9.5.2　IP变量168

9.5.3　定义规则集171

9.5.4　警报输出176

9.5.5　Snort预处理器178

9.5.6　NIDS模式命令行附加参数179

9.6　IDS规则181

9.6.1　规则解析181

9.6.2　规则调优195

9.7　查看Snort和Suricata警报201

9.7.1　Snorby201

9.7.2　Sguil202

9.8　本章小结202

第10章　Bro平台203

10.1　Bro基本概念203

10.2　Bro的执行205

10.3　Bro日志205

10.4　使用Bro定制开发检测工具209

10.4.1　文件分割209

10.4.2　选择性提取文件211

10.4.3　从网络流量中实时提取文件213

10.4.4　打包Bro程序215

10.4.5　加入配置选项216

10.4.6　使用Bro监控敌方218

10.4.7　暗网检测脚本的扩展224

10.4.8　重载默认的通知处理224

10.4.9　屏蔽，邮件，警报——举手之劳227

10.4.10　为Bro日志添加新字段228

10.5　本章小结231

第11章　基于统计数据异常的检测232

11.1　通过SiLK获得流量排名232

11.2　通过SiLK发现服务236

11.3　使用统计结果实现深度检测240

11.4　使用Gnuplot实现统计数据的可视化242

11.5　使用Google图表实现统计数据的可视化245

11.6　使用Afterglow实现统计数据的可视化249

11.7　本章小结254

第12章　使用金丝雀蜜罐进行检测255

12.1　金丝雀蜜罐255

12.2　蜜罐类型256

12.3　金丝雀蜜罐架构257

12.3.1　第一阶段：确定待模拟的设备和服务257

12.3.2　第二阶段：确定金丝雀蜜罐安放位置258

12.3.3　第三阶段：建立警报和日志记录259

12.4　蜜罐平台260

12.4.1　Honeyd260

12.4.2　KippoSSH蜜罐264

12.4.3　Tom’sHoneypot267

12.4.4　蜜罐文档269

12.5　本章小结272

第三部分　分析

第13章　数据包分析274

13.1　走近数据包274

13.2　数据包数学知识276

13.2.1　以十六进制方式理解字节276

13.2.2　十六进制转换为二进制和十进制277

13.2.3　字节的计数278

13.3　数据包分解280

13.4　用于NSM分析的cpdump工具283

13.5　用于数据包分析的Tshark工具287

13.6　用于NSM分析的Wireshark工具291

13.6.1　捕获数据包291

13.6.2　改变时间显示格式293

13.6.3　捕获概要293

13.6.4　协议分层294

13.6.5　终端和会话295

13.6.6　流追踪296

13.6.7　输入/输出数据流量图296

13.6.8　导出对象297

13.6.9　添加自定义字段298

13.6.10　配置协议解析选项299

13.6.11　捕获和显示过滤器300

13.7　数据包过滤301

13.7.1　伯克利数据包过滤器301

13.7.2　Wireshark显示过滤器304

13.8　本章小结307

第14章　我方情报与威胁情报308

……

前言/序言

　　前　言我喜欢抓坏人。当我还是个小孩子的时候，就想以某些方式抓住坏人。例如，就近找一条毛巾披上作斗篷，与小伙伴们满屋子跑，玩警察抓小偷的游戏。长大后，每当看到为百姓伸张正义，让各种坏蛋得到应有的惩罚，我都特别开心。但不管我多努力去尝试，我的愤怒也无法让我变成一个绿巨人，不管我被多少蜘蛛咬了，我也无法从我的手臂里发射出蜘蛛网。我也很快意识到我并不适合做执法工作。

　　自从认识到这个现实，我意识到我没有足够的财富建一堆华丽的小工具，并身着蝙蝠衣在夜里绕飞巡逻，所以我结束了一切幻想，将我的注意力转向了我的电脑。事隔多年，我已走出了童年梦想中想活捉坏蛋的角色，那已不是我初想象的那种感觉。

　　通过网络安全监控（NSM）的实战抓住坏人，这也是《网络安全监控：收集、检测和分析》的主旨。NSM是基于防范终失效的原则，就是说无论你在保护你的网络中投入多少时间，坏人都有可能获胜。当这种情况发生时，你必须在组织上和技术上的位置，检测到入侵者的存在并及时做出响应，使事件可以得到及时通报，并以小代价减小入侵者的破坏。

　　“我要怎样做才能在网络上发现坏人？”

　　走上NSM实践的道路通常始于这个问题。NSM的问题其实是一种实践，而这个领域的专家则是NSM的实践者。

　　科学家们通常被称作科技领域的实战者。在近的上世纪80年代，医学上认为牛奶是治疗溃疡的有效方法。随着时间的推移，科学家们发现溃疡是由幽门螺旋杆菌引起的，而奶制品实际上会进一步加剧溃疡的恶化。虽然我们愿意相信大多数科学是准确的，但有时不是这样。所有科学研究是基于当时可用的佳数据，当随着时间的推移出现新的数据时，老问题的答案就会改变，并且重新定义了过去曾经被认为是事实的结论。这是医学研究的现实，也是作为NSM从业者面对的现实。

　　遗憾的是，当我开始涉猎NSM时，关于这个话题并没有太多参考资料可用。坦白地说，现在也没有。除了行业先驱者们偶尔写的博客以及一些特定的书籍外，大多数试图学习这个领域的人都被限制在他们自己设备的范围内。我觉得这是一个合适的时机来澄清一个重要误解，以消除我先前说法的潜在疑惑。市面上有各式各样的关于TCP/IP、包分析和各种入侵检测系统（IDS）话题的书籍。尽管这些书本中提及的概念是NSM的重要方面，但它们并不构成NSM的全过程。这就好比说，一本关于扳手的书，会教你如何诊断汽车，但不会教你如何启动。

　　《网络安全监控：收集、检测和分析》致力于阐述NSM的实践。这意味着《网络安全监控：收集、检测和分析》并不只是简单地提供NSM的工具或个别组件的概述，而是将讲解NSM的流程以及这些工具和组件是如何应用于实践的。

　　目标读者《网络安全监控：收集、检测和分析》终将作为执业NSM分析师的指南。我每天的职责也包括对新分析师的培训，因此《网络安全监控：收集、检测和分析》不仅为读者提供教育素材，也为培训过程提供支持性教材。既然如此，我的期望是读者们能将《网络安全监控：收集、检测和分析》从头到尾阅览，对成为一名优秀分析师的核心概念能有入门级的掌握。

　　如果你已经是一名执业分析师，那么我希望《网络安全监控：收集、检测和分析》将为你打下一个良好基础，让你可以增强分析技能，提升现有的工作效率。目前我已与数名优秀分析师共事，他们将成长为伟大的分析师，因为他们可以用《网络安全监控：收集、检测和分析》中提及的一些技术和信息去提高他们的效率。

　　NSM的有效实践需要对各类工具有一定程度的熟练运用。因此，《网络安全监控：收集、检测和分析》将会讨论到数款工具，但仅限于从分析师的立场去讨论。当我讨论SnortIDS、SiLK分析工具集或其他工具时，那些负责安装维护这些工具的人会发现我并不会很长篇大论地讲这些过程。但在有需要的时候，我会将其他相关资源补充进来。

　　此外，《网络安全监控：收集、检测和分析》完全专注于免费和开源工具。这不仅是为了吸引更多可能没有预算来购买诸如NetWitness、Arcsight等商业分析工具的人，也是为了展示使用基于开源分析设计的工具带来的内在优势，因为它们在数据交互的过程能够提供更高的透明度。

　　所需基础知识成功的NSM分析师在开始安全相关工作之前，通常在其他信息技术领域已经拥有丰富的经验。这是因为他们已经具备了作为一名分析师的其他重要技能，比如对系统、网络管理的理解。如果没有这样的经历，建议阅读一些书，我罗列了一份我十分喜爱的主要书籍清单，我认为这些书能够帮助读者深入了解一名分析师必备的重要技能。我已尽了大努力，让读者在不需要太多基础知识的前提下阅读《网络安全监控：收集、检测和分析》。但如果读者感兴趣，我强烈推荐阅读部分书籍作为《网络安全监控：收集、检测和分析》的补充。

　　《TCP/IP详解，卷1，协议》，作者KevinFall和Dr.RichardStevens（AddisonWesley出版社，2011）。对TCP/IP的核心理解是让NSM更加有效的重要技能之一。早期Dr.RichardStevens的经典文著已经被KevinFall更新，增加了新的协议、标准、佳实践、IPv6、协议安全，等等。

　　《TheTaoofNetworkSecurityMonitoring》，作者RichardBejtlich（AddisonWesley出版社，2004）。RichardBejtlich帮助定义了很多概念，这些概念奠定了NSM实践的基础。基于这样的事实，我在整《网络安全监控：收集、检测和分析》中会经常引用他的书或博客的内容。尽管Richard的书已经有将近10年的历史，但书中的许多材料仍然使它成为NSM范畴内相关文案。

　　《PracticalPacketAnalysis》作者ChrisSanders（NoStarchPress出版社，2010）。我不是王婆卖瓜。鉴于Dr.Stevens的书已为TCP/IP协议提供全面深入的阐述，这《网络安全监控：收集、检测和分析》则是使用Wireshark作为首选工具从实践层面讨论数据包分析。我们在书中讲述如何做数据包检测，如果你之前从未看过数据包，我建议你将此书作为基础。

　　《CounterHackReloaded》作者EdSkoudis和TomLison（PrenticeHall出版社，2006）。我一直认为这《网络安全监控：收集、检测和分析》绝对是佳常规安《网络安全监控：收集、检测和分析》籍之一。它覆盖的范围非常广，我向任何经验级别的读者都推荐此书。如果你从未做过安全相关的工作，那么我会说《CounterHackReloaded》是必读的一《网络安全监控：收集、检测和分析》。

　　《网络安全监控：收集、检测和分析》的组织《网络安全监控：收集、检测和分析》划分成三部分：收集、检测和分析，每章重点讨论相关的工具、技术和核心领域流程。我是一个来自肯塔基州的普通乡村男孩，所以我将尽我所能地用一种不加太多修辞的简单基调来阐述。我也将尝试引入典型的先进概念，并尽可能把它们分解成一系列可重复的步骤。正如任何书籍阐述广义概念一样，当一个概念被提出时，请记住，它并不会覆盖每一种可能的场景或边缘案例。尽管我可以举出一些案例作为一个佳实践，但《网络安全监控：收集、检测和分析》终构建的理论是基于集体研究、经验以及合著者的观点。因此，可能会有这样的场景，你的研究、经验和观点导致你对提及的话题有不同的结论。这是完全正常的情况，这就是为什么NSM是一门实践。

　　第1章：网络安全监控应用实践　这章专门定义了网络安全监控和它在现代安全环境的相关性。它讨论了很多整《网络安全监控：收集、检测和分析》将会用到和引用到的核心术语和假设。

　　部分：收集第2章：数据收集计划　这是ANSM收集部分的第1章，介绍了数据收集和它的重要性。本章将介绍数据收集实施框架，它使用一种基于风险的方法来决定哪些数据应该被收集。

　　第3章：传感器平台　这章介绍NSM部署中重要的硬件组成：传感器。首先，我们对NSM的各类数据类型和传感器类型做简要概述。接着，引出讨论购买和部署传感器的重要考虑因素。后我们将谈及NSM传感器在网络上的位置，包括创建网络可视化地图分析的入门。

　　第4章：会话数据　该章讨论会话数据的重要性，同时详细介绍用于收集NetFlow数据的SiLK工具集。我们还将就会话数据的收集和解析对Argus工具集进行简要分析。

　　第5章：全包捕获数据　该章开头对全包捕获数据的重要性作概述。接着分析了几款允许全包捕获PCAP数据的工具，包括Netsniff-NG、Daemonlogger和Dumpcap，引出对FPC数据存储和保存计划，包括裁剪FPC数据存储数量不同考虑因素的讨论。

　　第6章：包字符串数据　该章介绍了包字符串数据（PSTR）以及它在NSM分析过程里的有效性。我们将介绍几种生成PSTR数据的方法：使用工具Httpry和Justniffer，我们还将了解用于解析和查看PSTR数据的工具：Logstash和Kibana。

　　第二部分：检测第7章：检测机制、受害信标与特征　该章讨论检测机制与妥协指标（IOC）之间的关系。我们介绍IOCs是如何被逻辑组织，以及它们是如何被纳入到NSM计划进行有效管理的。这里面将会包含对指标分类的系统，以及部署在各种检测机制里的，用于计算和跟踪指标精确度的度量。我们也将看到两种不同格式的IOC：OpenIOC和STIX。

　　第8章：基于信誉度的检测　该章将讨论种特定类型的检测：基于信誉度的检测。我们将讨论基于信誉度检测的基本原理，以及一些分析设备信誉度的资源。此次讨论将倾向于过程自动化的解决方案，并演示了如何使用简单BASH脚本，或通过使用Snort、Suricata、CIF或Bro来完成这一过程。

　　第9章：基于Snort和Suricata特征的检测　基于特征的检测是入侵检测传统的方式。本章将介绍这种检测类型的入门，并讨论入侵检测系统Snort和Suricata的使用方法。这里面包含Snort和Suricata的用法，以及为两种平台创建IDS特征的详细讨论。

　　第10章：Bro平台　该章将介绍Bro，比较流行的基于异常的检测解决方案之一。本章将综述Bro的架构、Bro语音和几个实际案例，来演示Bro作为一款IDS和网络记录引擎真正惊人的威力。

　　第11章：基于统计数据异常的检测　该章将讨论使用统计数据进行网络异常识别。这将侧重于使用各种NetFlow工具，如：rwstats和rwcount。我们将讨论使用Gnuplot和谷歌画图API进行可视化统计的方法。本章将提供几个能从NSM数据中生成有用统计的实际案例。

　　第12章：使用金丝雀蜜罐进行检测　金丝雀蜜罐以前仅用于研究目的，现在却是一种能用于有效检测的操作型蜜罐工具。本章将提供不同类型的蜜罐概况，以及什么特定类型能在NSM环境中被应用。我们将介绍几款能用于监控用途的流行蜜罐应用程序，如：Honeyd、Kippo和Tom’sHoneypot。我们也将简要讨论Honeydocs的概念。

　　第三部分：分析第13章：数据包分析　这是NSM分析师重要的技能，是具备解读和解密关键网络通信数据包的能力。为了有效做到这一点，需要对数据包是如何被分割有个基本的了解。该章将为读者提供基础支持，并说明如何逐字节单位地分解数据包字段。我们通过使用tcpdump和Wireshark来证实这些概念。该章也将通过使用Berkeley包过滤器和Wireshark显示过滤器来介绍高级包过滤技术的基础。

　　第14章：我方情报与威胁情报　我方情报与威胁情报的生成，能够影响事件调查的好坏。本章首先介绍了传统的情报循环如何用于NSM。紧跟着，介绍通过网络扫描产生资产数据和扩充PRADS数据来生成我方情报的方法。后，我们将分析威胁情报的种类并讨论关于敌对主机的战略威胁情报研究的几个基本方法。

　　第15章：分析流程　后一章讨论整体的分析过程。开始只是讨论分析过程，后来分解成两个不同的分析过程：关系调查和鉴别诊断。紧跟着，讨论了从失败的事件中学到的教训过程。后，我们以几个佳分析实例来结束《网络安全监控：收集、检测和分析》。

　　IP地址免责声明在《网络安全监控：收集、检测和分析》中，提及的例子、原始数据和截图中涉及一些IP地址。在这些案例中，除非另外指明，这些IP地址已被各种工具随机化。因此，任何引用涉及某个组织的任意IP地址，纯属巧合，绝不代表是由那些实体产生的实际流量。

　　《网络安全监控：收集、检测和分析》配套网站还有相当多的东西我们想在《网络安全监控：收集、检测和分析》中介绍，但我们根本找不到地方容纳进来。于是，我们创建了一个配套网站，包含不同NSM话题的各种额外想法，以及代码片段、技巧和窍门。如果你喜欢《网络安全监控：收集、检测和分析》内容，那么可以考虑查阅配套网站http://www.appliednsm.com。虽然在《网络安全监控：收集、检测和分析》完成出版前本站点并没有太多的更新，我们计划在《网络安全监控：收集、检测和分析》发行后定期更新这个博客。《网络安全监控：收集、检测和分析》的任何勘误也将在这里持续更新。

　　慈善支持我们很自豪地声明，《网络安全监控：收集、检测和分析》所得版税将100%捐赠出去，用于支持以下五个慈善事业。

　　农村科技基金农村学生，特别是那些成绩优异的、接触到技术的机会通常会比他们在城市或城郊的同行少。2008年，克里斯·桑德斯创立了农村科技基金（RTF）。RTF的主旨是减少农村社区与他们的城市和城郊同行之间的技术鸿沟，方法是通过有针对性的奖学金计划、社区参与，以及在农村地区全面推广和宣传技术。

　　我们的奖学金是针对那些生活在农村社区、对计算机技术拥有热情并打算在这个领域继续深造的学生。《网络安全监控：收集、检测和分析》版税的一部分将用于支持这些奖学金计划，并提供树莓派计算机给农村学校。

　　更多信息请参见：http://www.ruraltechfund.org黑客慈善组织（HFC）由JohnnyLong创立，HFC雇佣黑客志愿者（无条件），让他们从事于短暂的“微型项目”，旨在帮助那些无法提供传统技术资源的慈善机构。除此之外，HFC也在乌干达、东非地区支持援助组织帮助世界上贫穷的公民。他们提供免费的电脑培训、技术支持、网络服务等。他们已经帮助许多当地学校增设电脑和培训软件。此外，HFC还通过他们的食物计划为东非的儿童们提供食物。

　　更多信息请参见：http://www.hackersforcharity.orgKivaKiva是个允许通过多领域公司直接捐钱给发展中国家人们的在线借贷平台。Kiva记录了每一个需要贷款的人的个人故事，让捐赠者能够直接联系他们。简单地说，Kiva方便了改变生活的借贷。该基金的捐赠来自于《网络安全监控：收集、检测和分析》的销售所得，并为有需要的人提供这些贷款。

　　更多信息请参见：http://www.kiva.orgWarriors希望工程Warriors希望工程（HopefortheWarriors）的任务是提升后911服役人员的生活品质，包括他们的家人，以及那些曾在工作岗位上因持续的生理和心理创伤而倒下的家庭。Warriors希望工程致力于恢复自我意识，恢复家庭单位，以及恢复我们的服务人员和我们的军人家属对生活的希望。

　　更多信息请参见：http://www.hopeforthewarriors.org自闭症演讲组织自闭症是一种非常复杂的病症状态，患者在社交互动、沟通、重复的行为上均存在不同程度的困难。美国疾病控制中心估计，88个美国儿童当中会有1个存在某种形式的自闭症。自闭症演讲组织是一个致力于改变那些与自闭症作斗争的患者们的未来的组织。他们通过为生物医学研究提供资金来做到这一点，研究的范围涉及自闭症的病因、预防、治疗和治愈。自闭症演讲组织也提供自闭症宣传，以及为自闭症患者的家庭提供支持。

　　更多信息请参见：http://autismspeaks.org联系我们我和我的合著者们投入了大量的时间和精力在《网络安全监控：收集、检测和分析》上，所以当我们听到有人读过我们的书并想分享他们的想法时，我们总是很兴奋。无论你想在什么时候联系我们，你可以把所有问题、意见、威胁和婚姻的建议直接发给我们，我们的联系方式如下：

　　ChrisSanders作者E-mail:chris@chrissanders.orgBlog:http://www.chrissanders.org;http://www.appliednsm.comTwitter:@chrissanders88JasonSmith合著者E-mail:jason.smith.webmail@gmail.comBlog:http://www.appliednsm.comTwitter:@automaytDavidJ.Bianco，贡献者E-mail:davidjbianco@gmail.comBlog:http://detect-respond.blogspot.com/;http://www.appliednsm.comTwitter:@davidjbiancoLiamRandall贡献者E-mail:liam@bro.orgBlog:http://liamrandall.com;http://www.appliednsm.comTwitter:@liamrandall致谢《哥林多后书》第12章节如是说：“但他对我说，‘我的恩典够你用的，因为我的能力是在人的软弱上显得完全。’因此，我更喜欢夸自己软弱，好让基督的能力庇佑我”。

　　写这《网络安全监控：收集、检测和分析》的过程简直证明了上帝的力量对人性弱点的完善。《网络安全监控：收集、检测和分析》是我曾经参与的困难的项目之一，对上帝的信念让我能够终坚持下来。因为上帝，这《网络安全监控：收集、检测和分析》以及我所做的一切都是可能的，我真诚地希望我的这次工作可以作为上帝神奇力量的见证。

　　这《网络安全监控：收集、检测和分析》之所以能完成，离不开许多朋友直接或间接的帮助。我想借此机会感谢他们。

　　Ellen，你是我的挚爱，我的后盾，我的力量，也是我的头号粉丝。没有你，这一切是不可能成功的。我要感谢你曾经承受过的压力与绝望，以及《网络安全监控：收集、检测和分析》写作过程中那些疯狂的日日夜夜。同时我还想感谢你帮助修改《网络安全监控：收集、检测和分析》。我想，你的英语专业终于派上了用场。我爱你，成为你的丈夫我感到很自豪。

　　爸爸妈妈，在你们的影响下成长，使我成为一个独特的人。作为子女我所能做的将会继续坚持，传承你们赋予的性格并分享你们给予的爱。我爱你，爸爸；我也爱你，妈妈。

　　我的家庭，尽管我们只是一个小团体，我们之间分享的爱却是浓厚的，这对我来说太重要了。虽然我们相距甚远，但我知道你们爱着我并支持我，我很感激这一点。

　　Perkins的家庭，感谢你积极地让我走入你的生活，我很幸运，有你的爱和支持。

　　JasonSmith，毫不夸张地说，你是我遇到过的睿智的人，与你相处非常愉悦。你不止是一个伟大的同事和合着者，你更是一个久经考验的朋友。我可以毫不犹豫地说，你已经是我的兄弟。我永远感激这一切。

　　DavidBianco和LiamRandall，我已经不知道怎么感谢你们对《网络安全监控：收集、检测和分析》的巨大贡献。你们的贡献价值实际已远远超出你们的想象。

　　至于我的同事（过去的和现在的），我一直认为，如果一个人周围都是好人，他会成为一个更好的人。很幸运我在公司工作中能够与一些优秀、正直的人共事。我要特别感谢我的InGuardians（公司名）大家庭：Jimmy、Jay、Suzanne、Teresa、John、Tom、Don、Rad、Larry、Jaime、James、Bob和Alec。我还想感谢MikePoor，是他为《网络安全监控：收集、检测和分析》写的序言，他也依然是我心目中的数据包忍者偶像之一。

　　Syngress的工作人员，谢谢你们让我有机会写成这《网络安全监控：收集、检测和分析》，并帮助我将这个梦想变成现实。

　　《网络安全监控：收集、检测和分析》的技术内容和方向涉及的领域可能超出了我的认知能力，但我会尽力做到好。除了上面提到的亲朋好友，我还要感谢以下人员作出的贡献，是他们协助对每个章节做了细致的审查，让我从他们身上获得不少好的创作灵感，《网络安全监控：收集、检测和分析》的成功离不开他们的支持，人员罗列如下（排名不分先后）：

　　AlexiValencia、RyanClark、JoeKadar、StephenReese、TaraWink、DougBurks、RichardBejtlich、GeorgeJones、RichardFriedberg、GeoffreySanders、EmilySarneso、MarkThomas、DanielRuef、CERTNetSA团队的其他成员、JoelEsler、Bro团队、MilaParkour、DustinWeber、andDanielBorkmann。

　　ChrisSanders