网络安全监控：收集、检测和分析

《网络安全监控：收集、检测和分析》由多位国际信息安全技术专家亲力打造，是系统化建立网络安全监控体系的重要参考，书中不仅详细介绍了网络安全监控的相关工具和技术，还通过多个完整的真实案例阐述了网络安全监控的关键理念与实践，是由菜鸟到NSM分析师的必备参考。全书分为三部分，共15章。第1章概述网络安全监控以及现代网络安全环境，讨论整本书将会用到的基本概念。第一部分（第2～6章）介绍数据收集，包括收集什么数据以及如何收集数据，传感器的类型、作用、部署、工具集，全包捕获数据的重要性和工具，数据存储和保存计划，包串数据的生成、解析和查看等。第二部分（第7～12章）详细介绍检测机制基础、受害信标与特征，以及几种借助信标与特征的检测机制的实际应用，涉及基于信誉度的检测方法、使用Snort和Suricata进行基于特征的检测、Bro平台、基于异常的检测与统计数据、使用金丝雀蜜罐进行检测的方法等。第三部分（第13～15章）详细讲解数据包分析的相关知识、我方情报与威胁情报的建立与分析、整体的分析过程，并介绍一些分析实践。网络安全监控是建立在“防不胜防”的基础上的。在当前的威胁环境之下，不论你如何努力，目的明确的攻击者总能找到破绽渗透进入你的网络环境。届时，你将面对的是一个小插曲还是一场大灾难，取决于你对于入侵事件的检测与响应能力。本书围绕NSM（网络安全监控）的采集、检测和分析三个阶段展开，由多位NSM资深专家亲力打造，给出了NSM的系统化概念与实践，有些知识可以直接派上用场。如果你刚开始NSM分析工作，本书能帮助你掌握成为真正的分析师所需的核心概念；如果你已经扮演着分析师的角色，本书可帮你汲取分析技巧，提高分析效果。面对当前复杂的网络环境，每个人都可能放松警惕、盲目片面，有时还会在阻止攻击者的网络战斗中败下阵来。本书会为你装备好正确的工具，让这些工具帮助你采集所需数据、检测恶意行为，并通过分析理解入侵的性质。单纯的防御措施终将失败，而NSM却不会。本书主要内容：探讨部署、执行NSM数据采集策略的恰当方法。提供包括Snort、Suricata、Bro-IDS、SiLK、PRADS及更多工具在内的实战演练。明确提出适用于以结构化和体系化方法进行NSM的综合分析框架。内含SecurityOnionLinux的多个应用实例。配套网站包括作者关于NSM新进展的实时更新博客，全面补充了书中材料。