描述
开 本: 16开纸 张: 胶版纸包 装: 平装-胶订是否套装: 否国际标准书号ISBN: 9787302509929丛书名: 网络空间安全前沿技术丛书
信息安全分析学 消除了人们对信息安全领域内的信息分析仅局限于安全事件和事件管理系统以及基础网络分析的错误认识。分析技术可以帮助您挖掘数据并识别安全数据中的模式和关系。运用《信息安全分析学》涵盖的技术,您将能够深入了解任何类型的非结构化数据。
信息安全分析学 的作者们分享了丰富的分析技术经验并通过案例研究以演示实际操作技术。 展示如何运用免费提供的工具并结合不相干的数据集来查找异常和异常值,传授有关威胁模拟技术以及如何将分析技术用作评估组织内安全控制和流程要求的强大决策工具,学习如何使用这些模拟技术来帮助预测和剖析组织中的潜在风险。
分析学是一个非常宽泛的主题,它可以包括几乎任何能从数据中获得洞察力的手段。即使是通过简单查看数据而获得了对这些数据的深入了解,也可被看作是分析学的某种形式。然而我们在《信息安全分析学》中提及的分析学,通常指的是使用方法、工具或算法,而不仅仅是简单地查看数据。虽然分析人员应该总是将查看数据作为分析的*步,但分析学通常所涉及的内容远多于此。可应用于数据的分析方法数量众多:包括各种类型的数据可视化工具,统计算法,查询工具,电子表格软件,专用软件等等。正如你所见,分析方法的范围相当广泛,所以我们不可能在《信息安全分析学》中涵盖其所有。
出于《信息安全分析学》的目的,我们将着重介绍那些对于发现安全漏洞和攻击特别实用的分析方法,而且这些方法可以通过免费软件或常用软件来实现。由于攻击者总是不断制造出新的攻击和危害系统的方法,安全分析人员需要大量的工具以便创造性地解决这个问题。在众多可用的工具中,我们将研究分析编程语言,它可以帮助分析人员制作自定义分析程序和应用程序。本章节中的概念介绍了对安全分析有用的框架,连同分析方法和工具都将在《信息安全分析学》的其余章节详细讲解。
作者和译者简介
Mark Ryan M. Talabis 担任Zvelo Inc.公司的首席安全威胁科学家,《信息安全风险评估工具包:通过Syngress的数据收集和数据分析进行实用评估》一书的合著者。
Robert McPherson 领导“美国财富100强”保险和金融服务公司的数据科学家团队。作为研究和分析团队的带领者,他拥有14年的领导经验(专门从事预测建模,仿真,计量经济分析和应用统计的工作)。
I. Miyamoto 担任政府机构的计算机调查员,拥有超过16年的计算机调查和取证经验,以及12年的情报分析经验。
Jason L. Martin 高级威胁检测技术领域的全球领导者FireEye Inc.公司的云业务副总裁,Shakacon安全大会的联合创始人,《信息安全风险评估工具包:通过Syngress的数据收集和数据分析进行实用评估》一书的合著者。
王晓鹤,现就职于爱立信通信有限公司任高级软件工程师。曾先后任职于中兴通讯公司和阿尔卡特朗讯公司,担任高级测试工程师、产品经理等职务,长期从事电信网络系统产品和数据网云平台产品的研发和测试工作。拥有德国乌尔姆大学信息和媒体专业理学硕士学位和东南大学通信工程学士学位。
沈卢斌,毕业于瑞典皇家理工学院(KTH)片上系统(SoC)设计专业。长期从事电信云计算平台的研发和系统安全的测试工作,是首批同时通过CCIE和HCIE认证的网络专家之一。对SDN安全、FPGA在工业互联网交换机中的设计以及基于FPGA的入侵检测系统有浓厚的兴趣和独到的见解。
译有《Google Hacking:渗透性测试者的利剑(原书第3版)》《信息安全分析学:大数据视角下安全的内核、模式和异常》《悄无声息的战场:无线网络威胁和移动安全隐私》和《防范互联网上的“野蛮人”:钓鱼检测、DDOS防御和网络攻防》等译著。
第1章分析学定义
安全分析学导论
分析学相关概念和技术
安全分析的数据
日常生活中的分析学
安全分析流程
延伸阅读
第2章分析软件和工具入门
导言
统计编程
数据库和大数据技术入门
R语言简介
Python简介
仿真软件简介
延伸阅读
第3章分析学和应急响应
导言
入侵和应急响应识别中的场景和挑战
日志文件分析
加载数据
其他潜在分析数据集:无栈状态编码
其他适用安全范畴和场景
综述
延伸阅读
第4章仿真和安全进程
仿真
案例学习
第5章访问分析
导言
技术入门
场景、分析和技术
案例学习
第6章安全和文本挖掘
文本挖掘安全分析中的场景和挑战
使用文本挖掘技术分析和查找非结构化数据中的模式
R语言中分步实现文本挖掘的示例
其他适用的安全领域和场景
第7章安全情报以及后续措施
概述
安全情报
安全漏洞
实际应用
结束语
信息安全是一个具有挑战性的领域,伴随着众多未解决的难题以及如何解决这些难题的诸多争论。与诸如物理学、天文学以及类似科学的其他领域相比较,在发现信息安全问题严重影响我们生活的世界之前,我们没有机会能让信息安全领域屈服于那些谨慎的理论分析。互联网就是安全研究的试验场,而且为了保持适当的防卫以对抗在这个活跃的虚拟有机体上进行的攻击性研究,这会是一场持续的战斗。有大量关于信息安全卷入真实间谍情报技术的行业炒作,尤其是关于“分析论”和“大数据”的炒作,本书上架正是为了努力启发读者,当运用数据科学来加强安全研究时,能够获得什么样的真正价值。这本内容丰富的图书并不意味着能被普通读者迅速阅读和理解,相反,对于研究人员和从事安全领域工作的读者,本书恰恰值得他们钻研并运用于工作,力求以实用和先发制人的方式去运用数据科学来解决日益变得困难的信息安全问题。
Talabis,McPherson,Miyamoto和Martin的工作在本书中完美融合并通过本书传递了如此迷人的知识,即向读者展示了分析论对影响全球企业和组织的各种问题的适用性。记得2010年当我仍在Damballa工作时,我所在的研究部一直在探索数据科学、机器学习、统计学、相关性和分析论等领域。那是一段激动人心的时期,R语言在当时越来越流行,暗示着信息安全的新篇章即将开始。它确实到来了,但是很多营销流行语也随之被创造,所以现在我们有“安全分析论”“大数据”和“威胁情报”,当然“网络”对任何人都没有真正的意义,直到现在。
《信息安全分析学》是我读过的,而且直接可以将从书中学到的知识运用到团队工作中的少数几本技术书籍之一。本书还介绍了一些更加主动的见解,也就是通过致力于信息安全领域的纯粹研究方面来解决这些问题。这比我们目前依靠诸如SIEM、威胁馈送和基本相关性及分析论等操作性的答案要好得多。我的工作涉及Cyber Counterintelligence与位列全球四大咨询公司之首的公司的研究工作,而且数据科学和纯安全性研究的价值正在被发掘和认可。但就本书而论,我丝毫不怀疑在这些章节中提供的知识将把我的团队和整个公司提升到另一个层面。就谈到这里吧,我非常荣幸能够说,好好享受这本书吧!
Lance James
Head of Cyber Intelligence
Deloitte & Touche LLP
本章指南:
■ 入侵和应急响应识别中的场景和挑战
■ 文本挖掘的使用和异常值检测
■ 案例学习: 循序渐进地指导如何利用统计编程工具发现入侵和事故(案例学习将围绕使用Hadoop和R进行服务器日志调查)
■ 其他适用的安全范畴和场景
导言
随着广泛公布的数据泄露事件越来越多地出现在新闻中,服务器安全成为最重要的问题。发生数据泄露以后,需要对服务器日志进行取证分析以便识别漏洞、执行损害评估、制定缓解措施和收集证据。然而随着网络流量的增长,布置在数据中心的Web服务器数量也日益增加,通常会产生巨量的服务器日志数据,而且这些数据很难用传统的非并行的方法进行分析。
通过使用Hadoop、MapReduce和Hive软件栈,你可以同时分析处理非常庞大的服务器日志集。Hadoop联合MapReduce一起提供了分布式文件结构和并行处理框架,而Hive使用类似SQL的语法提供查询和分析数据的能力。R则为你提供了适用于中等规模数据集的基本分析工具,或使用Hadoop和MapReduce将大数据聚合或缩小到更易于管理的数据规模大小。
有很多商业化的软件工具可帮助查询日志文件数据。其中一些如Splunk也能够处理大数据。然而在本章中我们聚焦的示例都是基于开源并且提供免费可用工具的分析平台。通过编写自己的脚本你可以根据自身情况完全定制分析程序,也能够构建可重复的处理过程。像R这样的开源工具提供了成千上万可选分析软件包,甚至还包括了其他商业化软件工具包可能还无法提供的非常复杂和前沿的方法。
商业版的工具会相当昂贵,并非所有组织和部门都有足够预算负担得起它们。如果有机会使用商业版的工具,你就应该通过各种方式去充分利用它们。商业版的工具能极其快速地探索你的数据,并且使用的图形用户界面也让它们看起来物有所值。虽然脚本方式对于重复性的任务来说是个很不错的选择,而且当需要回溯步骤或对新数据重新运行分析时,脚本方式也有非常大的优势,但它们确实需要花费一些时间和精力去编写。因此脚本方式很难击败一个刚开始就能够快速搜索数据的好用的图形界面。
考虑到商业版的工具和开源工具各有其优势,它们应被视为相互补充而不是互相竞争的技术。如果能够负担得起费用,为什么不能两者兼用?一旦学会了如何使用开源工具进行分析,例如Hadoop、MapReduce、R和Mahout,你就拥有了非常坚实的基础,进而能够理解任何平台上的分析过程了。这也将有助于你学习包括商业版工具在内的其他各类工具。
我们将在本章中探讨利用分析方法来发现场景和案例中的潜在安全漏洞。本节中的方法并非是竭尽所能涵盖的详尽目录。相反,我们希望它们能够帮助你开发一些属于你自己的创意和方法。
入侵和应急响应识别中的场景和挑战
在入侵企图识别中最大的挑战也许是“我们不知道我们不知道什么”。发现不了解的未知事件是一件很困难的任务,即我们不能预见可以绕过现有防御措施的新攻击模式。用于实时防止入侵的软件程序是必不可少的,但它们也有着明显的缺点。通常它们仅能侦测已知的攻击模式,或者用安全术语来说的“已知攻击向量”。实时入侵检测和预防往往聚焦在已知的未知事件,而不是未知的未知事件。
虽然部署实时入侵检测和预防软件必不可少,却远远不够。分析人员需要运用创造性的努力才能发现那些成功绕过现有防御措施的新型攻击。它涉及分析那些从系统收集到的数据,例如来自服务器和网络设备的日志文件以及来自个人计算设备的驱动程序等。
本章中我们将重点关注数据分析而不是数据采集。关于怎样采集数据已经有很多不错的文章和在线资源可供参考。既然大多数系统已经收集了关于网络和服务器流量的大量数据,更大的挑战就不是采集数据而是掌握该如何处理数据。无论数据源是由服务器日志组成,还是来自诸如Wireshark这类软件收集的网络数据,又或是一些其他来源,对其分析的方法通常都是相同的。例如,无论数据源如何,异常值检测方法在任何情况下都非常有用。
利用大数据分析服务器日志集
本节中我们将检验用大数据技术如何同时分析多个服务器日志。
我们将聚焦在Hive Query语言(HiveQL)中的各种查询,以协助对Apache服务器日志文件执行取证分析。我们也会涉及一些利用其他软件工具进行的分析,比如R和Mahout。由于HiveQL非常类似于基础的ANSI SQL,因此已经熟悉查询关系数据库的分析人员应该很容易地掌握它。
事实上,对已经解析并存储在关系数据库中的日志文件数据进行很少或只是微小的修改后,这里大多数的查询都可以运行了。如果拥有少量且足够的日志文件集,可能仅仅需要一个关系数据库。然而对于大量的日志记录,在Hadoop之上运行的Hive提供的并行处理则有可能将原本不可行的分析转化为可行的分析。以下示例中使用的日志文件采用流行的Apache组合格式,因而此代码也可以轻松地适配成其他格式。
日志文件分析
服务器日志格式虽然没有单一的标准,但是有一些格式相对比较常见。常见的日志文件格式包括Windows事件日志、IIS日志、防火墙日志、VPN访问日志和用于身份验证的FTP、SSH等服务的各种UNIX日志。不论怎样,Apache Foundation开源服务器软件的使用已经非常普遍,并且它能够以两种格式生成日志文件: 通用日志格式和组合日志格式。虽然用户可以修改这些格式,但较常见的情况是用户在使用时并不会修改这两种格式。除添加了两个字段以外,组合日志格式与通用日志格式相同。这两个添加字段分别是引用源和用户代理字段,引用源字段指出了客户端所引用或链接的站点,用户代理字段显示了客户端浏览器上的标识信息。尽管我们所要检验的方法可以适应任何日志格式,但本书中的服务器案例一般使用组合日志格式。
通用日志文件字段
通用日志文件字段包括:
远程主机名或用户IP地址;
用户远程登录名;
已认证用户名;
生成请求日期和时间;
客户端发送URL请求字符串;
服务器发回客户端http状态码;
服务器传送客户端文件大小(bytes)。
组合日志文件字段
组合日志文件字段包括:
远程主机名或用户IP地址;
用户远程登录名;
已认证用户名;
生成请求日期和时间;
客户端发送URL请求字符串;
服务器发回客户端http状态码;
服务器传送客户端文件大小(bytes);
客户端引用站点的URL;
客户端浏览器或用户代理标识信息。
评论
还没有评论。