数据驱动的网络分析

第1部分　数据
　第1章　传感器和探测器简介
　　1.1观察点：传感器的位置对数据采集的影响
　　1.2领域：确定可以采集的数据
　　1.3操作：传感器对数据所做的处理
　　1.4小结
　第2章　网络传感器
　　2.1网络分层及其对测量的影响
　　　2.1.1网络层次和观察点
　　　2.1.2网络层次和编址
　　2.2封包数据
　　　2.2.1封包和帧格式
　　　2.2.2滚动缓存
　　　2.2.3限制每个封包中捕捉的数据
　　　2.2.4过滤特定类型封包
　　　2.2.5如果不是以太网怎么办
　　2.3NetFlow
　　　2.3.1NetFlowv5格式和字段
　　　2.3.2NetFlow生成和采集
　第3章　主机和服务传感器：在源上的流量日志
　　3.1访问和操纵日志文件
　　3.2日志文件的内容
　　　3.2.1优秀日志消息的特性
　　　3.2.2现有日志文件以及处理方法
　　3.3有代表性的日志文件格式
　　　3.3.1HTTP：CLF和ELF
　　　3.3.2SMTP
　　　3.3.3MicrosoftExchange：邮件跟踪日志
　　3.4日志文件传输：转移、Syslog和消息队列
　　　3.4.1转移和日志文件留存
　　　3.4.2syslog
　第4章　用于分析的数据存储：关系数据库、大数据和其他选项
　　4.1日志数据和CRUD范式
　　4.2NoSQL系统简介
　　4.3使用何种存储方法
第2部分　工具
　第5章　SiLK套件
　　5.1SiLK的概念和工作原理
　　5.2获取和安装SiLK
　　5.3选择和格式化输出字段操作：rwcut
　　5.4基本字段操纵：rwfilter
　　　5.4.1端口和协议
　　　5.4.2大小
　　　5.4.3IP地址
　　　5.4.4时间
　　　5.4.5TCP选项
　　　5.4.6助手选项
　　　5.4.7杂项过滤选项和一些技巧
　　5.5rwfileinfo及出处
　　5.6合并信息流：rwcount
　　5.7rwset和IP集
　　5.8rwuniq
　　5.9rwbag
　　5.10SiLK高级机制
　　5.11采集SiLK数据
　　　5.11.1YAF
　　　5.11.2rwptoflow
　　　5.11.3rwtuc
　第6章　R安全分析简介
　　6.1安装与设置
　　6.2R语言基础知识
　　　6.2.1R提示符
　　　6.2.2R变量
　　　6.2.3编写函数
　　　6.2.4条件与循环
　　6.3使用R工作区
　　6.4数据帧
　　6.5可视化
　　　6.5.1可视化命令
　　　6.5.2可视化参数
　　　6.5.3可视化注解
　　　6.5.4导出可视化
　　6.6分析：统计假设检验
　　　6.6.1假设检验
　　　6.6.2检验数据
　第7章　分类和事件工具：IDS、AV和SEM
　　7.1IDS的工作原理
　　　7.1.1基本词汇
　　　7.1.2分类器失效率：理解“基率谬误”
　　　7.1.3应用分类
　　7.2提高IDS性能
　　　7.2.1改进IDS检测
　　　7.2.2改进IDS响应
　　　7.2.3预取数据
　第8章　参考和查找：了解“某人是谁”的工具
　　8.1MAC和硬件地址
　　8.2IP编址
　　　8.2.1IPv4地址、结构和重要地址
　　　8.2.2IPv6地址、结构和重要地址
　　　8.2.3检查连接性：使用ping连接到某个地址
　　　8.2.4路由跟踪
　　　8.2.5IP信息：地理位置和人口统计学特征
　　8.3DNS
　　　8.3.1DNS名称结构
　　　8.3.2用dig转发DNS查询
　　　8.3.3DNS反向查找
　　　8.3.4使用whois查找所有者
　　8.4其他参考工具
　第9章　其他工具
　　9.1可视化
　　9.2通信和探查
　　　9.2.1netcat
　　　9.2.2nmap
　　　9.2.3Scapy
　　9.3封包检查和参考
　　　9.3.1Wireshark
　　　9.3.2GeoIP
　　　9.3.3NVD、恶意软件网站和C*E
　　　9.3.4搜索引擎、邮件列表和人
第3部分　分析
　第10章　探索性数据分析和可视化
　　10.1EDA的目标：应用分析
　　10.2EDA工作流程
　　10.3变量和可视化
　　10.4单变量可视化：直方图、QQ图、箱线图和等级图
　　　10.3.1直方图
　　　10.3.2柱状图（不是饼图）
　　　10.3.3分位数-分位数（Quantile-Quantile，QQ）图
　　　10.3.4五数概括法和箱线图
　　　10.3.5生成箱线图
　　10.5双变量描述
　　　10.5.1散点图
　　　10.5.2列联表
　　10.6多变量可视化
　第11章　摸索
　　11.1攻击模式
　　11.2摸索：错误的配置、自动化和扫描
　　　11.2.1查找失败
　　　11.2.2自动化
　　　11.2.3扫描
　　11.3识别摸索行为
　　　11.3.1TCP摸索：状态机
　　　11.3.2ICMP消息和摸索
　　　11.3.3识别UDP摸索
　　11.4服务级摸索
　　　11.4.1HTTP摸索
　　　11.4.2SMTP摸索
　　11.5摸索分析
　　　11.5.1构建摸索警报
　　　11.5.2摸索行为的取证分析
　　　11.5.3设计一个网络来利用摸索
　第12章　通信量和时间分析
　　12.1工作日对网络通信量的影响
　　12.2信标
　　12.3文件传输/攫取
　　12.4局部性
　　　12.4.1DDoS、突发拥塞和资源耗尽
　　　12.4.2DDoS和路由基础架构
　　12.5应用通信量和局部性分析
　　　12.5.1数据选择
　　　12.5.2将通信量作为警报
　　　12.5.3将信标作为警报
　　　12.5.4将局部性作为警报
　　　12.5.5工程解决方案
　第13章　图解分析
　　13.1图的属性：什么是图
　　13.2标签、权重和路径
　　13.3分量和连通性
　　13.4聚类系数
　　13.5图的分析
　　　13.5.1将分量分析作为警报
　　　13.5.2将集中度分析用于取证
　　　13.5.3广度优先搜索的取证使用
　　　13.5.4将集中度分析用于工程
　第14章　应用程序识别
　　14.1应用程序识别机制
　　　14.1.1端口号
　　　14.1.2通过标志抓取识别应用程序
　　　14.1.3通过行为识别应用程序
　　　14.1.4通过附属网站识别应用程序
　　14.2应用程序标志：识别和分类
　　　14.2.1非Web标志
　　　14.2.2Web客户端标志：User-Agent字符串
　第15章　网络映射
　　15.1创建一个初始网络库存清单和映射
　　　15.1.1创建库存清单：数据、覆盖范围和文件
　　　15.1.2第1阶段：前3个问题
　　　15.1.3第2阶段：检查IP空间
　　　15.1.4第3阶段：识别盲目和难以理解的流量
　　　15.1.5第4阶段：识别客户端和服务器
　　15.2更新库存清单：走向连续审计