網絡安全監控實戰：深入理解事件檢測與響應 @ 3dWoo大學簡體電腦書店

	-- 會員 / 註冊 --
帳號：　密碼：　 \| 註冊 \| 忘記密碼

3/26 新書到！ 3/19 新書到！ 3/14 新書到！ 12/12 新書到！
	購書流程‧Q & A‧站務留言版‧客服信箱

│ 3ds Max│ Maya│ Rhino│ After Effects│ SketchUp│ ZBrush│ Painter│ Unity│

│ PhotoShop│ AutoCad│ MasterCam│ SolidWorks│ Creo│ UG│ Revit│ Nuke│

│ C#│ C│ C++│ Java│ 遊戲程式│ Linux│ 嵌入式│ PLC│ FPGA│ Matlab│

│ 駭客│ 資料庫│ 搜索引擎│ 影像處理│ Fluent│ VR+AR│ ANSYS│ 深度學習│

│ 單晶片│ AVR│ OpenGL│ Arduino│ Raspberry Pi│ 電路設計│ Cadence│ Protel│

│ Hadoop│ Python│ Stm32│ Cortex│ Labview│ 手機程式│ Android│ iPhone│


可查書名,作者,ISBN,3dwoo書號		詳細書籍分類

網絡安全監控實戰：深入理解事件檢測與響應
( 簡體字)

作者：〔美〕理查德·貝特利奇（Richard Bejtlich）　著類別：1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵

譯者：

出版社：機械工業出版社 3dWoo書號： 41423
詢問書籍請說出此書號！
【缺書】
NT售價： 395 元

出版日：5/1/2015

頁數：278

光碟數：0

站長推薦：

印刷：黑白印刷語系： ( 簡體版 )

加入購物車 │加到我的最愛
(請先登入會員)

ISBN：9787111498650

作者序　|　譯者序　|　前言　|　內容簡介　|　目錄　|　序

(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證)

作者序：

譯者序：

前言：
監控（Network Security Monitoring，NSM）是關于收集、分析和增強預警（Indications and Warnings，I&W）以檢測和響應入侵的技術。

——Richard Bejtlich和Bamm Visscher

歡迎閱讀本書。本書旨在幫助你使用以網絡為中心的操作、工具和技術檢測并響應數字入侵。我已試圖使背景知識及理論需求保持最低水平，而且結合以往實踐撰寫此書。我希望本書改變你看待計算機安全或者力圖影響的對象的方式。我的焦點不在于安全周期的規劃和防御階段，而在于處理已經被攻陷的或者處于被攻陷邊緣的系統所采取的行動。

本書是我之前關于NSM作品的續篇和補充。

《The Tao of Network Security Monitoring：Beyond Intrusion Detection》（Addison-

Wesley, 2005；832頁）。Tao提供了背景、理論、歷史以及案例研究來指導你的NSM操作。

《Extrusion Detection：Security Monitoring for Internal Intrusions》（Addison-Wesley, 2006; 416頁）。在閱讀Tao之后，你會發現《Extrusion Detection》擴展了NSM架構（抵御客戶端的攻擊）的概念以及網絡取證。

《Real Digital Forensics：Computer Security and Incident Response》與Keith J.Jones和Curtis W.Rose合著（Addison-Wesley, 2006; 688 頁）。最后，RDF說明了如何將NSM與以主機和內存為中心的取證整合，這可以使審查者調查綁定在計算機上的DVD中的犯罪證據。

本書會激發你的NSM行動，而且我的方法已經經過時間的檢驗。2004年，我的第一本書就包含了我提倡的“以檢測為中心”的哲學核心思想：防護終將失敗。一些讀者質疑這種結論，他們認為如果“恰當地”綜合應用防護、軟件安全或者網絡架構，阻止所有入侵還是有潛在可能性的。他們認為，如果你能夠阻止攻擊者對網絡的非授權訪問，那么檢測就不必要。那些仍然信奉這種哲學的人很可能遭受某種長期、系統化的入侵，就如我們每周在媒體上看到的那樣。

幾乎在十年之后，安全行業和更加廣泛的信息技術（IT）社區開始認識到，有決心的入侵者總能夠找到危害其目標的方法。成熟的組織現在不僅試圖阻止攻擊者，還開始尋求快速檢測攻擊者，通過調查事件的影響程度來進行有效響應，同時，徹底牽制入侵者以限制其可能產生的危害。

殫精竭慮地看待企業安全是明智之舉。事件響應不再是一件罕見、特別的事情，相反，它應當是具有確定度量和目標的持續商業過程。本書會提供一組數據、工具和使用網絡的程序以便于你使用，同時它們可幫助你將安全操作轉化成應對頻繁遭受危害的利器。如果不知道上季度有多少次入侵使你的企業遭受折磨，或者不知道你能夠多快地檢測和控制這些入侵，本書將會向你展示如何實施這些活動并且跟蹤這兩種關鍵度量。

讀者對象

本書面向不熟悉NSM的安全專業人士，也適用于更高級的事件處理人員、架構師以及需要向管理層、初級分析師或者其他不擅長技術的人講解NSM的工程師。也許熟練的NSM實踐者不能從本書中學到令人驚訝的新技術細節，但是我相信今天的安全專業人士很少有人已經學會如何恰當地實施NSM。對入侵檢測系統或防護系統（Intrusion Detection /Prevention System，IDS/IPS）僅提供報警感到泄氣的讀者，你會發現使用NSM將是一種令人愉悅的體驗。

預備知識

我盡量避免重復其他作者已經講解透徹的知識。我假定你理解Linux和Windows操作系統的基本使用方法，掌握TCP/IP網絡及其他網絡攻擊和防御的基本知識。如果你對TCP/IP或網絡攻擊和防御的知識掌握不夠，請考慮參考下面的這些書籍：

《The Internet and Its Protocols：A Comparative Approach》，Adrian Farrel著（Morgan Kaufmann, 2004; 840頁）。Farrel的書不是最新的，但是它涵蓋了廣泛的協議范圍——包括應用協議和IPv6，對于每一種它都具有位級的圖表和動人的描述。

《Wireshark Network Analysis》（第2版），Laura Chappell和Gerald Combs著（Laura Chappell University, 2012; 986頁）。所有的網絡和安全分析人員都需要理解和使用Wireshark，本書涵蓋描述、屏幕快照、實際案例研究、復習題（附答案）、動手實踐以及幾十個網絡追蹤（聯網獲取）。

《Hacking Exposed》，第7版，Stuart McClure等著（McGraw-Hill Osborne Media, 2012; 768 頁）。在攻擊與防御IT類的書中，《Hacking Exposed》保持著單冊銷量最佳的記錄。感謝它新穎的介紹方法：??介紹一種技術；??破壞方法；??修復方法。

對這些書中的核心概念感到滿意的讀者或許想考慮下列書籍來更深入地理解：

《Network Forensics：Tracking Hackers through Cyberspace》，Sherri Davidoff和Jonathan Ham著（Addison-Wesley, 2012; 592頁）。《Network Forensics》采取以證據為中心的方法，使用網絡流量（有線和無線的）、網絡設備（IDS/IPS、交換機、路由器、防火墻和Web代理）、計算機（系統日志）和應用程序來調查事件。

《Metasploit：The Penetration Tester’s Guide》，David Kennedy、Jim O’Gorman、Devon Kearns和Mati Aharoni著（No Starch Press, 2011; 328頁）。Metasploit是一個利用目標應用程序和系統的開源平臺，本書說明了如何有效地使用它。

關于軟件和協議的聲明

本書中的例子都是以SO（Security Onion，安全洋蔥）發行版（http://securityonion.blogspot.com/）中集成的軟件為依托。Doug Burks創建了SO，這可以使管理員和分析人員使用類似 Snort、Suricata、Bro、Sguil、Squert、Snorby、Xplico以及NetworkMiner這樣的工具執行NSM更容易一些。SO是免費的，可通過可引導的Xubuntu ISO映像或者通過向你喜愛的Ubuntu添加SO Personal Package Archive（PPA）并安裝。盡管FreeBSD仍然是一個強大的操作系統，然而Doug為SO所做的工作，連同Scott Runnels的貢獻，使得Ubuntu Linux分支成為我的NSM工具的首選。

我主要使用在SO中集成的軟件，而且本書中的例子均使用開源工具來演示攻擊和防御，而不是商業工具。盡管商業工具提供了許多有益的特征、付費支持以及推卸責任給開發商的可能，但我還是建議讀者考慮首先使用開源工具來看看它們的功能。畢竟，幾乎很少有組織為購置商業軟件提供大量的預算來啟動NSM行動。

本書主要關注IPv4流量。一些用SO打包的工具支持IPv6，但有一些則不支持。當IPv6在生產網絡中的應用變得更加廣泛時，我期望SO中更多的工具可集成IPv6能力。因此，本書的未來版本或許會討論IPv6。

本書內容

本書由下列部分和章節組成。

第一部分——介紹NSM及如何放置傳感器。

第1章　解釋了為什么NSM會奏效，以獲得在環境中部署NSM的必要性支持。

第2章　論述了圍繞從物理訪問到網絡流量帶來的挑戰和解決方案。

第二部分——主要討論了如何在硬件上有效安裝SO并進行配置。

第3章　介紹了SO并說明了如何以較低的成本或零成本在備用硬件上安裝軟件以具備基本的NSM能力。

第4章　擴展了第3章的內容，進一步描述了如何安裝分布式SO系統。

第5章　討論了順利安裝SO所進行的維護活動。

第三部分——主要討論了SO中的關鍵軟件及如何使用這些應用。

第6章　解釋了SO中的Tcpdump、Tshark、Dumpcap及 Argus工具的關鍵特征。

第7章　補充介紹了NSM工具鏈中基于GUI的軟件，涵蓋Wireshark、Xplico和Network-Miner。

第8章　說明了如Sguil、Squert、Snorby及ELSA這樣的NSM套件如何啟動檢測和響應流程。

第四部分——討論了如何使用NSM程序和數據檢測及響應入侵。

第9章　分享了筆者創建和領導全球計算機事件響應團隊（Global Computer Incident Response Team，CIRT）的經驗。

第10章　給出第一個NSM案例研究，你將會學到如何應用NSM原理識別和驗證連接到因特網的應用程序遭受到的攻擊。

第11章　給出第二個NSM案例研究，本章提供了一個因客戶端攻擊而遭受侵害的用戶案例。

第12章　用所講過的工具和技術來擴展SO的能力。

第13章　講解如何克服兩種挑戰來執行NSM。

結論　提供了一些關于未來NSM的思想，尤其考慮到了云環境。

附錄包含了SO開發人員Doug Burks關于核心SO配置文件和控制腳本的信息。

致謝

首先，必須感謝我可愛的妻子Amy，感謝她對我工作的支持，包括寫作文章、博客及其他在我們結婚之前就已開始創作的作品。自從在2004年年中出版了我的第一本書以來，我們有了兩個可愛的女兒。Elise和Vivian激發我啟動這項計劃，因為你們三個人，我每天都感謝上帝。我的父母和姐妹也一直在支持我，而且我還要感激Michael Macaris（我的第一任功夫導師）向我澆灌的智慧之水。

除了在我第一本書中感謝過的NSM專家以外，我還必須補充感謝通用電氣計算機事件響應團隊（General Electric Computer Incident Response Team，GE-CIRT）成員，他們陪同我從2007年到2011年走過難以置信的安全之旅。我們擁有世界上最好的NSM實踐（operation）。Bamm Visscher、David Bianco、Ken Bradley、Tyler Hudak、Tim Crothers、Aaron Wade、Sandy Selby、Brad Nottle以及30多位其他GE-CIRT成員，與你們共事令我非常快樂。還感謝Grady Summers——我們當時的首席信息安全官（Chief Information Security Officer），感謝他創建了我們的團隊，還感謝 Jennifer Ayers 和Maurice Hampton，感謝他們使我們具備了唐·吉訶德式的想象力。

我要感謝Mandiant（曼迪昂特）的同事的支持，包括首席執行官Kevin Mandia和主席Travis Reese，他們早在2011年就雇用了我，但是首次對我展示信任分別是在2002年的Foundstone和2004年的ManTech。感謝曼迪昂特的銷售團隊和我們的合作伙伴，因為他們為我們提供了一個向世界分享信息的平臺和機會。感謝在撰寫此書時防護曼迪昂特自身安全的那些堅強靈魂——Doug Burks、Dani Jackson、Derek Coulson以及Scott Runnels，贊賞你們的奉獻、專業水準和出色的職業道德。特別感謝Doug Burks 和Scott Runnels，感謝他們對SO項目的辛勤工作，這個項目把強大的NSM工具帶到了想要試用它們的任何人身邊。我還要感謝SO中的所有開源軟件開發人員的辛勤努力：你們的幫助使我們所有的網絡更加安全。

感謝那些通過對話、新穎的項目以及合作方式質疑我對NSM理解的人們，他們包括Doug Steelman、Jason Meller、Dustin Webber和Seth Hall。那些自2003年閱讀我博客（http://taosecurity.blogspot.com/）或者自2008年閱讀我推特動態的人鼓勵我進行創作。也感謝Black Hat（黑帽大會）的安全專業人士，我自2002年就開始隨他們一起授課：前領導人Jeff Moss和Ping Look以及現領導人Trey Ford。還需要特別地提及Steve Andres和Joe Klein，無論何時，當我的學生數量變得太多而難以獨自應對時，他們都會幫助我授課。

最后，感謝幫助我創作本書的令人驚訝的團隊。首先是來自No Starch出版社的創始人Bill Pollock、產品經理Serena Yang以及宣傳人員 Jessica Miller。Marilyn Smith和Julianne Jigour編輯了本書，Tina Salameh繪制了優美的封面。Susan Glinert Stevens是排版師，Ward Webber對本書進行了校對。技術編輯David Bianco、Doug Burks及Brad Shoop提供了無與倫比的評論，Brad的妻子Renee Shoop志愿進行了另一個層面的審閱。Doug Burks、Scott Runnels、Martin Holste和Brad Shoop也從文字編輯方面為本書提供了有價值的借鑒。最后同樣重要的是，Todd Heberlein為本書作序。感謝Todd開發了網絡安全監控軟件，這款軟件使NSM概念在20世紀90年代早期就進入了人們的生活。

內容簡介：
頂尖安全公司FireEye（火眼）首席安全戰略官、網絡安全公司Mandiant首席安全官撰寫，深入解讀網絡安全監控的核心思想、工具和最佳實踐，從網絡安全監控的原理、工具選型、環境部署到攻擊的識別、發現與截擊，詳細講解網絡安全監控（NSM）主流工具的使用。
全書分為四部分，共14章：第一部分（第1～2章）系統講述了NSM的基本原理以及如何部署傳感器以應對各種挑戰；第二部分（第3～5章）講解SO在硬件上的安裝與配置，SO的單機與分布式環境的安裝與部署，以及SO平臺的運行維護；第三部分（第6～8章）主要介紹NSM工具鏈的應用，涵蓋命令行和圖形化的數據包分析工具（發現問題），以及NSM控制臺（啟動檢測和響應流程）；第四部分（第9～14章）為實戰部分，講解如何建立有效的NSM團隊，發現并制止服務器端和客戶端的攻擊，利用Bro來擴展SO成果，代理與校驗和的識別和利用，NSM在云和協作環境下應用的新思想。
網絡安全并不簡單是堅不可摧的防御墻——志堅意決的攻擊者終將突破傳統的防御手段。網絡安全監控（NSM）整合了最有效的計算機安全策略——收集并分析數據，以助你檢測和響應入侵。
在本書中，火眼公司首席安全戰略官、Mandiant首席安全官Richard Bejtlich向你展示了如何使用NSM在網絡周圍增添一個堅固的保護層，而無須先驗知識。為避免使用“過高”或“不靈活”的解決方案，他使用開源軟件和中立廠商的工具教你部署、創建及運行NSM。
通過閱讀本書，你將會學到：
如何確定在哪里部署NSM平臺，并根據受監控的網絡進行調整。
如何部署單機或分布式NSM設備。
如何使用命令行和圖形化包分析工具及NSM控制臺。
如何從服務器端和客戶端入侵截獲網絡證據。
如何將威脅情報整合到NSM軟件來識別高級對手。
沒有百分之百安全的方式能將攻擊者阻止在你的網絡之外，但是當他們侵入時，你需要有所準備。本書展示了如何構建一張安全之網，來檢測、牽制并控制他們。攻擊不可避免，但丟失敏感數據的情況則不應當發生。

目錄：
譯者序

序

前言

第一部分　準備開始

第1章　網絡安全監控基本原理 2

1.1　NSM簡介 3

1.1.1　NSM阻止入侵嗎 3

1.1.2　NSM和持續監控的區別 6

1.1.3　NSM與其他方法相比如何呢 7

1.1.4　NSM為什么有效 8

1.1.5　如何配置NSM 8

1.1.6　NSM何時無效 10

1.1.7　NSM合法嗎 10

1.1.8　在NSM作業期間如何保護用戶隱私 11

1.2　一個簡單的NSM測試 11

1.3　NSM數據的范圍 12

1.3.1　完整內容數據 13

1.3.2　提取的內容數據 15

1.3.3　會話數據 17

1.3.4　事務數據 18

1.3.5　統計數據 19

1.3.6　元數據 21

1.3.7　警報數據 23

1.4　所有這些數據的關鍵是什么 25

1.5　NSM的缺點 26

1.6　在哪購買NSM 26

1.7　到哪里尋求支持或更多信息 27

1.8　結論 27

第2章　收集網絡流量：訪問、存儲和管理 28

2.1　試驗性NSM系統的網絡示例 28

2.1.1　簡單網絡中的網絡流 29

2.1.2　NSM的潛在位置 32

2.2　IP地址與網絡地址轉換 33

2.2.1　網絡塊 33

2.2.2　IP地址分配 34

2.2.3　地址轉換 34

2.3　選擇實現網絡可見性的最佳位置 37

2.3.1　觀察DMZ網絡流量的位置 37

2.3.2　觀察無線網絡和內網流量的位置 37

2.4　對流量的物理訪問 39

2.4.1　用交換機實現流量監控 39

2.4.2　使用網絡竊聽器 40

2.4.3　直接在客戶端或服務器上捕獲流量 40

2.5　選擇NSM平臺 41

2.6　10條NSM平臺管理建議 42

2.7　結論 43

第二部分　SO部署

第3章　單機NSM部署與安裝 46

3.1　單機或服務器加傳感器 46

3.2　選擇如何將SO代碼安裝到硬件上 49

3.3　安裝單機系統 50

3.3.1　將SO安裝到硬盤上 50

3.3.2　配置SO軟件 53

3.3.3　選擇管理接口 55

3.3.4　安裝NSM軟件組件 56

3.3.5　檢查安裝 59

3.4　結論 61

第4章　分布式部署 62

4.1　使用SO的.iso映像安裝SO服務器 62

4.1.1　關于SO服務器的一些考慮 63

4.1.2　創建SO服務器 63

4.1.3　配置SO服務器 64

4.2　使用SO的.iso映像安裝SO傳感器 66

4.2.1　配置SO傳感器 66

4.2.2　完成配置 68

4.2.3　驗證傳感器正在工作 68

4.2.4　驗證autossh隧道正在工作 69

4.3　使用PPA創建SO服務器 69

4.3.1　安裝Ubuntu服務器作為SO服務器操作系統 70

4.3.2　選擇靜態IP地址 71

4.3.3　更新軟件 73

4.3.4　通過PPA配置SO服務器 74

4.4　使用PPA創建SO傳感器 75

4.4.1　安裝Ubuntu服務器作為SO傳感器操作系統 75

4.4.2　將系統配置為傳感器 77

4.4.3　運行設置向導 78

4.5　結論 81

第5章　SO平臺的日常管理 82

5.1　及時更新SO 82

5.1.1　通過GUI更新 82

5.1.2　通過命令行更新 83

5.2　限制對SO的訪問 84

5.2.1　通過SOCKS代理連接 85

5.2.2　改變防火墻策略 86

5.3　管理SO數據存儲 87

5.3.1　管理傳感器存儲 88

5.3.2　檢查數據庫驅動器的使用 88

5.3.3　管理Sguil數據庫 89

5.3.4　跟蹤磁盤使用 89

5.4　結論 90

第三部分　工具

第6章　命令行下的數據包分析工具 92

6.1　SO工具種類 92

6.1.1　SO數據表示工具 92

6.1.2　SO數據收集工具 93

6.1.3　SO數據傳送工具 93

6.2　運行Tcpdump 94

6.2.1　用Tcpdump顯示、寫入和讀取流量 95

6.2.2　使用Tcpdump過濾器 97

6.2.3　從Tcpdump輸出中提取細節 99

6.2.4　用Tcpdump研究完整內容數據 99

6.3　使用Dumpcap和Tshark 100

6.3.1　運行Tshark 101

6.3.2　運行Dumpcap 101

6.3.3　使用Tshark分析Dumpcap捕獲的流量 102

6.3.4　對Tshark使用顯示過濾器 103

6.3.5　Tshark顯示過濾器應用示例 105

6.4　運行Argus和Ra客戶端 106

6.4.1　停止及啟動Argus 106

6.4.2　Argus文件格式 107

6.4.3　研究Argus數據 107

6.5　結論 110

第7章　圖形化數據包分析工具 111

7.1　使用Wireshark 111

7.1.1　運行Wireshark 111

7.1.2　在Wireshark中查看數據包捕獲 112

7.1.3　修改默認的Wireshark布局 112

7.1.4　Wireshark一些有益的特性 115

7.2　使用Xplico 121

7.2.1　運行Xplico 122

7.2.2　創建Xplico實例和會話 123

7.2.3　處理網絡流量 123

7.2.4　檢查解碼的流量 124

7.2.5　獲取元數據和匯總流量 126

7.3　使用NetworkMiner檢查內容 127

7.3.1　運行NetworkMiner 127

7.3.2　收集和組織流量細節 128

7.3.3　描繪內容 130

7.4　結論 131

第8章　NSM控制臺 132

8.1　以NSM為中心查看網絡流量 132

8.2　使用Sguil 133

8.2.1　運行Sguil 134

8.2.2　Sguil的6個關鍵功能 135

8.3　使用Squert 144

8.4　使用Snorby 145

8.5　使用ELSA 148

8.6　結論 151

第四部分　NSM實踐

第9章　NSM操作 154

9.1　企業安全周期 154

9.1.1　規劃階段 155

9.1.2　抵抗階段 155

9.1.3　檢測和響應階段 155

9.2　收集、分析、升級和解決 156

9.2.1　收集 156

9.2.2　分析 159

9.2.3　升級 162

9.2.4　解決 164

9.3　補救 167

9.3.1　使用NSM改進安全 167

9.3.2　創建CIRT 168

9.4　結論 169

第10章　服務器端攻擊 170

10.1　服務器端攻擊的定義 170

10.2　服務器端攻擊實戰 171

10.2.1　啟動Sguil 172

10.2.2　從Sguil查詢會話數據 173

10.2.3　再談警報數據 176

10.2.4　使用Tshark檢查完整內容數據 178

10.2.5　理解后門 180

10.2.6　入侵者做了什么 181

10.2.7　入侵者還做了什么 184

10.3　瀏覽會話數據 185

10.3.1　搜索Bro DNS日志 186

10.3.2　搜索Bro SSH日志 187

10.3.3　搜索Bro FTP日志 188

10.3.4　解碼遭竊的敏感數據 190

10.3.5　提取被盜的歸檔 191

10.4　后退一步 192

10.4.1　階段1總結 192

10.4.2　階段2總結 192

10.4.3　后續步驟 193

10.5　結論 193

第11章　客戶端攻擊 194

11.1　客戶端攻擊的定義 194

11.2　客戶端攻擊實戰 195

11.2.1　獲取用戶的事件報告 196

11.2.2　使用ELSA開始分析 197

11.2.3　查找丟失的流量 201

11.3　分析Bro dns.log文件 202

11.4　檢查目的端口 204

11.5　研究命令控制通道 206

11.5.1　初始訪問 207

11.5.2　改善shell 211

11.5.3　總結階段1 212

11.5.4　轉向另一個受害者 212

11.5.5　安裝隱秘隧道 213

11.5.6　枚舉受害者 214

11.5.7　總結階段2 215

11.6　結論 215

第12章　擴展SO 217

12.1　使用Bro跟蹤可執行文件 217

12.1.1　用Bro計算下載的可執行文件的散列 217

12.1.2　向VirusTotal提交散列 218

12.2　使用Bro從流量中提取二進制程序 219

12.2.1　配置Bro從流量中提取二進制程序 220

12.2.2　收集流量來測試Bro 221

12.2.3　測試Bro：從HTTP流量中提取二進制程序 222

12.2.4　研究從HTTP中提取的二進制程序 224

12.2.5　測試Bro：從FTP流量中提取二進制程序 224

12.2.6　研究從FTP中提取的二進制程序 226

12.2.7　向VirusTotal提交散列和二進制程序 226

12.2.8　重啟Bro 228

12.3　使用APT1情報 230

12.3.1　使用APT1模塊 230

12.3.2　安裝APT1模塊 232

12.3.3　生成流量來測試APT1模塊 232

12.3.4　測試APT1模塊 233

12.4　報告惡意二進制程序的下載 235

12.4.1　使用Team Cymru的Malware Hash Registry 235

12.4.2　MHR和SO：默認有效 236

12.4.3　MHR和SO與惡意程序下載 237

12.4.4　識別二進制程序 238

12.5　結論 240

第13章　代理與校驗和 241

13.1　代理 241

13.1.1　代理與可見性 242

13.1.2　處理生產網絡中的代理 245

13.2　校驗和 246

13.2.1　好的校驗和 246

13.2.2　壞的校驗和 246

13.2.3　使用Tshark識別好的和壞的校驗和 247

13.2.4　壞的校驗和如何產生 249

13.2.5　Bro與壞的校驗和 249

13.2.6　設置Bro忽略壞的校驗和 251

13.3　結論 253

第14章　總論 254

14.1　云計算 254

14.1.1　云計算的挑戰 255

14.1.2　云計算的好處 256

14.2　工作流、度量與協作 257

14.2.1　工作流和度量 257

14.2.2　協作 258

14.3　結論 259

附錄　SO腳本與配置 260

序：