Zeek實(shí)戰(zhàn)--快速構(gòu)建流量安全能力
定 價(jià):69 元
- 作者:高勇著
- 出版時(shí)間:2023/4/1
- ISBN:9787302627678
- 出 版 社:清華大學(xué)出版社
- 中圖法分類:TP311.563
- 頁碼:247
- 紙張:
- 版次:1
- 開本:16開
本書深入介紹流量安全分析工具Zeek����,內(nèi)容涵蓋環(huán)境搭建、工具安裝��、基礎(chǔ)應(yīng)用和Zeek腳本編程等多個(gè)方面�。同時(shí)����,本書還結(jié)合網(wǎng)絡(luò)安全工作中的實(shí)際需求向讀者展示以Zeek為基礎(chǔ)快速搭建一套相對完整的流量分析體系的過程���。
全書共分3部分:第1部分(第1章)著重介紹網(wǎng)絡(luò)流量分析在網(wǎng)絡(luò)安全工作中的重要意義�����,以及一個(gè)完整流量分析體系的大致框架����;第2部分(第2~5章)為基礎(chǔ)篇��,著重介紹Zeek的基本功能及使用方法�����,并在第5章中通過6個(gè)示例向讀者展示Zeek在實(shí)際場景中的運(yùn)用�����;第3部分(第6~8章)為進(jìn)階篇���,重點(diǎn)介紹使用Zeek時(shí)需要了解的腳本編程內(nèi)容及相關(guān)功能框架�����,并在第8章中通過示例向讀者展示如何將一個(gè)流量分析目標(biāo)最終落地成可運(yùn)行的Zeek腳本�����。
本書適合作為信息安全從業(yè)人員��、流量分析相關(guān)工作者的工具書�,同時(shí)可供對Zeek或流量分析領(lǐng)域感興趣的開發(fā)人員、廣大科技工作者和研究人員參考�。
高勇����,CISA、CISSP���、CISP���、PMP、ISO27001LA認(rèn)證專家���,先后在華為�、平安等頭部企業(yè)從事信息安全工作,當(dāng)前主要聚焦在金融數(shù)據(jù)安全領(lǐng)域���。同時(shí)也是一個(gè)Geek�,熱衷于鉆研各種安全技術(shù)�,并樂此不疲。
第1章 網(wǎng)絡(luò)流量與網(wǎng)絡(luò)安全
1.1 網(wǎng)絡(luò)與安全
1.2 流量與網(wǎng)絡(luò)
1.3 流量分析
1.4 經(jīng)驗(yàn)與總結(jié)
基礎(chǔ)篇
第2章 Zeek介紹
2.1 Zeek是什么
2.2 Zeek的特點(diǎn)
2.2.1 部署使用
2.2.2 內(nèi)置功能
2.2.3 開發(fā)語言
2.3 Zeek的功能架構(gòu)
2.4 Zeek的應(yīng)用場景
2.5 Zeek的版本與相關(guān)資源
2.6 經(jīng)驗(yàn)與總結(jié)
第3章 搭建環(huán)境
3.1 本書運(yùn)行環(huán)境
3.1.1 安裝VirtualBox
3.1.2 創(chuàng)建虛擬機(jī)
3.1.3 安裝Ubuntu Desktop操作系統(tǒng)
3.1.4 優(yōu)化運(yùn)行環(huán)境
3.1.5 配置網(wǎng)絡(luò)
3.2 從外部源安裝Zeek
3.3 從源代碼安裝Zeek
3.4 運(yùn)行Zeek
3.5 經(jīng)驗(yàn)與總結(jié)
第4章 認(rèn)識與使用Zeek
4.1 目錄結(jié)構(gòu)
4.2 zeek命令與zeekctl命令
4.2.1 zeek命令
4.2.2 zeekctl命令
4.3 分析日志(logging)
4.3.1 日志的功能
4.3.2 日志的存儲
4.4 conn.log日志文件
4.4.1 uid字段
4.4.2 orig�����、resp與local等字段
4.4.3 conn_state與history字段
4.5 加載腳本
4.6 zeek-cut工具
4.7 zeekygen工具
4.8 btest框架
4.9 經(jīng)驗(yàn)與總結(jié)
第5章 基礎(chǔ)應(yīng)用示例
5.1 發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)
5.2 網(wǎng)絡(luò)掃描
5.3 SSH暴力破解
5.4 SQL入
5.5 文件解析
5.6 可視化分析
5.7 經(jīng)驗(yàn)與總結(jié)
進(jìn)階篇
第6章 Zeek腳本
6.1 “Hello World����!”程序
6.2 基本語法
6.3 運(yùn)算符(operator)
6.3.1 算術(shù)運(yùn)算符
6.3.2 邏輯運(yùn)算符
6.3.3 關(guān)系運(yùn)算符
6.3.4 位運(yùn)算符
6.3.5 賦值運(yùn)算符
6.3.6 其他運(yùn)算符
6.4 數(shù)據(jù)類型(types)
6.4.1 int、count�����、double數(shù)據(jù)類型
6.4.2 bool數(shù)據(jù)類型
6.4.3 enum數(shù)據(jù)類型
6.4.4 string數(shù)據(jù)類型
6.4.5 time�、interval數(shù)據(jù)類型
6.4.6 pattern數(shù)據(jù)類型
6.4.7 port、addr�、subnet數(shù)據(jù)類型
6.4.8 set、vector�����、table數(shù)據(jù)類型
6.4.9 record數(shù)據(jù)類型
6.4.10 file數(shù)據(jù)類型
6.4.11 opaque數(shù)據(jù)類型
6.4.12 function、event�����、hook數(shù)據(jù)類型
6.4.13 any數(shù)據(jù)類型
6.5 聲明(declarations)
6.5.1 module�、export聲明
6.5.2 global、local聲明
6.5.3 const聲明
6.5.4 option聲明
6.5.5 type聲明
6.5.6 redef聲明
6.5.7 function�、event、hook聲明
6.6 語句(statements)
6.6.1 add�、delete語句
6.6.2 print語句
6.6.3 event,schedule語句
6.6.4 for��、while�、next語句
6.6.5 if、else��、switch��、fallthrough語句
6.6.6 when語句
6.6.7 break語句
6.6.8 return語句
6.7 屬性(attributes)
6.7.1 &redef屬性
6.7.2 &priority屬性
6.7.3 &log屬性
6.7.4 &optional屬性
6.7.5 &default屬性
6.7.6 &add_func���、&delete_func屬性
6.7.7 &create_expire、&read_expire��、&write_expire、&expire_fune屬性
6.7.8 &on_change屬性
6.7.9 &raw_output屬性
6.7.10 &error_handler屬性
6.7.11 &type_column屬性
6.7.12 &backend�����、&broker_store�����、&broker_allow_complex_type屬性
6.7.13 &deprecated屬性
6.8 指令(directives)
6.8.1 @DIR��、@FILENAME指令
6.8.2 @deprecated指令
6.8.3 @load���、@load-plugin�����、@load-sigs���、@unload指令
6.8.4 @prefixes指令
6.8.5 @if、@ifdef�、@ifndef、@else�����、@endif指令
6.8.6 @DEBUG指令
6.9 模塊、命名空間與作用域
6.9.1 全局模塊
6.9.2 符號的作用域
6.9.3 符號檢索的順序
6.10 常用數(shù)據(jù)結(jié)構(gòu)
6.10.1 GLOBAL::conn_id結(jié)構(gòu)
6.10.2 GLOBAL::endpoint結(jié)構(gòu)
6.10.3 GLOBAL::connection結(jié)構(gòu)
6.11 經(jīng)驗(yàn)與總結(jié)
第7章 Zeek框架
7.1 日志框架(Log::)
7.1.1 日志流
7.1.2 過濾器
7.1.3 輸出端
7.1.4 代碼示例
7.2 輸入框架(Input::)
7.2.1 讀取至table類型
7.2.2 讀取至Files::框架
7.2.3 讀取至event事件
7.2.4 數(shù)據(jù)來源
7.3 配置框架(Config
7.4 統(tǒng)計(jì)框架(SumStats::)
7.4.1 基礎(chǔ)概念及使用方法
7.4.2 關(guān)鍵數(shù)據(jù)結(jié)構(gòu)及接口
7.5 通知框架(Notice
7.5.1 基礎(chǔ)使用方法
7.5.2 添加action
7.5.3 Weird::模塊
書單推薦
