傳統的入侵檢測和日志文件分析已經不再足以保護當今的復雜網絡。在《數據驅動的網絡分析》一書中，安全研究人員Michael Collins（柯林斯）展示了多種收集和分析網絡流量數據集的技術和工具。你將從中理解網絡的使用方式，以及保護和改進它所必需的行動。
本書分為3個部分，講解了收集和組織數據的過程、各種分析工具和多種不同的分析場景和技術。對於熟悉腳本的網絡管理員和運營安全分析人員來說，本書是他們的理想讀物。

傳統的入侵檢測和日志文件分析已經不再足以保 護當今的復雜網絡，柯林斯編著的這本《數據驅動的 網絡分析》講解了多種網絡流量數據集的采集和分析 技術及工具，借助這些工具，可以迅速定位網絡中的 問題，並采取相應的行動，保障網絡的運行安全。 本書分為3部分，共15章，內容包括數據采集的 常規過程，用於采集網絡流量的傳感器，基於特定繫 統的傳感器，數據存儲和分析，使用互聯網層次知識 繫統（SiLK）分析NetFlow數據，用於安全分析的R語 言簡介、入侵檢測繫統的工作機制以及實施，確定實 施攻擊的幕後真兇，探索性數據分析以及數據可視化 ，檢查通信流量和行為，獲取網絡映射和庫存盤點的 詳細過程等。 本書適合網絡安全工程師和網絡管理人員閱讀。

**部分 數據
第1章 傳感器和探測器簡介
1.1 觀察點：傳感器的位置對數據采集的影響
1.2 領域：確定可以采集的數據
1.3 操作：傳感器對數據所做的處理
1.4 小結
第2章 網絡傳感器
2.1 網絡分層及其對測量的影響
2.1.1 網絡層次和觀察點
2.1.2 網絡層次和編址
2.2 封包數據
2.2.1 封包和幀格式
2.2.2 滾動緩存
2.2.3 限制每個封包中捕捉的數據
2.2.4 過濾特定類型封包
2.2.5 如果不是以太網怎麼辦
2.3 NetFlow
2.3.1 NetFlow v5格式和字段
2.3.2 NetFlow生成和采集
第3章 主機和服務傳感器：在源上的流量日志
3.1 訪問和操縱日志文件
3.2 日志文件的內容
3.2.1 **日志消息的特性
3.2.2 現有日志文件以及處理方法
3.3 有代表性的日志文件格式
3.3.1 HTTP：CLF和ELF
3.3.2 SMTP
3.3.3 Microsoft Exchange：郵件跟蹤日志
3.4 日志文件傳輸：轉移、Syslog和消息隊列
3.4.1 轉移和日志文件留存
3.4.2 syslog
第4章 用於分析的數據存儲：關繫數據庫、大數據和其他選項
4.1 日志數據和CRUD範式
4.2 NoSQL繫統簡介
4.3 使用何種存儲方法

第2部分 工具
第5章 SiLK套件
5.1 SiLK的概念和工作原理
5.2 獲取和安裝SiLK
5.3 選擇和格式化輸出字段操作：rwcut

5.4 基本字段操縱：rwfilter
5.4.1 端口和協議
5.4.2 大小
5.4.3 IP地址
5.4.4 時間
5.4.5 TCP選項
5.4.6 助手選項
5.4.7 雜項過濾選項和一些技巧
5.5 rwfileinfo及出處
5.6 合並信息流：rwcount
5.7 rwset和IP集
5.8 rwuniq
5.9 rwbag
5.10 SiLK**機制
5.11 采集SiLK數據
5.11.1 YAF
5.11.2 rwptoflow
5.11.3 rwtuc
第6章 R安全分析簡介
6.1　安裝與設置
6.2　R語言基礎知識
6.2.1　R提示符
6.2.2　R變量
6.2.3　編寫函數
6.2.4　條件與循環
6.3　使用R工作區
6.4　數據幀
6.5　可視化
6.5.1　可視化命令
6.5.2　可視化參數
6.5.3　可視化注解
6.5.4　導出可視化
6.6　分析：統計假設檢驗
6.6.1　假設檢驗
6.6.2　檢驗數據
第7章 分類和事件工具：IDS、AV和SEM
7.1　IDS的工作原理
7.1.1　基本詞彙
7.1.2　分類器失效率：理解“基率謬誤”
7.1.3　應用分類
7.2　提高IDS性能
7.2.1　改進IDS檢測
7.2.2　改進IDS響應
7.2.3　預取數據
第8章 參考和查找：了解“某人是誰”的工具
8.1 MAC和硬件地址
8.2 IP編址
8.2.1 IPv4地址、結構和重要地址
8.2.2 IPv6地址、結構和重要地址
8.2.3 檢查連接性：使用ping連接到某個地址
8.2.4 路由跟蹤
8.2.5 IP信息：地理位置和人口統計學特征
8.3 DNS
8.3.1 DNS名稱結構
8.3.2 用dig轉發DNS查詢
8.3.3 DNS反向查找
8.3.4 使用whois查找所有者
8.4 其他參考工具
第9章 其他工具
9.1　可視化
9.2　通信和探查
9.2.1　netcat
9.2.2　nmap
9.2.3　Scapy

9.3　封包檢查和參考
9.3.1　Wireshark
9.3.2　GeoIP
9.3.3　NVD、惡意軟件網站和C*E
9.3.4　搜索引擎、郵件列表和人

第3部分 分析
**0章 探索性數據分析和可視化
10.1 EDA的目標：應用分析
10.2 EDA工作流程
10.3 變量和可視化
10.4 單變量可視化：直方圖、QQ圖、箱線圖和等級圖
10.3.1 直方圖
10.3.2 柱狀圖（不是餅圖）
10.3.3 分位數-分位數（Quantile-Quantile ，QQ）圖
10.3.4 五數概括法和箱線圖
10.3.5 生成箱線圖
10.5 雙變量描述
10.5.1 散點圖
10.5.2 列聯表
10.6 多變量可視化
**1章 摸索
11.1 攻擊模式
11.2 摸索：錯誤的配置、自動化和掃描
11.2.1 查找失敗
11.2.2 自動化
11.2.3 掃描
11.3 識別摸索行為
11.3.1 TCP摸索：狀態機
11.3.2 ICMP消息和摸索
11.3.3 識別UDP摸索
11.4 服務級摸索
11.4.1 HTTP摸索
11.4.2 SMTP摸索
11.5 摸索分析
11.5.1 構建摸索警報
11.5.2 摸索行為的取證分析
11.5.3 設計一個網絡來利用摸索
**2章 通信量和時間分析
12.1 工作日對網絡通信量的影響
12.2 信標
12.3 文件傳輸/攫取
12.4 局部性
12.4.1 DDoS、突發擁塞和資源耗盡
12.4.2 DDoS和路由基礎架構
12.5 應用通信量和局部性分析
12.5.1 數據選擇
12.5.2 將通信量作為警報
12.5.3 將信標作為警報
12.5.4 將局部性作為警報
12.5.5 工程解決方案
**3章 圖解分析
13.1 圖的屬性：什麼是圖
13.2 標簽、權重和路徑
13.3 分量和連通性
13.4 聚類繫數
13.5 圖的分析
13.5.1 將分量分析作為警報
13.5.2 將集中度分析用於取證
13.5.3 廣度優先搜索的取證使用
13.5.4 將集中度分析用於工程
**4章 應用程序識別
14.1 應用程序識別機制
14.1.1 端口號
14.1.2 通過標志抓取識別應用程序
14.1.3 通過行為識別應用程序
14.1.4 通過附屬網站識別應用程序
14.2 應用程序標志：識別和分類
14.2.1 非Web標志
14.2.2 Web客戶端標志：User-Agent字符串
**5章 網絡映射
15.1 創建一個初始網絡庫存清單和映射
15.1.1 創建庫存清單：數據、覆蓋範圍和文件
15.1.2 **階段：前3個問題
15.1.3 第2階段：檢查IP空間
15.1.4 第3階段：識別盲目和難以理解的流量
15.1.5 第4階段：識別客戶端和服務器
15.2 *新庫存清單：走向連續審計