Zeek實戰(zhàn)：快速構建流量安全能力

定　價：￥69.00

作　者：	高勇
出版社：	清華大學出版社
叢編項：
標　簽：	暫缺

購買這本書可以去

當當網 (￥51.70)

ISBN：	9787302627678	出版時間：	2023-04-01	包裝：	平裝-膠訂
開本：	16開	頁數(shù)：		字數(shù)：

內容簡介

　　本書深入介紹流量安全分析工具Zeek，內容涵蓋環(huán)境搭建、工具安裝、基礎應用和Zeek腳本編程等多個方面。同時，本書還結合網絡安全工作中的實際需求向讀者展示以Zeek為基礎快速搭建一套相對完整的流量分析體系的過程。全書共分3部分：第1部分（第1章）著重介紹網絡流量分析在網絡安全工作中的重要意義，以及一個完整流量分析體系的大致框架；第2部分（第2～5章）為基礎篇，著重介紹Zeek的基本功能及使用方法，并在第5章中通過6個示例向讀者展示Zeek在實際場景中的運用；第3部分（第6～8章）為進階篇，重點介紹使用Zeek時需要了解的腳本編程內容及相關功能框架，并在第8章中通過示例向讀者展示如何將一個流量分析目標終落地成可運行的Zeek腳本。本書適合作為信息安全從業(yè)人員、流量分析相關工作者的工具書，同時可供對Zeek或流量分析領域感興趣的開發(fā)人員、廣大科技工作者和研究人員參考。

作者簡介

　　高勇，CISA、CISSP、CISP、PMP、ISO27001LA認證專家，先后在華為、平安等頭部企業(yè)從事信息安全工作，當前主要聚焦在金融數(shù)據(jù)安全領域。同時也是一個Geek，熱衷于鉆研各種安全技術，并樂此不疲。

圖書目錄

第1章網絡流量與網絡安全第1章網絡流量與網絡安全1
1.1網絡與安全1
1.2流量與網絡3
1.3流量分析4
1.4經驗與總結7
基礎篇
第2章Zeek介紹112.1Zeek是什么11
2.2Zeek的特點13
2.2.1部署使用14
2.2.2內置功能15
2.2.3開發(fā)語言15
2.3Zeek的功能架構16
2.4Zeek的應用場景18
2.5Zeek的版本與相關資源21
2.6經驗與總結21
第3章搭建環(huán)境23
3.1本書運行環(huán)境23
3.1.1安裝VirtualBox24
3.1.2創(chuàng)建虛擬機26
3.1.3安裝Ubuntu Desktop操作系統(tǒng)26
3.1.4優(yōu)化運行環(huán)境30
3.1.5配置網絡34
3.2從外部源安裝Zeek39
3.3從源代碼安裝Zeek42
3.4運行Zeek42
3.5經驗與總結44
第4章認識與使用Zeek45
4.1目錄結構45
4.2zeek命令與zeekctl命令52
4.2.1zeek命令52
4.2.2zeekctl命令56
4.3分析日志（logging）58
4.3.1日志的功能60
4.3.2日志的存儲63
4.4conn.log日志文件64
4.4.1uid字段65
4.4.2orig、resp與local等字段72
4.4.3conn_state與history字段73
4.5加載腳本76
4.6zeekcut工具77
4.7zeekygen工具80
4.8btest框架82
4.9經驗與總結87
第5章基礎應用示例88
5.1發(fā)現(xiàn)網絡資產88
5.2網絡掃描93
5.3SSH暴力破解96
5.4SQL注入99
5.5文件解析102
5.6可視化分析108
5.7經驗與總結118
Zeek實戰(zhàn)——快速構建流量安全能力目錄進階篇
第6章Zeek腳本1216.1“Hello World！”程序121
6.2基本語法122
6.3運算符（operator）124
6.3.1算術運算符124
6.3.2邏輯運算符124
6.3.3關系運算符125
6.3.4位運算符125
6.3.5賦值運算符126
6.3.6其他運算符126
6.4數(shù)據(jù)類型（types）127
6.4.1int、count、double數(shù)據(jù)類型127
6.4.2bool數(shù)據(jù)類型130
6.4.3enum數(shù)據(jù)類型130
6.4.4string數(shù)據(jù)類型133
6.4.5time、interval數(shù)據(jù)類型135
6.4.6pattern數(shù)據(jù)類型137
6.4.7port、addr、subnet數(shù)據(jù)類型138
6.4.8set、vector、table數(shù)據(jù)類型139
6.4.9record數(shù)據(jù)類型147
6.4.10file數(shù)據(jù)類型148
6.4.11opaque數(shù)據(jù)類型149
6.4.12function、event、hook數(shù)據(jù)類型150
6.4.13any數(shù)據(jù)類型155
6.5聲明（declarations）155
6.5.1module、export聲明155
6.5.2global、local聲明158
6.5.3const聲明160
6.5.4option聲明160
6.5.5type聲明161
6.5.6redef聲明161
6.5.7function、event、hook聲明162
6.6語句（statements）163
6.6.1add、delete語句163
6.6.2print語句163
6.6.3event、schedule語句164
6.6.4for、while、next語句165
6.6.5if、else、switch、fallthrough語句168
6.6.6when語句170
6.6.7break語句172
6.6.8return語句172
6.7屬性（attributes）173
6.7.1&redef屬性173
6.7.2&priority屬性173
6.7.3&log屬性173
6.7.4&optional屬性173
6.7.5&default屬性173
6.7.6&add_func、&delete_func屬性174
6.7.7&create_expire、&read_expire、&write_expire、&expire_func屬性175
6.7.8&on_change屬性177
6.7.9&raw_output屬性178
6.7.10&error_handler屬性179
6.7.11&type_column屬性179
6.7.12&backend、&broker_store、&broker_allow_complex_type屬性179
6.7.13&deprecated屬性179
6.8指令（directives）179
6.8.1@DIR、@FILENAME指令179
6.8.2@deprecated指令180
6.8.3@load、@loadplugin、@loadsigs、@unload指令180
6.8.4@prefixes指令181
6.8.5@if、@ifdef、@ifndef、@else、@endif指令181
6.8.6@DEBUG指令183
6.9模塊、命名空間與作用域183
6.9.1全局模塊184
6.9.2符號的作用域185
6.9.3符號檢索的順序187
6.10常用數(shù)據(jù)結構188
6.10.1GLOBAL::conn_id結構188
6.10.2GLOBAL::endpoint結構189
6.10.3GLOBAL::connection結構189
6.11經驗與總結190
第7章Zeek框架192
7.1日志框架（Log::）192
7.1.1日志流193
7.1.2過濾器194
7.1.3輸出端195
7.1.4代碼示例195
7.2輸入框架（Input::）197
7.2.1讀取至table類型197
7.2.2讀取至Files::框架200
7.2.3讀取至event事件200
7.2.4數(shù)據(jù)來源201
7.3配置框架（Config::）202
7.4統(tǒng)計框架（SumStats::）206
7.4.1基礎概念及使用方法206
7.4.2關鍵數(shù)據(jù)結構及接口208
7.5通知框架（Notice::）211
7.5.1基礎使用方法212
7.5.2添加action214
7.5.3Weird::模塊216
7.6文件框架（Files::）217
7.6.1文件視角217
7.6.2分析器222
7.6.3本地文件分析225
7.7情報框架（Intel::）227
7.7.1形成情報數(shù)據(jù)227
7.7.2查詢情報的邏輯229
7.7.3命中之后的行為229
7.7.4代碼示例229
7.8特征框架（Signatures::）231
7.8.1基本功能232
7.8.2特征語法234
7.9經驗與總結239
第8章進階應用示例242
8.1常用資源242
8.2分析目標243
8.3規(guī)劃腳本243
8.4實現(xiàn)功能244
8.5經驗與總結247