$UNIX\Linux网络日志分析与流量监控/信息科学与技术丛书$
- UNIX\Linux网络日志分析与流量监控/信息科学与技术丛书
- - 作者：李晨光
  - 出版社：机械工业
  - ISBN：9787111479611
  - 出版日期：2015/01/01
  - 页数：448
- 售价：31.6

内容大纲
李晨光编著的《UNIX\Linux网络日志分析与流量监控》以开源软件为基础，全面介绍了UNIX／Linux安全运维的各方面知识。第一篇从UNIX／Linux系统日志、Apache等各类应用日志的格式和收集方法讲起，内容涵盖异构网络系统日志收集和分析工具使用的多个方面；第二篇列举了二十多个常见网络故障案例，每个案例完整地介绍了故障的背景、发生、发展，以及最终的故障排除过程。其目的在于维护网络安全，通过开源工具的灵活运用，来解决运维实战工作中的各种复杂的故障；第三篇重点讲述了网络流量收集监控技术与OSSIM在异常流量监测中的应用。
本书使用了大量开源工具解决方案，是运维工程师、网络安全从业人员不可多得的参考资料。
作者介绍
李晨光，毕业于中国科学院研究生院，就职于中国中铁，资深网络架构师、IBM精英讲师、Linux系统安全专家。现任中国计算机学会（CCF）高级会员、会员代表．5ICTO和TT专家网特邀专家。
目录
出版说明
媒体推荐
前言
第一篇  日志分析基础
第1章  网络日志获取与分析
  1.1  网络环境日志分类
    1.1.1  UNIX/Linux系统日志
    1.1.2  Windows日志
    1.1.3  Windows系统日志
    1.1.4  网络设备日志
    1.1.5  应用系统的日志
  1.2  Web日志分析
    1.2.1  访问日志记录过程
    1.2.2  Apache访问日志的作用
    1.2.3  访问日志的位置
    1.2.4  访问日志格式分析
    1.2.5  HTTP返回状态代码
    1.2.6  记录Apache虚拟机日志
    1.2.7  Web日志统计举例
    1.2.8  Apache错误日志分析
    1.2.9  日志轮询
    1.2.10  清空日志的技巧
    1.2.11  其他Linux平台Apache日志位置
    1.2.12  Nginx日志
    1.2.13  Tomcat日志
    1.2.14  常用Apache日志分析工具
  1.3  FTP服务器日志解析
    1.3.1  分析vsftpd.log和xferlog
    1.3.2  中文对Vsftp日志的影响
    1.3.3  用Logparser分析FTP日志
  1.4  用LogParser分析Windows系统日志
    1.4.1  LogParser概述
    1.4.2  LogParser结构
    1.4.3  安装LogParser
    1.4.4  LogParser应用举例
    1.4.5  图形化分析输出
  1.5  Squid服务日志分析
    1.5.1  Squid日志分类
    1.5.2  典型Squid访问日志分析
    1.5.3  Squid时间戳转换
    1.5.4  Squid日志位置
    1.5.5  图形化日志分析工具
    1.5.6  其他UNIX/Linux平台的Squid位置
  1.6  NFS服务日志分析
    1.6.1  Linux的NFS日志
    1.6.2  Solaris的NFS服务器日志
  1.7  iptables日志分析
  1.8  Samba日志审计
    1.8.1  Samba默认提供的日志
    1.8.2  Samba审计

  1.9  DNS日志分析
    1.9.1  DNS日志的位置
    1.9.2  DNS日志的级别
    1.9.3  DNS查询请求日志实例解释
    1.9.4  DNS分析工具dnstop
  1.10  DHCP服务器日志
  1.11  邮件服务器日志
    1.11.1  Sendmail
    1.11.2  Postfix
  1.12  Linux下双机系统日志
    1.12.1  Heartbeat的日志
    1.12.2  备用节点上的日志信息
    1.12.3  日志分割
  1.13  其他UNIX系统日志分析GUI工具
    1.13.1  用SMC分析系统日志
    1.13.2  Mac OS X的GUI日志查询工具
  1.14  可视化日志分析工具
    1.14.1  彩色日志工具ccze
    1.14.2  动态日志查看工具logstalgia
    1.14.3  三维日志显示工具gource
    1.14.4  用AWStats监控网站流量
第2章  UNIX/Linux系统取证
  2.1  常见IP追踪方法
    2.1.1  IP追踪工具和技术
    2.1.2  DoS/DDoS 攻击源追踪思路
  2.2  重要信息收集
    2.2.1  收集正在运行的进程
    2.2.2  查看系统调用
    2.2.3  收集/proc系统中的信息
    2.2.4  UNIX文件存储与删除
    2.2.5  硬盘证据的收集方法
    2.2.6  从映像的文件系统上收集证据
    2.2.7  用ddrescue恢复数据
    2.2.8  查看详细信息
    2.2.9  收集隐藏目录和文件
    2.2.10  检查可执行文件
  2.3  常用搜索工具
    2.3.1  特殊文件处理
    2.3.2  The Coroner’s Toolkit（TCT工具箱）
    2.3.3  Forensix工具集
  2.4  集成取证工具箱介绍
    2.4.1  用光盘系统取证
    2.4.2  屏幕录制取证方法
  2.5  案例一：闪现Segmentation Fault为哪般
  事件背景
  互动问答
  疑难解析
  预防措施
  2.6  案例二：谁动了我的胶片
  事件背景

  了解业务流程
  公司内鬼所为？
  取证分析
  遗忘的Squid服务器
  互动问答
  疑点分析
  诱捕入侵者
  疑难解析
  预防措施
第3章  建立日志分析系统
  3.1  日志采集基础
    3.1.1  Syslog协议
    3.1.2  Syslog日志记录的事件
    3.1.3  Syslog.conf配置文件详解
    3.1.4  Syslog操作
    3.1.5  Syslog的安全漏洞
    3.1.6  Rsyslog
    3.1.7  Syslog-ng
  3.2  时间同步
    3.2.1  基本概念
    3.2.2  识别日志中伪造的时间信息
    3.2.3  时间同步方法
  3.3  网络设备日志分析与举例
    3.3.1  路由器日志分析
    3.3.2  交换机日志分析
    3.3.3  防火墙日志分析
    3.3.4  实战：通过日志发现ARP病毒
    3.3.5  实战：交换机环路故障解决案例
  3.4  选择日志管理系统的十大问题
  3.5  利用日志管理工具更轻松
    3.5.1  日志主机系统的部署
    3.5.2  日志分析与监控
    3.5.3  利用Eventlog Analyzer分析网络日志
    3.5.4  分析防火墙日志
  3.6  用Sawmill搭建日志平台
    3.6.1  系统简介
    3.6.2  部署注意事项
    3.6.3  安装举例
    3.6.4  监测网络入侵
  3.7  使用Splunk分析日志
    3.7.1  Splunk简介
    3.7.2  Splunk安装
    3.7.3  设置自动运行
    3.7.4  系统配置
    3.7.5  设置日志分析目录
第二篇  日志分析实战
第4章  DNS系统故障分析
  4.1  案例三：邂逅DNS故障
  事件背景
  查看防火墙日志

  外部防火墙
  内部防火墙（NAT）
  互动问答
  取证分析
  问题解答
  预防措施
  4.2  DNS漏洞扫描方法
    4.2.1  DNS扫描的关键技术
    4.2.2  检查工具
  4.3  DNS Flood Detector让DNS更安全
    4.3.1  Linux下DNS面临的威胁
    4.3.2  BIND漏洞
    4.3.3  DNS管理
    4.3.4  应对DNS Flood攻击
    4.3.5  DNS Flood Detector保安全
第5章  DoS防御分析
  5.1  案例四：网站遭遇DoS攻击
  事件背景
  交互问答
  事件推理
  针对措施
  疑难解答
  案例总结
  DoS扩展知识
  5.2  案例五：“太囧”防火墙
  事件背景
  路由器部分日志文件
  防火墙日志文件
  互动问答
  调查分析
  答疑解惑
  预防措施
第6章  UNIX后门与溢出案例分析
  6.1  如何防范rootkit攻击
    6.1.1  认识rootkit
    6.1.2  rootkit的类型
  6.2  防范rootkit的工具
    6.2.1  使用chkrootkit工具
    6.2.2  Rootkit Hunter工具
  6.3  安装LIDS
    6.3.1  LIDS的主要功能
    6.3.2  配置LIDS
    6.3.3  使用Lidsadm工具
    6.3.4  使用LIDS保护系统
  6.4  安装与配置AIDE
    6.4.1  在Solaris中安装AIDE
    6.4.2  用AIDE加固OSSIM平台
    6.4.3  Tripwire
  6.5  案例六：围堵Solaris后门
  入侵背景

  分析脚本文件bd
  分析脚本doc
  分析脚本文件ps
  分析脚本update（一个嗅探器）
  分析脚本milk
  发现need.tar被植入系统
  问题
  答疑解惑
  预防措施
  6.6  案例七：遭遇溢出攻击
  事件背景
  分析日志
  网络入侵检测系统日志（取样）
  发现系统账号问题
  问题
  案例解码
  分析解答
  预防措施
  6.7  案例八：真假root账号
  事件背景
  恢复root密码
  取证分析
  互动问答
  问题解答
  预防措施
  6.8  案例九：为rootkit把脉
  事件背景
  可疑的/etc/xinetd.conf记录
  互动问答
  事件分析
  疑难解答
  预防措施
第7章  UNIX系统防范案例
  7.1  案例十：当网页遭遇篡改之后
  事件背景
  日志获取
  互动问答
  入侵事件剖析
  疑难解答
  防护措施
  Web漏洞扫描工具——Nikto
  7.2  案例十一：UNIX下捉虫记
  事件背景
  取证分析
  互动问答
  入侵解析
  Sadmind/IIS蠕虫分析
  Unicode攻击逆向分析
  问题解答
  预防措施

  7.3  案例十二：泄露的裁员名单
  事件背景
  取证分析
  互动问答
  答疑解惑
  预防措施
第8章  SQL注入防护案例分析
  8.1  案例十三：后台数据库遭遇SQL注入
  案例背景
  互动问答
  分析过程
  疑难解答
  预防与补救措施
  8.2  案例十四：大意的程序员之SQL注入
  事件背景
  互动问答
  分析取证
  总结
  答疑解惑
  总结
  预防措施
  8.3  利用OSSIM监测SQL注入
    8.3.1  SQL注入攻击的正则表达式规则
    8.3.2  用OSSIM检测SQL注入
    8.3.3  OSSIM系统中的Snort规则
  8.4  LAMP网站的SQL 注入预防
    8.4.1  服务器端的安全配置
    8.4.2  PHP代码的安全配置
    8.4.3  PHP代码的安全编写
  8.5  通过日志检测预防SQL注入
    8.5.1  通过Web访问日志发现SQL攻击
    8.5.2  用Visual Log Parser分析日志
第9章  远程连接安全案例
  9.1  案例十五：修补SSH服务器漏洞
  事件背景
  SSH被攻击的日志举例
  加固SSH服务器
  通过OSSIM实现SSH登录失败告警功能
  预防措施
  9.2  案例十六：无辜的“跳板”
  事件背景
  交互问答
  案情分析
  疑难解答
  预防措施
第10章  Snort系统部署及应用案例
    10.1  Snort安装与使用
      10.1.1  准备工作
      10.1.2  深入了解Snort
      10.1.3  安装Snort 程序

      10.1.4  维护Snort
      10.1.5  Snort的不足
    10.2  Snort日志分析
      10.2.1  基于文本的格式
      10.2.2  典型攻击日志举例
      10.2.3  Snort探针部署
      10.2.4  日志分析工具
    10.3  Snort 规则详解
      10.3.1  Snort 规则分析
      10.3.2  编写Snort规则
  10.4  基于OSSIM平台的WIDS系统
    10.4.1  安装无线网卡
    10.4.2  设置OSSIM无线传感器
  10.5  案例研究十七：IDS系统遭遇IP碎片攻击
  事件背景
  故障处理
  数据包解码
  疑难问题
  问题解答
  防范策略
  Snort与Iptables联动
  测试效果
  IP碎片攻击的预防措施
  评估NIDS工具
  IDS系统与网络嗅探器的区别
  总结
  10.6  案例十八：智取不速之客
  事件背景
  互动问答
  取证分析
  疑难解答
  预防措施
  案例启示
第11章  WLAN案例分析
  11.1  WLAN安全漏洞与威胁
    11.1.1  WLAN主要安全漏洞
    11.1.2  WLAN面对的安全威胁
  11.2  案例十九：无线网遭受的攻击
  事件背景
  AP的日志
  寻找非法AP接入点
  互动问答
  将几段事件还原
  疑点解析
  预防措施
    11.2.1  WIFI上网日志的收集
    11.2.2  用开源NAC阻止非法网络访问
    11.2.3  企业中BYOD的隐患
  11.3  案例二十：无线会场的“不速之客”
  事件背景

  取证分析
第12章  数据加密与解密案例
  12.1  GPG概述
    12.1.1  创建密钥
    12.1.2  导入和签订密钥
    12.1.3  加密和解密
    12.1.4  签订和验证
  12.2  案例二十一：“神秘”的加密指纹
  事件背景
  疑难问题
  案情解码
  中间人攻击
  MITM通常采用的手段
  一种ARP欺骗的预防措施
  分析攻击过程
  答疑解惑
  预防措施
第三篇  网络流量与日志监控
第13章  网络流量监控
  13.1  网络监听关键技术
    13.1.1  网络监听
    13.1.2  SNMP协议的不足
    13.1.3  监听关键技术
    13.1.4  NetFlow与sFlow的区别
    13.1.5  协议和应用识别
    13.1.6  网络数据流采集技术
    13.1.7  SPAN的局限
  13.2  用Netflow分析网络异常流量
    13.2.1  NetFlow的Cache管理
    13.2.2  NetFlow的输出格式
    13.2.3  NetFlow的抽样机制
    13.2.4  NetFlow的性能影响
    13.2.5  NetFlow在蠕虫病毒监测中的应用
  13.3  VMware ESXi服务器监控
  13.4  应用层数据包解码
    13.4.1  概述
    13.4.2  系统架构
    13.4.3  Xplico的数据获取方法
    13.4.4  Xplico部署
    13.4.5  应用Xplico
    13.4.6  深入分析Xplico
  13.5  网络嗅探器的检测及预防
    13.5.1  嗅探器的检测
    13.5.2  网络嗅探的预防
第14章  OSSIM综合应用
  14.1  OSSIM的产生
    14.1.1  概况
    14.1.2  从SIM到OSSIM
    14.1.3  安全信息和事件管理（SIEM）
  14.2  OSSIM架构与原理

    14.2.1  OSSIM架构
    14.2.2  Agent事件类型
    14.2.3  RRD绘图引擎
    14.2.4  OSSIM工作流程分析
  14.3  部署OSSIM
    14.3.1  准备工作
    14.3.2  OSSIM服务器的选择
    14.3.3  分布式OSSIM系统探针布署
    14.3.4  OSSIM 系统安装步骤
  14.4  OSSIM安装后续工作
    14.4.1  时间同步问题
    14.4.2  系统升级
    14.4.3  防火墙设置
    14.4.4  访问数据库
    14.4.5  OSSIM数据库分析工具
    14.4.6  同步OpenVAS插件
    14.4.7  安装远程管理工具
    14.4.8  安装X-Windows
  14.5  使用OSSIM系统
    14.5.1  熟悉主界面
    14.5.2  SIEM事件控制台
  14.6  风险评估方法
    14.6.1  风险评估三要素
    14.6.2  OSSIM系统风险度量
  14.7  OSSIM关联分析技术
    14.7.1  关联分析
    14.7.2  OSSIM的通用关联检测规则
  14.8  OSSIM日志管理平台
    14.8.1  OSSIM日志处理流程
    14.8.2  Snare
    14.8.3  通过WMI收集Windows日志
    14.8.4  配置OSSIM
    14.8.5  Snare与WMI的区别
  14.9  OSSIM系统中的IDS应用
    14.9.1  HIDS/NIDS
    14.9.2  OSSEC HIDS Agent安装
    14.9.3  在ESXi中安装OSSEC
    14.9.4  OSSEC代理监控的局限
  14.10  OSSIM流量监控工具应用
    14.10.1  流量过滤
    14.10.2  Ntop监控
    14.10.3  流量分析
    14.10.4  Ntop故障排除
    14.10.5  网络天气图
    14.10.6  设置Netflow
    14.10.7  Nagios监视
    14.10.8  与第三方监控软件集成
  14.11  OSSIM应用资产管理
    14.11.1  OCS Inventory NG 架构
    14.11.2  OCS安装与使用

  14.12  OSSIM在蠕虫预防中的应用
  14.13  监测shellcode
  14.14  OSSIM在漏洞扫描中的应用
    14.14.1  漏洞评估方法
    14.14.2  漏洞库
    14.14.3  采用OpenVAS扫描
    14.14.4  分布式漏洞扫描
    14.14.5  Metasploit的渗透测试
    14.14.6  在Metasploit中加载Nessus
  14.15  常见OSSIM应用问答

内容大纲

作者介绍

目录

同类热销排行榜

推荐书目