数据驱动的网络分析pdf电子书版本下载

点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
下载压缩包 [复制下载地址] 温馨提示：（请使用BT下载软件FDM进行下载）软件下载地址页

数据驱动的网络分析PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台）。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如 BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用！后期资源热门了。安装了迅雷也可以迅雷进行下载！

（文件页数 要大于 标注页数，上中下等多册电子书除外）

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1部分 数据 3

第1章 传感器和探测器简介 3

1.1 观察点：传感器的位置对数据采集的影响 4

1.2 领域：确定可以采集的数据 7

1.3 操作：传感器对数据所做的处理 10

1.4 小结 12

第2章 网络传感器 13

2.1 网络分层及其对测量的影响 14

2.1.1 网络层次和观察点 16

2.1.2 网络层次和编址 19

2.2 封包数据 20

2.2.1 封包和帧格式 21

2.2.2 滚动缓存 21

2.2.3 限制每个封包中捕捉的数据 21

2.2.4 过滤特定类型封包 21

2.2.5 如果不是以太网怎么办 25

2.3 NetFlow 26

2.3.1 NetFlow v5格式和字段 26

2.3.2 NetFlow生成和采集 28

第3章 主机和服务传感器：在源上的流量日志 29

3.1 访问和操纵日志文件 30

3.2 日志文件的内容 32

3.2.1 优秀日志消息的特性 32

3.2.2 现有日志文件以及处理方法 34

3.3 有代表性的日志文件格式 36

3.3.1 HTTP:CLF和ELF 36

3.3.2 SMTP 39

3.3.3 Microsoft Exchange：邮件跟踪日志 41

3.4 日志文件传输：转移、Syslog和消息队列 43

3.4.1 转移和日志文件留存 43

3.4.2 syslog 43

第4章 用于分析的数据存储：关系数据库、大数据和其他选项 46

4.1 日志数据和CRUD范式 47

4.2 NoSQL系统简介 49

4.3 使用何种存储方法 52

第2部分 工具 56

第5章 SiLK套件 56

5.1 SiLK的概念和工作原理 56

5.2 获取和安装SiLK 57

5.3 选择和格式化输出字段操作：rwcut 58

5.4 基本字段操纵：rwfilter 63

5.4.1 端口和协议 63

5.4.2 大小 65

5.4.3 IP地址 65

5.4.4 时间 66

5.4.5 TCP选项 67

5.4.6 助手选项 68

5.4.7 杂项过滤选项和一些技巧 69

5.5 rwfileinfo及出处 69

5.6 合并信息流：rwcount 72

5.7 rwset和IP集 74

5.8 rwuniq 77

5.9 rwbag 79

5.10 SiLK高级机制 79

5.11 采集SiLK数据 81

5.11.1 YAF 81

5.11.2 rwptoflow 83

5.11.3 rwtuc 84

第6章 R安全分析简介 86

6.1 安装与设置 86

6.2 R语言基础知识 87

6.2.1 R提示符 87

6.2.2 R变量 88

6.2.3 编写函数 93

6.2.4 条件与循环 95

6.3 使用R工作区 97

6.4 数据帧 98

6.5 可视化 101

6.5.1 可视化命令 101

6.5.2 可视化参数 101

6.5.3 可视化注解 103

6.5.4 导出可视化 104

6.6 分析：统计假设检验 104

6.6.1 假设检验 105

6.6.2 检验数据 107

第7章 分类和事件工具：IDS、AV和SEM 110

7.1 IDS的工作原理 110

7.1.1 基本词汇 111

7.1.2 分类器失效率：理解“基率谬误” 114

7.1.3 应用分类 116

7.2 提高IDS性能 117

7.2.1 改进IDS检测 118

7.2.2 改进IDS响应 122

7.2.3 预取数据 122

第8章 参考和查找：了解“某人是谁”的工具 124

8.1 MAC和硬件地址 124

8.2 IP编址 126

8.2.1 IPv4地址、结构和重要地址 126

8.2.2 IPv6地址、结构和重要地址 128

8.2.3 检查连接性：使用ping连接到某个地址 129

8.2.4 路由跟踪 131

8.2.5 IP信息：地理位置和人口统计学特征 132

8.3 DNS 133

8.3.1 DNS名称结构 133

8.3.2 用dig转发DNS查询 134

8.3.3 DNS反向查找 142

8.3.4 使用whois查找所有者 143

8.4 其他参考工具 146

第9章 其他工具 148

9.1 可视化 148

9.2 通信和探查 151

9.2.1 netcat 151

9.2.2 nmap 153

9.2.3 Scapy 154

9.3 封包检查和参考 157

9.3.1 Wireshark 157

9.3.2 GeoIP 157

9.3.3 NVD、恶意软件网站和C*E 158

9.3.4 搜索引擎、邮件列表和人 160

第3部分 分析 162

第10章 探索性数据分析和可视化 162

10.1 EDA的目标：应用分析 163

10.2 EDA工作流程 165

10.3 变量和可视化 166

10.4 单变量可视化：直方图、QQ图、箱线图和等级图 167

10.3.1 直方图 167

10.3.2 柱状图（不是饼图） 169

10.3.3 分位数-分位数（Quantile-Quantile,QQ）图 170

10.3.4 五数概括法和箱线图 172

10.3.5 生成箱线图 173

10.5 双变量描述 175

10.5.1 散点图 175

10.5.2 列联表 177

10.6 多变量可视化 177

第11章 摸索 185

11.1 攻击模式 185

11.2 摸索：错误的配置、自动化和扫描 187

11.2.1 查找失败 187

11.2.2 自动化 188

11.2.3 扫描 188

11.3 识别摸索行为 189

11.3.1 TCP摸索：状态机 189

11.3.2 ICMP消息和摸索 192

11.3.3 识别UDP摸索 193

11.4 服务级摸索 193

11.4.1 HTTP摸索 193

11.4.2 SMTP摸索 195

11.5 摸索分析 195

11.5.1 构建摸索警报 196

11.5.2 摸索行为的取证分析 196

11.5.3 设计一个网络来利用摸索 197

第12章 通信量和时间分析 199

12.1 工作日对网络通信量的影响 199

12.2 信标 201

12.3 文件传输／攫取 204

12.4 局部性 206

12.4.1 DDoS、突发拥塞和资源耗尽 209

12.4.2 DDoS和路由基础架构 210

12.5 应用通信量和局部性分析 214

12.5.1 数据选择 214

12.5.2 将通信量作为警报 216

12.5.3 将信标作为警报 216

12.5.4 将局部性作为警报 217

12.5.5 工程解决方案 217

第13章 图解分析 219

13.1 图的属性：什么是图 219

13.2 标签、权重和路径 222

13.3 分量和连通性 227

13.4 聚类系数 228

13.5 图的分析 229

13.5.1 将分量分析作为警报 229

13.5.2 将集中度分析用于取证 230

13.5.3 广度优先搜索的取证使用 231

13.5.4 将集中度分析用于工程 232

第14章 应用程序识别 234

14.1 应用程序识别机制 234

14.1.1 端口号 234

14.1.2 通过标志抓取识别应用程序 238

14.1.3 通过行为识别应用程序 241

14.1.4 通过附属网站识别应用程序 244

14.2 应用程序标志：识别和分类 245

14.2.1 非Web标志 245

14.2.2 Web客户端标志：User-Agent字符串 246

第15章 网络映射 249

15.1 创建一个初始网络库存清单和映射 249

15.1.1 创建库存清单：数据、覆盖范围和文件 250

15.1.2 第1阶段：前3个问题 251

15.1.3 第2阶段：检查IP空间 254

15.1.4 第3阶段：识别盲目和难以理解的流量 258

15.1.5 第4阶段：识别客户端和服务器 261

15.2 更新库存清单：走向连续审计 263