Майкл Коллинз - Защита сетей. Подход на основе анализа данных

Network Security
Through Data Analysis
Michael Collins

Защита сетей.
Подход на основе
анализа данных
Майкл Коллинз

Москва, 2020

УДК 004.058
ББК 32.973
К60

К60

Майкл Коллинз
Защита сетей. Подход на основе анализа данных / пер. с анг. А.В. Добровольская. – М.: ДМК Пресс, 2020. – 308 с.: ил.
ISBN 978-5-97060-649-0
Эта книга – подробное пошаговое руководство по эффективному использованию доступных инструментов обеспечения безопасности сетей. Её оценят как опытные специа­
листы по безопасности, так и новички.
Подробно рассматриваются процессы сбора и организации данных, инструменты для
их анализа, а также различные аналитические сценарии и методики.
Издание идеально подходит для системных администраторов и специалистов по операционной безопасности, владеющих навыками написания скриптов.

УДК 004.458
ББК 32.973

All rights reserved. This work may not be translated or copied in whole or in part without the
written permission of the author, except for brief excerpts in connection with reviews or scholarly
analysis. Use in connection with any form of information storage and retrieval, electronic adaptation,
or computer software is forbidden
Все права защищены. Любая часть этой книги не может быть воспроизведена в какой
бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав.

ISBN 978­1­449­35790­0 (анг.)
ISBN 978­5­97060­649­0 (рус.)

© 2016 Michael Collins
© Оформление, издание, перевод, ДМК Пресс, 2020

Об авторе
Майкл Коллинз является руководителем исследовательских работ для RedJack,
LLC, компании по сетевой безопасности и анализу данных, расположенной в Вашингтоне, округ Колумбия. До работы в RedJack доктор Колллинз был членом
технического штата в CERT­сети, ситуативная группа осведомленности в университете Карнеги­Меллон. Его основное внимание направлено на инструментарий
сети и анализ трафика, особенно на анализ больших наборов данных трафика.
Коллинз получил степень доктора по электротехнике в университете Карнеги­
Меллон в 2008 г. Он имеет степени магистра и бакалавра этого университета.

Оглавление
Об авторе ..............................................................................................................................5
Предисловие .....................................................................................................................11
Целевая аудитория ...................................................................................................................13
Содержание книги ....................................................................................................................14
Принятые обозначения ............................................................................................................16
Использование примеров кода ................................................................................................ 17
Safari® Books Online (Сафари Букс Онлайн) ........................................................................... 17
Контактная информация .........................................................................................................18
Благодарственное слово ...........................................................................................................18

Предисловие от издательства ................................................................................19
Отзывы и пожелания ................................................................................................................19
Список опечаток .......................................................................................................................19
Нарушение авторских прав......................................................................................................19

ЧАСТЬ I. ДАННЫЕ .......................................................................................................21
Глава 1. Сенсоры и детекторы: введение........................................................23
Область обзора сенсора: зависимость сбора данных от расположения сенсора .................24
Уровни расположения сенсоров: какие данные можно собрать ........................................... 27
Действия сенсора: как сенсор обрабатывает данные ............................................................30
Заключение ...............................................................................................................................32

Глава 2. Сетевые сенсоры ..........................................................................................33
Влияние уровней сети на ее оснащение .................................................................................34
Уровни сети и область обзора сенсоров .............................................................................36
Уровни сети и адресация .....................................................................................................40
Пакетные данные .....................................................................................................................41
Форматы пакетов и фреймов ..............................................................................................42
Циклический (кольцевой) буфер ........................................................................................42
Лимитирование захваченных пакетных данных ..............................................................42
Фильтрация специфических типов пакетов .....................................................................43
Если вы не используете Ethernet.........................................................................................46
NetFlow --">