本书按照网络空间安全态势感知的工作过程——提取、理解和预测，介绍了如何通过获取海量数据与事件，直观、动态、全面、细粒度地提取出各类网络攻击行为，并对其进行理解、分析、预测以及可视化，从而实现态势感知。本书有助于帮助安全团队发现传统安全平台和设备未能发现的事件，并将网络上似乎无关的事件关联起来，从而更有效地对安全事件做出响应。

前言
部分基础知识
章开启网络安全态势感知的旅程2
1.1引言2
1.2网络安全简史3
1.2.1计算机网络3
1.2.2恶意代码4
1.2.3漏洞利用6
1.2.4不错持续性威胁7
1.2.5网络安全设施8
1.3网络安全态势感知10
1.3.1为什么需要态势感知10
1.3.2态势感知的定义12
1.3.3网络安全态势感知的定义13
1.3.4网络安全态势感知参考模型14
1.3.5网络安全态势感知的周期17
1.4我国网络安全态势感知政策和发展19
1.4.1我国网络安全态势感知政策19
1.4.2我国网络安全态势感知的曲线发展历程20
1.5国外先进的网络安全态势感知经验21
1.5.1美国网络安全态势感知建设方式21
1.5.2美国网络安全国家战略21
1.5.3可信互联网连接22
1.5.4信息安全持续监控23
1.5.5可借鉴的经验24
1.6网络安全态势感知建设意见24
第2章大数据平台和技术26
2.1引言26
2.2大数据基础27
2.2.1大数据的定义和特点27
2.2.2大数据关键技术28
2.2.3大数据计算模式28
2.3大数据应用场景29
2.4大数据主流平台框架30
2.4.1Hadoop30
2.4.2Spark32
2.4.3Storm33
2.5大数据生态链的网络安全态势感知应用架构34
2.6大数据采集与预处理技术34
2.6.1传感器36
2.6.2网络爬虫37
2.6.3日志收集系统39
2.6.4数据抽取工具40
2.6.5分布式消息队列系统42
2.7大数据存储与管理技术46
2.7.1分布式文件系统46
2.7.2分布式数据库50
2.7.3分布式协调系统53
2.7.4非关系型数据库55
2.7.5资源管理调度57
2.8大数据处理与分析技术64
2.8.1批量数据处理64
2.8.2交互式数据分析67
2.8.3流式计算71
2.8.4图计算74
2.8.5不错数据查询语言Pig75
2.9大数据可视化技术76
2.9.1大数据可视化含义76
2.9.2基本统计图表76
2.9.3大数据可视化分类77
2.9.4不错分析工具77
2.10国外先进的大数据实践经验78
2.10.1大数据平台78
2.10.2网络分析态势感知能力79
第二部分态势提取
第3章网络安全数据范围82
3.1引言82
3.2完整内容数据82
3.3提取内容数据85
3.4会话数据86
3.5统计数据88
3.6元数据90
3.7日志数据93
3.8告警数据98
第4章网络安全数据采集100
4.1引言100
4.2制定数据采集计划100
4.3主动式采集102
4.3.1通过SNMP采集数据102
4.3.2通过Telnet采集数据103
4.3.3通过SSH采集数据103
4.3.4通过WMI采集数据104
4.3.5通过多种文件传输协议采集数据104
4.3.6利用JDBC/ODBC采集数据库信息105
4.3.7通过代理和插件采集数据106
4.3.8通过漏洞和端口扫描采集数据107
4.3.9通过“蜜罐”和“蜜网”采集数据107
4.4被动式采集108
4.4.1通过有线和无线采集数据108
4.4.2通过集线器和交换机采集数据110
4.4.3通过Syslog采集数据112
4.4.4通过SNMPTrap采集数据112
4.4.5通过NetFlow/IPFIX/sFlow采集流数据113
4.4.6通过WebService/MQ采集数据114
4.4.7通过DPI/DFI采集和检测数据115
4.5数据采集工具116
4.6采集点部署117
4.6.1需考虑的因素117
4.6.2关注网络出入口点118
4.6.3掌握IP地址分布118
4.6.4靠近关键资产119
4.6.5创建采集全景视图119
第5章网络安全数据预处理121
5.1引言121
5.2数据预处理的主要内容121
5.2.1数据审核121
5.2.2数据筛选122
5.2.3数据排序122
5.3数据预处理方法123
5.4数据清洗123
5.4.1不完整数据124
5.4.2不一致数据124
5.4.3噪声数据124
5.4.4数据清洗过程125
5.4.5数据清洗工具126
5.5数据集成126
5.5.1数据集成的难点126
5.5.2数据集成类型层次127
5.5.3数据集成方法模式128
5.6数据归约129
5.6.1特征归约130
5.6.2维归约130
5.6.3样本归约131
5.6.4数量归约131
5.6.5数据压缩132
5.7数据变换132
5.7.1数据变换策略133
5.7.2数据变换处理内容133
5.7.3数据变换方法133
5.8数据融合135
5.8.1数据融合与态势感知135
5.8.2数据融合的层次分类136
5.8.3数据融合相关算法137
第三部分态势理解
第6章网络安全检测与分析142
6.1引言142
6.2入侵检测143
6.2.1入侵检测通用模型143
6.2.2入侵检测系统分类144
6.2.3入侵检测的分析方法146
6.2.4入侵检测技术的现状和发展趋势151
6.3入侵防御152
6.3.1入侵防御产生的原因152
6.3.2入侵防御的工作原理153
6.3.3入侵防御系统的类型154
6.3.4入侵防御与入侵检测的区别155
6.4入侵容忍156
6.4.1入侵容忍的产生背景156
6.4.2入侵容忍的实现方法156
6.4.3入侵容忍技术分类157
6.4.4入侵容忍与入侵检测的区别157
6.5安全分析158
6.5.1安全分析流程158
6.5.2数据包分析160
6.5.3计算机/网络取证163
6.5.4恶意软件分析164
第7章网络安全态势指标构建167
7.1引言167
7.2态势指标属性的分类168
7.2.1定性指标168
7.2.2定量指标169
7.3网络安全态势指标的提取169
7.3.1指标提取原则和过程170
7.3.2网络安全属性的分析172
7.3.3网络安全态势指标选取示例178
7.4网络安全态势指标体系的构建179
7.4.1指标体系的构建原则179
7.4.2基础运行维指标179
7.4.3脆弱维指标180
7.4.4风险维指标181
7.4.5威胁维指标182
7.4.6综合指标体系和指数划分183
7.5指标的合理性检验184
7.6指标的标准化处理185
7.6.1定量指标的标准化186
7.6.2定性指标的标准化188
第8章网络安全态势评估189
8.1引言189
8.2网络安全态势评估的内涵190
8.3网络安全态势评估的基本内容190
8.4网络安全态势指数计算基本理论192
8.4.1排序归一法192
8.4.2层次分析法193
8.5网络安全态势评估方法分类194
8.6网络安全态势评估常用的融合方法196
8.6.1基于逻辑关系的融合评价方法196
8.6.2基于数学模型的融合评价方法197
8.6.3基于概率统计的融合评价方法204
8.6.4基于规则推理的融合评价方法207
第9章网络安全态势可视化212
9.1引言212
9.2数据可视化基本理论213
9.2.1数据可视化一般流程213
9.2.2可视化设计原则与步骤214
9.3什么是网络安全态势可视化216
9.4网络安全态势可视化形式217
9.4.1层次化数据的可视化217
9.4.2网络数据的可视化217
9.4.3可视化系统交互219
9.4.4安全仪表盘220
9.5网络安全态势可视化的前景221
第四部分态势预测
0章典型的网络安全态势预测方法224
10.1引言224
10.2灰色理论预测225
10.2.1灰色系统理论的产生及发展225
10.2.2灰色理论建立依据226
10.2.3灰色预测及其类型226
10.2.4灰色预测模型227
10.3时间序列预测234
10.3.1时间序列分析的基本特征235
10.3.2时间序列及其类型235
10.3.3时间序列预测的步骤236
10.3.4时间序列分析方法238
10.4回归分析预测240
10.4.1回归分析的定义和思路241
10.4.2回归模型的种类241
10.4.3回归分析预测的步骤242
10.4.4回归分析预测方法242
10.5总结245
1章网络安全态势智能预测246
11.1引言246
11.2神经网络预测247
11.2.1人工神经网络概述247
11.2.2神经网络的学习方法248
11.2.3神经网络预测模型类型249
11.2.4BP神经网络结构和学习原理252
11.3支持向量机预测254
11.3.1支持向量机方法的基本思想254
11.3.2支持向量机的特点255
11.3.3支持向量回归机的分类257
11.3.4支持向量机核函数的选取260
11.4人工免疫预测261
11.4.1人工免疫系统概述262
11.4.2人工免疫模型相关机理262
11.4.3人工免疫相关算法264
11.5复合式攻击预测267
11.5.1基于攻击行为因果关系的复合式攻击预测方法268
11.5.2基于贝叶斯博弈理论的复合式攻击预测方法269
11.5.3基于CTPN的复合式攻击预测方法270
11.5.4基于意图的复合式攻击预测方法272
2章其他274
12.1引言274
12.2网络安全人员274
12.2.1网络安全人员范围274
12.2.2需要具备的技能275
12.2.3能力级别分类277
12.2.4安全团队建设278
12.3威胁情报分析279
12.3.1网络威胁情报279
12.3.2威胁情报来源280
12.3.3威胁情报管理281
12.3.4威胁情报共享282
参考文献283