《网络安全监控：收集、检测和分析》译者序

一直以来，在企业网络安全的攻、防对抗中，防御者都是处于不利位置的。这不仅因为攻、防双方力量对比悬殊，更重要的是，防御方往往需要全面防守，一着不慎则满盘皆输；攻击方只需要单点成功突破，借助内网横向渗透手段，就可以在企业网络环境中肆无忌惮地获取所需资源。另外，“敌在暗，我在明”，防御者往往无法及时发现、分析、处置网络安全事件，只能在安全事件发生后，被动响应，收拾残局。假设防御方能够有效地部署网络安全监控产品，全面地收集网络数据，准确地检测安全威胁，深入地分析调查安全事件出现的原因、就可以及时发现防御工事的脆弱之处，有针对性地调整防御策略。

本书全面地介绍了网络安全监控“收集、检测、分析”各环节的技术要点。对于一些关键步骤，作者结合大量的实战案例，详细地讲解具体操作方法。即使是初学者，也可以在本书的指导之下轻松上手。对于具有一定基础的分析人员，书中提供了大量的实用脚本和公共网络资源，以及作者根据多年实战经验总结出的若干最佳实践。虽然这是一本专业性较强的技术书籍，但作者行文生动活泼、语调轻松诙谐，读起来饶有趣味。

值得一提的是，在本书第12章“使用金丝雀蜜罐进行检测”中，作者介绍了蜜罐文档（Honeydoc）的使用方法，这是一个简便易行的攻击者溯源的技术手段，能够以极低的实施成本，在一定程度上对网络安全事件作出预警，甚至可以辅助定位到攻击者。在2015年度中国互联网安全大会（ISC2015）的“APT与新威胁论坛”中，我曾在相关议题中介绍了作者提出的这种思路。另外，在本书第15章“分析流程”中，作者创造性地将刑侦调查和医学诊断这两套分析模型应用于网络安全事件的分析中。这两个模型的引入，将原本错综复杂的分析方法解释得通俗易懂。

由于译者水平有限，译文中难免存在纰漏，恳请读者批评、指正。读者在阅读本书的过程中，如果对译文有任何意见或建议，或者对书中（尤其是对检测、分析这两部分的内容）提及的技术手段、实现方法有什么想法或思路，欢迎给我发邮件:libaisong@antiy.cn，或通过我的新浪微博“@ 安天李柏松”深入交流。

最后，感谢家人给我的支持，感谢安天的同事们给我的帮助，感谢吴怡编辑和合译者燕宏给我的鼓励。

李柏松

2015年10月25日于哈尔滨