? 利用Ettercap来构建和发动欺骗攻击 ? 使用模糊器来诱发错误条件并使软件崩溃 ? 利用高级逆向工程技术对Windows和Linux上的软件发起漏洞攻击 ? 绕过Windows访问控制和内存保护方案 ? 利用Padding Oracle Attack攻击Web应用程序 ? 研究*近0-day漏洞中使用的 释放后重用 技术 ? 使用高级XSS攻击来劫持Web浏览器 ? 理解勒索软件及其如何控制桌面 ? 使用JEB 和DAD反编译器来剖析Android恶意软件 ? 通过二进制比较来查找1-day漏洞 ? 使用软件无线电(SDR)攻击无线系统 ? 攻击物联网设备 ? 剖析和攻击嵌入式设备 ? 了解漏洞赏金计划 ? 部署下一代蜜罐 ? 剖析ATM恶意软件和常见的ATM攻击 ? 从业务角度分析道德黑客攻击
本书从密码基础知识的讲解开始,对商用密码相关政策法规、标准和典型产品进行了详细介绍, 并给出了商用密码应用安全性评估的实施要点以及具体案例,用以指导测评人员正确开展密码应用安 全性评估工作,促进商用密码正确、合规、有效的应用。本书共 5 章,内容包括:密码基础知识,商用密码应用与安全性评估政策法规,商用密码标准与产品应用,密码应用与安全性评估实施要点,以及商用密码应用安全性评估案例。
当你的组织被网络犯罪分子盯上时,你需要做好反击准备。调查安全攻击事件通常是组织自己的责任,因此,开发一个能够帮助你追踪犯罪分子的强大工具包是必不可少的。 本书提供了多种经验证的技术来分析非法网络流量的来源,从公开可用的网络资源中获取情报,追踪那些对你的组织造成威胁的网络罪犯。本书通过易于理解的示例,为调查网络安全事件提供了重要指导。哪怕只有一个IP地址,你也可以开启一次调查之旅,挖掘用来加强防御、协同执法部门甚至将黑客绳之以法的必要信息。本书可以让我们了解到Vinny Troia(作者)在调查网络恐怖组织 黑暗霸主 成员过程中使用的独特方法和实用技术。除了展现作者的专业知识,本书还引入了其他行业专家的智慧(包括Alex Heid, Bob Diachenko, Cat Murdoch, Chris Hadnagy, Chris Roberts, John Strand, Jonathan Cran, Leslie Carhart, Nick Furneux, R
近年来,随着互联网的发展,我国进一步加强对网络安全的治理,国家陆续出台相关法律法规和安全保护条例,明确以保障关键信息基础设施为目标,构建整体、主动、精准、动态防御的网络安全体系。 本套书以九维彩虹模型为核心要素,分别从网络安全运营(白队)、网络安全体系架构(黄队)、蓝队"技战术 (蓝队)、红队"武器库 (红队)、网络安全应急取证技术(青队)、网络安全人才培养(橙队)、紫队视角下的攻防演练(紫队)、时变之应与安全开发(绿队)、威胁情报驱动企业网络防御(暗队)九个方面,全面讲解企业安全体系建设,解密彩虹团队非凡实战能力。
● 本书首先介绍AI与AI安全的发展起源、世界主要经济体的AI发展战略规划,给出AI安全技术发展脉络和框架,并从AI安全实战出发,重点围绕对抗样本、数据投毒、模型后门等攻击技术进行案例剖析和技术讲解;然后对预训练模型中的风险和防御、AI数据隐私窃取攻击技术、AI应用失控的风险和防御进行详细分析,并佐以实战案例和数据;后对AI安全的未来发展进行展望,探讨AI安全的风险、机遇、发展理念和产业构想。 ● 本书适合AI和AI安全领域的研究人员、管理人员,以及需要实战案例辅助学习的广大爱好者阅读。
本系列图书基于华为公司工程创新、技术创新的成果以及在全球范围内丰富的商用交付 经验,介绍新一代网络技术的发展热点和相关的网络部署方案。 本书以云数据中心网络面临的业务挑战为切入点,详细介绍了云数据中心网络的架构设 计和技术实现,并提供了部署建议。首先,本书介绍了数据中心网络的整体架构及技术演进,帮助读者了解数据中心网络的发展历程。随后,本书介绍了云数据中心网络的设计与实现,内容包含单数据中心的业务模型、数据中心物理网络和逻辑网络的构建,多数据中心网络的构建以及数据中心的安全方案。本书还对数据中心网络的开放性和当前的一些热点前瞻技术进行了讲解和展望。本书的第2版增加云数据中心网络智能运维和智能无损数据中心网络方面的内容,还介绍了与新时代超融合数据中心网络的相关内容。 本书可以为构
本书是上一版畅销书的全新修订版,涵盖了新的安全威胁和防御机制,包括云安全态势管理的概述和对当前威胁形势的评估,另外还重点介绍了新的物联网威胁和加密相关内容。为保持应对外部威胁的安全态势并设计强大的网络安全计划,组织需要了解网络安全的基本知识。本书将介绍在侦察和追踪用户身份方面使用新技术实施网络安全的实践经验,这将使你能够发现系统是如何受到危害的。本书也重点介绍了强化系统安全性的防御策略。你将了解包括Azure Sentinel在内的深度工具以确保在每个网络层中都有安全控制,以及如何执行受损系统的恢复过程。
防御更复杂攻击的尖端网络安全解决方案 《网络安全设计权威指南》介绍如何在预算范围内按时设计和部署高度安全的系统,并列举综合性示例、目标和上佳实践。 本书列出恒久有效的工程原理,包括: 定义网络安全问题的基本性质和范围。 从基本视角思考攻击、故障以及攻击者的心态。 开发和实施基于系统、可缓解风险的解决方案。 遵循可靠的网络安全原理,设计有效的架构并制定评估策略,全面统筹应对整个复杂的攻击空间。
本书主要介绍计算机取证的相关概念和实践,目的是帮助读者通过完成各种实践练习,获得收集和保存数字证据的实践经验。本书共21章,每一章都集中于一个特定的取证主题,且由两个部分组成:背景知识和实践练习。本书以经验为导向,包含了20个以探究为基础的实践练习,以帮助读者更好地理解数字取证概念和学习数字取证调查技术。 本书适用于正在学习数字取证相关课程或从事数字取证研究的本科生和研究生。它还适用于数字取证从业者、IT安全分析师、IT安全行业的安全工程师,特别是负责数字调查和事件处理的IT专业人士或在这些相关领域工作的研究人员。
本书是帮助网络工程师学习数字取证的技术参考指南,该书内容帮助读者了解网络犯罪和当今攻击的现实;建立一个数字取证实验室来测试工具和方法,并获得专业知识;发现漏洞时可以采取正确的应对方案;确定调查的全部范围和收集、记录和保存证据和数据;从PC、Mac、IoT设备和其他端点收集和分析数据;使用数据包日志、NetFlow和扫描来构建时间线、了解网络活动并收集证据;分析iOS和Android设备,了解与加密相关的调查障碍;调查和追踪电子邮件,识别欺诈或滥用;使用Cisco工具和技术收集、提取和分析漏洞数据;从头到尾仔细检查常见的违规行为和应对措施;为每项任务选择正确的工具,并探索可能也有帮助的替代方法。
本书可以学到如何有效测试系统组件,包括:公共服务,如SSH、FTP、Kerberos、SNMP和LDAP。微软公司服务,包括NetBIOS、SMB、RPC和RDP。 SMTP、POP3和IMAP电子邮件服务。提供安全网络访问的IPsec和PPTP服务。提供运输安全的TLS协议和功能。网络服务器软件,包括微软公司的IIS、Apache和Nginx。框架,包括Rails、Django、微软ASP.NET和PHP。数据库服务器、存储协议和键值对存储。
本书以软件逆向为切入点,讲述了软件安全领域相关的基础知识和技能。读者阅读本书后,很容易就能在逆向分析、漏洞分析、安全编程、病毒分析等领域进行扩展。这些知识点的相互关联,将促使读者开阔思路,融会贯通,领悟更多的学习方法,提升自身的学习能力。本书适合安全技术相关工作者、对逆向调试技术感兴趣的人、对软件保护感兴趣的软件开发人员、相关专业在校学生及关注个人信息安全、计算机安全技术并想了解技术内幕的读者阅读。
本书从体系思想和复杂系统视角出发,论述网络空间安全体系能力生成、度量及评估理论与方法,内容主要包括:面向体系能力的网络空间安全认识论与方法论;网络空间安全体系能力生成、度量及评估知识工程体系;复杂信息系统安全体系能力需求与能力生成机理;网络空间安全风险分析及安全态势演化;安全体系能力度量框架与指标体系模型;安全参数采集、安全体系能力分析与评估等。本书是作者长期从事网络空间安全体系能力生成、度量及评估理论与方法研究成果的高度凝练和系统总结,同时参考了国内外该领域的**研究成果,力求反映**理论、观点和技术方法。
现已更新 面向21世纪的信息安全指南 信息安全是一个快速发展的领域。着眼于富时代感的安全议题,涵盖涉及宽泛的一系列新鲜信息,这本经过充分更新和全面修订的《信息安全原理与实践(第2版)》为读者提供了解决任何信息安全难题所的知识和技能。 主要内容 通过聚焦于现实世界中的生动实例,并采用一种面向实践的信息安全讲述方法,这本书围绕如下4个重要主题进行组织并展开: 密码学技术:包括经典密码系统、对称密钥加密技术、公开密钥加密技术、哈希函数、随机数技术、信息隐藏技术以及密码分析技术等。 访问控制:包括身份认证和授权、基于口令的安全、访问控制列表和访问能力列表、多级安全性和分隔项技术、隐藏通道和接口控制、诸如BLP和Biba之类的安全模型、防火墙以及入侵检测系统等。 协议:包括简单身份认证协议、会话密钥、完全
本书详细解读《信息安全技术 网络安全等级保护基本要求》(GB/T 22239—2019)中的安全通用要求部分,包括网络安全等级保护基本概念、网络安全等级保护基本要求总体介绍、级至第四级安全通用要求应用解读及网络安全整体解决方案。本书可供网络安全等级测评机构、等级保护对象的运营使用单位及主管部门开展网络安全等级保护测评工作使用,也可以作为高等院校信息安全、网络空间安全相关专业的教材。
《公钥加密理论》系统总结了典型的公钥加密方案和构造方法,从构建抗适应性选择密文攻击公钥加密方法的角度,分类介绍了标准模型下基于判定性和计算假设下的安全方案,*应答器模型下从语义安全的方案到选择密文攻击下安全的典型方案转化方法,从身份加密、标签加密和广播加密到适应性选择密文攻击下安全方案转换方法,包含了迄今为止几乎所有抗适应性选择密文攻击的理论构造方法和格理论下典型的加密方案。书中介绍的实验序列、混合论证的方法和技术已经成为可证明安全密码学的基础。书中的论证全部采用实验序列的方式给出,有些是首次出现,方便读者理解和掌握。本书同时介绍了目前学术界关注的部分公开研究问题。 《公钥加密理论》可以作为信息安全专业研究人员的参考资料,为希望从事密码学和信息安全专业研究的本科高年级学生
过去,入侵检测能力的度量是个公认的行业难题,各个企业得安全负责人每年在入侵防护上都投入大量费用,但几乎没有人能回答CEO 的问题:"买了这么多产品,我们的入侵防御和检测能力到底怎么样,能不能防住黑客? 。这个问题很难回答,核心原因是缺乏一个明确的、可衡量、可落地的标准。所以,防守方对于入侵检测通常会陷入不可知和不确定的状态中,既说不清自己的能力高低,也无法有效弥补自己的短板。 Mitre ATT&CK 的出现解决了这个行业难题。它给了我们一把尺子,让我们可以用统一的标准去衡量自己的防御和检测能力。ATT&CK并非一个学院派的理论框架,而是来源于实战。安全从业者们在长期的攻防对抗,攻击溯源,攻击手法分析的过程中,逐渐提炼总结,形成了实用性强、可落地、说得清道得明的体系框架。这个框架是先进的、充满生命力的,而
本书是网络安全研究国际学术论坛(InForSec)近年组织的一部分学术报告的汇编,主要介绍网络和系统安全领域华人学者在国际学术领域优秀的研究成果,内容覆盖创新研究方法及伦理问题、软件与系统安全、基于模糊测试的漏洞挖掘、网络安全和物联网安全等方向。
在传统的网络安全架构中,网络边界是网络攻防的前线。防火墙、IPS、Anti-DDoS、安全沙箱等网络安全产品在网络安全防御活动中扮演着重要的角色。本书以 HCIP-Security和 HCIE-Security 认证考试大纲为依托,介绍常见的网络安全防御技术,包括用户管理、加密流量检测、内容过滤、入侵防御、反病毒、DDoS 攻击防范和安全沙箱。通过介绍技术的产生背景、实现原理和配置方法,帮助读者掌握网络安全防御技术与实践。 本书是学习和了解网络安全防御技术的实用指南,内容全面、通俗易懂、实用性强,适合网络规划工程师、网络技术支持工程师、网络管理员以及网络安全相关专业的师生阅读。
本书旨在引导读者掌握在不同环境下确保API安全所需的技术。首先介绍基本的安全编码技术,之后深入研究身份认证和授权技术。全书共5部分,13章,其中:第1部分介绍了API安全的基本原理,是本书其余内容的基础;第2部分更详细地介绍RESTful API的身份验证机制;第3部分介绍了授权(authorization)相关的内容;第4部分深入探讨了如何确保运行在Kubernetes环境下的微服务API的安全性;第5部分介绍物联网(IoT)中的API。这类API的安全尤其有挑战性,因为物联网设备的能力往往很有限,并且会遭遇到各种各样的威胁。对于构建Web程序有一定经验的开发人员来讲,本书可以提高他们对API安全技术和zui佳实践的了解,也有助于技术架构师紧跟zui新API安全方法技术更新的步伐。
使用传感器来收集网络、服务、主机和主动领域中的数据。 使用 SiLK 工具集、Python 编程语言,以及其他一些工具与技术,来操作你所收集的数据。 通过探索性的数据分析(EDA),并辅以可视化技术与数学技术来探测网络中的反常情况。 分析文本数据,获知流量所表示的行为,以及检测通信过程中的错误。 把网络建模成图,以便通过分析该图来了解网络中比较重要的结构。 检查与内部威胁有关的数据,获取威胁情报。 通过网络映射工作来编制网络资源目录,并确定其中较为重要的主机。 与运维人员协作以制定有效的防御及分析技术。
本书内容易于理解,可以让读者循序渐进、系统性地学习iOS安全技术。全书共16章,知识点覆盖iOS 8到iOS 14。书中首先细致地介绍了越狱环境的开发与逆向相关工具,然后依次讲解了汇编基础、动态调用、静态分析、注入与hook、文件格式,后为大家呈现了应用破解与应用保护、隐私获取与取证、刷量与作弊、设备ID、写壳内幕等多个主题。
《大数据安全治理与防范 反欺诈体系建设》 随着互联网的蓬勃发展以及大数据时代的到来,新的欺诈安全问题不断涌现,这也诞生了一个新的概念 大数据安全。大数据安全指的是针对大数据时代背景下的安全风险,使用大数据、人工智能等新兴技术建立对抗体系,进而进行安全治理与防范。本书旨在对大数据时代背景下的欺诈安全问题、大数据平台工具、反欺诈对抗技术和系统进行系统的阐释,以帮助读者全面学习大数据安全治理与防范的背景、关键技术和对抗思路,并能够从0到1搭建一个反欺诈对抗系统。 本书作为入门大数据安全对抗的理想读物,将理论与实践相结合,既能加强读者对大数据安全对抗的安全场景和技术原理的理解,又能通过复现反欺诈实战中的内容帮助读者培养业务中的安全对抗能力。无论是大数据、信息安全相关从业人员,还是有志于从
