Mark Ryan M. Talabis 担任Zvelo Inc.公司的首席安全威胁科学家，《信息安全风险评估工具包：通过Syngress的数据收集和数据分析进行实用评估》一书的合著者。

Robert McPherson 领导“美国财富100强”保险和金融服务公司的数据科学家团队。作为研究和分析团队的带领者，他拥有14年的领导经验（专门从事预测建模，仿真，计量经济分析和应用统计的工作）。

I. Miyamoto 担任政府机构的计算机调查员，拥有超过16年的计算机调查和取证经验，以及12年的情报分析经验。

Jason L. Martin  高级威胁检测技术领域的全球领导者FireEye Inc.公司的云业务副总裁，Shakacon安全大会的联合创始人，《信息安全风险评估工具包：通过Syngress的数据收集和数据分析进行实用评估》一书的合著者。

　　第3章分析学和应急响应
　　本章指南：
　　■ 入侵和应急响应识别中的场景和挑战
　　■ 文本挖掘的使用和异常值检测
　　■ 案例学习： 循序渐进地指导如何利用统计编程工具发现入侵和事故（案例学习将围绕使用Hadoop和R进行服务器日志调查）
　　■ 其他适用的安全范畴和场景
　　 导言
　　随着广泛公布的数据泄露事件越来越多地出现在新闻中，服务器安全成为最重要的问题。发生数据泄露以后，需要对服务器日志进行取证分析以便识别漏洞、执行损害评估、制定缓解措施和收集证据。然而随着网络流量的增长，布置在数据中心的Web服务器数量也日益增加，通常会产生巨量的服务器日志数据，而且这些数据很难用传统的非并行的方法进行分析。
　　通过使用Hadoop、MapReduce和Hive软件栈，你可以同时分析处理非常庞大的服务器日志集。Hadoop联合MapReduce一起提供了分布式文件结构和并行处理框架，而Hive使用类似SQL的语法提供查询和分析数据的能力。R则为你提供了适用于中等规模数据集的基本分析工具，或使用Hadoop和MapReduce将大数据聚合或缩小到更易于管理的数据规模大小。
　　有很多商业化的软件工具可帮助查询日志文件数据。其中一些如Splunk也能够处理大数据。然而在本章中我们聚焦的示例都是基于开源并且提供免费可用工具的分析平台。通过编写自己的脚本你可以根据自身情况完全定制分析程序，也能够构建可重复的处理过程。像R这样的开源工具提供了成千上万可选分析软件包，甚至还包括了其他商业化软件工具包可能还无法提供的非常复杂和前沿的方法。
　　商业版的工具会相当昂贵，并非所有组织和部门都有足够预算负担得起它们。如果有机会使用商业版的工具，你就应该通过各种方式去充分利用它们。商业版的工具能极其快速地探索你的数据，并且使用的图形用户界面也让它们看起来物有所值。虽然脚本方式对于重复性的任务来说是个很不错的选择，而且当需要回溯步骤或对新数据重新运行分析时，脚本方式也有非常大的优势，但它们确实需要花费一些时间和精力去编写。因此脚本方式很难击败一个刚开始就能够快速搜索数据的好用的图形界面。
　　考虑到商业版的工具和开源工具各有其优势，它们应被视为相互补充而不是互相竞争的技术。如果能够负担得起费用，为什么不能两者兼用？一旦学会了如何使用开源工具进行分析，例如Hadoop、MapReduce、R和Mahout，你就拥有了非常坚实的基础，进而能够理解任何平台上的分析过程了。这也将有助于你学习包括商业版工具在内的其他各类工具。
　　我们将在本章中探讨利用分析方法来发现场景和案例中的潜在安全漏洞。本节中的方法并非是竭尽所能涵盖的详尽目录。相反，我们希望它们能够帮助你开发一些属于你自己的创意和方法。
　　 入侵和应急响应识别中的场景和挑战
　　在入侵企图识别中最大的挑战也许是“我们不知道我们不知道什么”。发现不了解的未知事件是一件很困难的任务，即我们不能预见可以绕过现有防御措施的新攻击模式。用于实时防止入侵的软件程序是必不可少的，但它们也有着明显的缺点。通常它们仅能侦测已知的攻击模式，或者用安全术语来说的“已知攻击向量”。实时入侵检测和预防往往聚焦在已知的未知事件，而不是未知的未知事件。
　　虽然部署实时入侵检测和预防软件必不可少，却远远不够。分析人员需要运用创造性的努力才能发现那些成功绕过现有防御措施的新型攻击。它涉及分析那些从系统收集到的数据，例如来自服务器和网络设备的日志文件以及来自个人计算设备的驱动程序等。
　　本章中我们将重点关注数据分析而不是数据采集。关于怎样采集数据已经有很多不错的文章和在线资源可供参考。既然大多数系统已经收集了关于网络和服务器流量的大量数据，更大的挑战就不是采集数据而是掌握该如何处理数据。无论数据源是由服务器日志组成，还是来自诸如Wireshark这类软件收集的网络数据，又或是一些其他来源，对其分析的方法通常都是相同的。例如，无论数据源如何，异常值检测方法在任何情况下都非常有用。
　　利用大数据分析服务器日志集
　　本节中我们将检验用大数据技术如何同时分析多个服务器日志。
　　……

目录
第1章分析学定义
安全分析学导论
分析学相关概念和技术
安全分析的数据
日常生活中的分析学
安全分析流程
延伸阅读
第2章分析软件和工具入门
导言
统计编程
数据库和大数据技术入门
R语言简介
Python简介
仿真软件简介
延伸阅读
第3章分析学和应急响应
导言
入侵和应急响应识别中的场景和挑战
日志文件分析
加载数据
其他潜在分析数据集：无栈状态编码
其他适用安全范畴和场景
综述
延伸阅读
第4章仿真和安全进程
仿真
案例学习
第5章访问分析
导言
技术入门
场景、分析和技术
案例学习
第6章安全和文本挖掘
文本挖掘安全分析中的场景和挑战
使用文本挖掘技术分析和查找非结构化数据中的模式
R语言中分步实现文本挖掘的示例
其他适用的安全领域和场景
第7章安全情报以及后续措施
概述
安全情报
安全漏洞
实际应用
结束语