這是當今最好的蜜罐技術參考資料，從低交互蜜罐，到僵尸網絡，再到惡意軟件，Niels Provos和Thorsten Holz通過本書，分享了他們在網絡安全尖端領域之專業的知識、深刻的見解、以及令人嘆為觀止的才智。如果您想學習最新的蜜罐技術，了解它們倒底是什么、如何工作以及它倒底能為您帶來什么，至少是現在，沒有比這更好的一本書了。

――蜜罐技術創始人——Lance Spitzner

Provos和Holz寫了一本網絡上的破壞分子祈禱千萬不要被人看到的書。然而，任何對網絡安全技術持有嚴肅的態度的人，他的書架上絕不會沒有這本《虛擬蜜罐》。

約翰霍普金斯大學，Aviel D. Rubin博士

蜜罐技術已經為網絡安全做出了巨大貢獻，但物理蜜罐布署的復雜、耗時及昂貴，卻常常令人對它望而卻步。現在有了一個突破性的解決方案——虛擬蜜罐技術。它具有物理蜜罐技術的諸多特性，但卻使你可以在單一的系統中運行成百上千個虛擬蜜罐，同時，虛擬蜜罐的搭建比物理蜜罐更加容易，成本更低，更加易于布置和維護。

在這本可實踐性極強的書中，兩位世界上最重要的蜜罐技術先驅——Provos和Holz，為大家系統地講解了虛擬蜜罐技術。哪怕你以前從來都沒有布署過一個蜜罐系統，通過本書，你也將會一步一個腳印地在自己的計算機環境中，準確掌握如何布署、配置、使用和維護虛擬蜜罐系統。

本書的學習將通過一個完整的虛擬蜜罐系統——Honeyd為案例來進行。這個系統由本書作者之一Provos創建，是一個專業領域內好評如潮的虛擬蜜罐系統。同時，作者還為虛擬蜜罐系統準備了多個實際中使用的應用程序，如網絡誘餌、蠕蟲探測、垃圾郵件阻止、網絡模擬。

本書將帶給您的收獲：

●對比高交互蜜罐（真實的系統及服務）與低交互蜜罐（用來模擬高交互蜜罐）。

●安裝與配置蜜罐，模擬多操作系統、應用及網絡環境。

●使用虛擬蜜罐來捕獲蠕蟲、僵尸以及其它惡意軟件。

●使用低交互蜜罐和高交互蜜罐中的技術，生成高性能混合型蜜罐

●在客戶端布署蜜罐技術，來主動發現危險的網絡定位

●掌握攻擊者如何識別和規避蜜罐

●解析你的蜜罐系統定位的網絡僵尸及捕獲的惡意軟件

●預測物理蜜罐及虛擬蜜罐的進化趨勢

這是一本通過實驗理解計算機安全的書。在此之前，你可能會認為，如果你的計算機被攻陷了，那就是世界末日了。但是，我們將告訴你如何看待入侵的光明的一面，教會你欣賞從僵尸網絡、蠕蟲和惡意軟件中獲得的知識。每一次事件都會獲得一個經驗，一旦你了解了許多不同種類的蜜罐，在對付互聯網攻擊者時，你就可以反敗為勝。本書討論了各種各樣的蜜罐部署方案，從追蹤僵尸網絡到捕獲惡意軟件。我們也鼓勵你通過分析攻擊者如何著手檢測你的對策，從而獲得敵手的視角。但首先讓我們建立適當的討論環境。

計算機網絡連接了世界各地無數的計算機系統。我們知道，所有這些網絡的總和構成了互聯網。互聯網最初設計用于研究和軍事目的，自從Tim Berners-Lee在1990年發明了超文本傳輸協議（HTTP）并創建了萬維網之后，互聯網變得非常流行。隨著我們中多數人開始使用網絡，幾乎所有的社會問題也轉移到電子王國。例如，由于人們的好奇心創造了第一個互聯網蠕蟲 。另一個好奇心的標志是掃描網絡——掃描網絡中安裝計算機的數量和它們各自的配置。事實上，接收一個持續的網絡探測流現在被認為是正常的和所期望的。不幸的是，許多這樣的活動不再是良性的了。社會中不良的人已經明白了互聯網提供了快速獲得利益的新機會。地下活動從發送數以百萬計的垃圾電子郵件、身份盜竊、信用卡詐騙，到利用分布式拒絕服務攻擊進行敲詐勒索。

隨著互聯網的日益普及，保持我們的電子世界的健康運轉也變得越來越重要。然而，盡管有幾十年的研究和經驗，我們仍然無法保障計算機系統安全，哪怕是衡量他們的安全性。利用新發現的漏洞的攻擊往往使我們感到吃驚。漏洞利用的自動化和大規模全面掃描漏洞，使得敵手一旦找到了計算機系統的弱點，就很容易攻陷計算機系統[91]。

為了了解哪些漏洞正在被對手使用（它們甚至可能是一些我們尚不知道的），我們可以在網絡上安裝一個計算機系統，然后觀察在它上面會發生什么事情。如果系統服務沒有用于任何其他目的，那么任何一個對它的連接嘗試似乎都是可疑的。如果系統受到攻擊，我們就可以了解某些新的東西。我們稱這樣一個系統為蜜罐，它被攻陷能讓我們了解入侵利用了哪個漏洞，一旦敵手掌握了對系統完全控制權后他做了什么。一個蜜罐可以是任何類型的計算系統，它可以運行任何操作系統和任何數量的服務。我們配置的服務決定了對敵手公開的攻擊向量。

本書中我們經常談論邪惡的計算機用戶想要闖入我們的蜜罐。許多讀者可能會希望我們稱這些計算機用戶為黑客——一個長期被媒體修改和扭曲得面目全非的詞。不過，作者更喜歡這個詞的傳統定義：黑客是針對一個問題能找到聰明解決方案的人。雖然不乏好的黑客，但企圖和成功入侵計算機系統的人卻多得多，我們把他們稱為攻擊者或敵手。

到目前為止，我們已經聲稱，蜜罐允許我們研究敵手，洞察他們的動機和技術，但是現在我們將用一個真實的案例研究證明給你看。

一個真實的案例

這個案例描述了一個實際攻陷系統的過程，以及我們從敵手那里獲得的東西。我們密切監視我們的蜜罐，可以觀察敵手在我們的系統上進行的每一個步驟。這一事件開始于4月3日，當時我們的基于Red Hat 8.0的蜜罐由于弱SSH口令漏洞而被攻陷。敵手獲得了一個user和root賬戶訪問權限。她可能認為自己非常幸運，獲得了訪問一個高速校園網絡的權限。她不知道的是我們刻意安裝了可猜測的口令（不懷好意地笑）。事實上，這種攻擊十分常見。如果你運行一個SSH服務器，只要看看它的日志文件就知道了。

使用我們的日志文件和在蜜罐上收集的其他信息，很容易重建所發生的一系列事件。正如在許多電影里一樣，攻擊發生在午夜。攻擊從挪威的一所大學的一臺主機發起，午夜剛過，敵手開始了對蜜罐的SSH服務器的攻擊。在她幸運地猜到root口令之前，她的自動化工具已經循環測試了數千個不同的用戶名和口令。這時，敵手從一個意大利的IP地址完全地不受限制地訪問我們的系統，并從不同的Web服務器上下載了一些工具，以方便她的惡意行為。這些工具中有一個SSH掃描器、一個IRC客戶端和一個root工具包。毫不奇怪，我們的對手使用SSH掃描器是為了找到更多的具有弱口令的互聯網系統。除了下載了root工具包，敵手還安裝了一個后門，允許敵手可以在任何時候回來，而不會引起任何人的注意。當敵手正在下載電影《要錢不要命》（西班牙）時，我們認為事情已經進行得足夠長了，因此我們關閉了蜜罐。

攻擊時間表

經過深入調查，我們得到了如下事件發生的時間表：

 00:23:07 AM：掃描幾分鐘后，敵手使用guest帳戶第一次設法登錄系統。敵手不滿意于此，繼續猜測更多帳戶的口令。

 00:35:53 AM：中大獎了！敵手作為root用戶成功登錄系統。然而，盡管敵手得到了root權限，口令猜測仍在繼續——一個強烈的信號，我們正在觀察的是一個完全自動化的攻擊。

 00:51:24 AM：guest用戶登錄，但幾秒鐘后又注銷了。我們猜測敵手正手工驗證自動猜測的用戶名和口令的正確性。

 00:52:44 AM：root用戶登錄，但這次登錄來自于IP地址83.103.*.*。登錄后，創建了3個新用戶，所有的這些用戶的組和uid 都為0——系統管理員的身份。

 00:54:08 AM：入侵者使用guest帳戶登錄，并更改此帳戶的口令。然后，她開始從遠程Web服務器上下載帶有她要用的工具的文件。

 00:54:29 AM：該文件完成下載，它包含一個SSH掃描器、用于啟動它的shell腳本、生成用戶名和口令的兩個字典文件。10秒鐘后，文件“xyz”和“1”也被下載。文件“xyz”是用于前面提到的SSH掃描器的另一個字典文件。文件“1”是一個簡單的shell腳本，便于SSH掃描器正確執行。

 00:54:53 AM：對手啟動一個對IP范圍66.252 .*.*的SSH掃描。約3分鐘后掃描完成。不要擔心，我們的控制機制阻止了它對其他機器的任何傷害。

 00:58:18 AM：用戶guest、george和root注銷。

 01:24:34 PM：用戶george重新登錄，這一次她來自于IP地址151.81.*.*。敵手切換到root帳號并開始下載一個名為“90”的文件。快速分析表明，它是某種內核修改程序，可能是一個root工具包。

 02:22:43 PM：另一個文件被下載，且敵手改變了root口令。這個新文件包含一個修改的監聽端口3209的SSH服務器和另一個SSH掃描器。從現在起，所有到蜜罐的連接都通過新安裝的后門。

 02:23:32 PM：敵手建立一個到郵件服務器mta238.mail.re2.yahoo.com的連接，但是由于MALL FROM頭部的格式不合適，沒有成功發送電子郵件。

 02:31:17 PM：敵手下載mirkforce.tgz，其中包含一個修改的IRC客戶端。不久之后，她執行該IRC客戶端，連接到一個在194.109.*.*上運行的IRC服務器。

 02:58:04 PM：敵手試圖通過HTTP下載電影《要錢不要命》。

 03:02:05 PM：執行whois查詢域bogdan.mine.nu和pytycu.ro。

 04:46:49 PM：敵手開始掃描IP范圍125.240.*.*，以便找到更多帶有弱SSH口令的機器。她大約在05:01:16 PM停止掃描。

 04:58:37 PM：下載壓縮文件scanjapan.tar到/ tmp目錄下。該文件包含另一個SSH掃描器，掃描器帶有日文的用戶名和口令字典。

 05:30:29 PM：是回家喝啤酒的時間了，所以我們關閉了蜜罐。

一旦這個事件結束，我們就有充足的時間分析到底發生了什么事情。我們保存了所有工具的副本，能夠確定它們詳細的用途。例如，安裝的root工具包被稱為SucKIT，已在Phrack 的第58期中詳細描述過[78]。SucKIT是通過直接修改內核內存/dev/kmem安裝的，不需要任何可加載內核模塊的支持。此外，SucKIT提供了一個口令保護的可繞過防火墻規則的遠程訪問shell的功能。它支持進程、文件和連接隱藏，并在重新啟動后仍然存在。

還有更多要學的，我們有專門的一章研究一些像這樣的案例。

目標讀者

我們寫這本書是為了吸引廣泛的讀者。對于缺少經驗又想了解蜜罐世界的讀者，本書提供了足夠的背景知識和實例幫助你建立和部署蜜罐，即使你以前從來沒有這樣做過。對于有經驗的讀者，本書可以作為一本參考書，但它仍然揭示了蜜罐及其部署的新內容。除了為廣泛的蜜罐技術提供了一個堅實的基礎，我們也展望了蜜罐的未來，并希望能激發你受用多年的靈感。

內容組織

盡管歡迎您以任何的順序閱讀這些章節，但是這里給出每一章的內容概述和閱讀順序的一些建議，可能會對您有所幫助。

 第1章介紹了互聯網協議、一般意義上的蜜罐及有用的網絡工具等背景知識。本章的目的是作為剛接觸這個主題的讀者的一個起點。

 第2章和第3章介紹蜜罐的基本原理，對理解本書其余的部分非常重要。本章介紹了兩個流行蜜罐類型：高交互蜜罐和低交互蜜罐。低交互蜜罐模擬服務或操作系統與敵手交互，高交互蜜罐提供真實的系統和服務與敵手交互。

 第4章和第5章關注的是Honeyd，一種流行的開源蜜罐框架，它允許你在一個物理機器上建立和運行上百個虛擬蜜罐。該虛擬蜜罐可以被配置為模仿許多不同的操作系統和服務的系統，允許你模擬任意的網絡結構。

 第6章介紹使用蜜罐捕獲惡意軟件（如蠕蟲和僵尸程序）的不同方法，由于僵尸網絡和蠕蟲是當今互聯網的重大危脅，本章介紹的蜜罐將幫助你更多地了解這些威脅。

 第7章討論結合高交互蜜罐和低交互蜜罐技術建立高性能蜜罐的不同方法。這些混合系統具有在超過6萬個不同IP地址上運行蜜罐的能力。

 在第8章中我們主動出擊，不再等待攻擊。介紹了客戶端蜜罐的概念，為了被攻陷，它在互聯網上主動尋找危險的地方。

 第9章從攻擊者的角度討論如何檢測蜜罐的存在和規避記錄。這是敵手要做的，想使蜜罐運行者的日子不好過。通過了解他們的技術，可以更好地抵御他們。

 第10章介紹幾個案例研究，討論在現實世界中部署虛擬蜜罐，我們從中了解到了什么。對于每個被攻陷的蜜罐，詳細分析了攻擊者的步驟和他們使用的工具。

 僵尸網絡——由攻擊者遠程控制的被攻陷的機器組成的網絡，是今天互聯網上最大的威脅之一。第11章詳細介紹了僵尸網絡，并說明借助蜜罐可以了解到關于它們的哪些信息。

 由于蜜罐經常捕獲惡意軟件，第12章介紹了CWSandbox，一個幫助我們自動化分析惡意二進制文件的工具，為每個二進制文件創建行為表。我們給出了CWSandbox的一個概述，并詳細研究了一個樣本惡意軟件的報告。

如果你不熟悉蜜罐，想在深入鉆研更復雜主題之前先學習基本知識，我們強烈建議你從1～3章開始。這些章節將幫助你理解部署蜜罐的方法和你期望得到的結果。

一旦你了解了基本知識，可以進入第4和5章研究更高級的主題Honeyd。第6章討論了捕獲自主傳播的惡意軟件，如蠕蟲和僵尸程序。與第6章密切相關的是關于僵尸網絡的第11章，以及關于惡意軟件分析的第12章。但是，你也可以在第7章更多地了解混合方法，在第8章了解客戶端蜜罐的新概念。第9章和第10章也各自獨立：前者介紹了幾種檢測蜜罐存在的方法，應該始終牢記的風險；后者介紹了幾個案例研究，基于現實世界的例子說明使用蜜罐可以了解哪些信息。

雖然各章節的組織建立在彼此的基礎之上，你可以按原來的順序閱讀，但是一旦你熟悉了基本概念，大部分章節是可以獨立理解的。如果你對任何一章特別感興趣，不要猶豫，跳過前面的章節，直接去閱讀它。

預備知識

閱讀這本書時，熟悉網絡安全的基本概念將是很有幫助的。我們希望你能熟悉防火墻（Firewall）和入侵檢測系統（Intrusion Detection System，IDS）等術語，但對你來說沒必要在這些領域有廣泛的知識。第1章給出了學習本書后續其余部分所需要知道的大部分基礎知識。任何想要更詳細地了解我們的討論主題的人，可以廣泛地使用參考文獻。

由于許多蜜罐解決方案被設計運行在Linux或BSD版本上，所以對這些操作系統的一些基本了解是有幫助的。但是，即使你是一個狂熱的Windows用戶，你可以安裝一個虛擬機，使用這些操作系統進行實驗，這樣做會使我們了解蜜罐技術的很多原理。這樣，你就能更好地理解我們介紹的工具，并自己使用它們做實驗。我們常常給出一步一步的指導，告訴你如何安裝和配置一個具體的解決方案，并向你指出進一步的參考。因此，即使你只有一些背景知識，你應該也能夠了解更多有關虛擬蜜罐這一迷人的主題。

譯者序
前言
致謝
作者簡介

第1章 蜜罐和網絡背景 1
1.1 TCP/IP協議簡介 1
1.2 蜜罐背景 5
1.2.1 高交互蜜罐 6
1.2.2 低交互蜜罐 7
1.2.3 物理蜜罐 7
1.2.4 虛擬蜜罐 8
1.2.5 法律方面 8
1.3 商業工具 8
1.3.1 tcpdump 9
1.3.2 Wireshark 10
1.3.3 Nmap 11
第2章 高交互蜜罐 13
2.1 優點和缺點 13
2.2 VMware 14
2.2.1 不同的VMware版本 17
2.2.2 VMware虛擬網絡 18
2.2.3 建立一個虛擬高交互蜜罐 19
2.2.4 創建一個虛擬蜜罐 22
2.2.5 添加附加監視軟件 25
2.2.6 把虛擬蜜罐連接到互聯網 27
2.2.7 建立一個虛擬高交互蜜網 27
2.3 用戶模式Linux 28
2.3.1 概述 28
2.3.2 安裝和設置 28
2.3.3 運行時標志和配置 31
2.3.4 監視基于UML的蜜罐 34
2.3.5 把虛擬蜜罐連接到Internet 35
2.3.6 建立一個虛擬高交互蜜網 36
2.4 Argos 36
2.4.1 概述 36
2.4.2 安裝和設置Argos蜜罐 37
2.5 保護你的蜜罐 44
2.5.1 蜜墻概述 44
2.5.2 蜜墻的安裝 47
2.6 小結 48
第3章 低交互蜜罐 49
3.1 優點和缺點 49
3.2 欺騙工具包 50
3.3 LaBrea 50
3.3.1 安裝和設置 52
3.3.2 觀察 56
3.4 Tiny Honeypot 56
3.4.1 安裝 57
3.4.2 捕獲日志 57
3.4.3 會話日志 58
3.4.4 Netfilter日志 59
3.4.5 觀察 59
3.5 GHH——Google入侵蜜罐 60
3.5.1 一般安裝 60
3.5.2 設置透明鏈接 62
3.5.3 訪問日志 64
3.6 PHP.HoP——一個基于Web的欺騙架構 65
3.6.1 安裝 65
3.6.2 HipHop 66
3.6.3 PhpMyAdmin 67
3.7 保護你的低交互蜜罐 67
3.7.1 chroot“禁閉室” 68
3.7.2 Systrace 70
3.8 小結 72
第4章 Honeyd——基礎篇 73
4.1 概述 73
4.1.1 特性 74
4.1.2 安裝和設置 75
4.2 設計概述 76
4.2.1 僅通過網絡交互 77
4.2.2 多IP地址 77
4.2.3 欺騙指紋識別工具 78
4.3 接收網絡數據 78
4.4 運行時標志 79
4.5 配置 81
4.5.1 create 82
4.5.2 set 82
4.5.3 add 85
4.5.4 bind 86
4.5.5 delete 87
4.5.6 include 88
4.6 Honeyd實驗 88
4.6.1 本地Honeyd實驗 88
4.6.2 把Honeyd整合到生產網絡中 90
4.7 服務 91
4.8 日志 92
4.8.1 數據包級日志 92
4.8.2 服務級日志 94
4.9 小結 95
第5章 Honeyd——高級篇 96
5.1 高級配置 96
5.1.1 set 96
5.1.2 tarpit 97
5.1.3 annotate 98
5.2 模擬服務 98
5.2.1 腳本語言 99
5.2.2 SMTP 99
5.3 子系統 101
5.4 內部Python服務 104
5.5 動態模板 106
5.6 路由拓撲 107
5.7 Honeydstats 110
5.8 Honeyct1 112
5.9 Honeycomb 113
5.10 性能 115
5.11 小結 116
第6章 用蜜罐收集惡意軟件 117
6.1 惡意軟件入門 117
6.2 Nepenthes——一個收集惡意軟件的
蜜罐解決方案 118
6.2.1 Nepenthes體系結構 119
6.2.2 局限性 127
6.2.3 安裝和設置 128
6.2.4 配置 129
6.2.5 命令行標志 131
6.2.6 分配多個IP地址 132
6.2.7 靈活的部署 134
6.2.8 捕獲新的漏洞利用程序 135
6.2.9 實現漏洞模塊 135
6.2.10 結果 136
6.2.11 經驗體會 142
6.3 Honeytrap 143
6.3.1 概述 143
6.3.2 安裝和配置 145
6.3.3 運行Honeytrap 147
6.4 獲得惡意軟件的其他蜜罐解決方案 149
6.4.1 Multipot 149
6.4.2 HoneyBOT 149
6.4.3 Billy Goat 150
6.4.4 了解惡意網絡流量 150
6.5 小結 151
第7章 混合系統 152
7.1 黑洞 153
7.2 Potemkin 155
7.3 RolePlayer 159
7.4 研究總結 162
7.5 構建自己的混合蜜罐系統 162
7.5.1 NAT和高交互蜜罐 162
7.5.2 Honeyd和高交互蜜罐 165
7.6 小結 167
第8章 客戶端蜜罐 168
8.1 深入了解客戶端的威脅 168
8.1.1 詳解MS04-040 169
8.1.2 其他類型客戶端攻擊 172
8.1.3 客戶端蜜罐 173
8.2 低交互客戶端蜜罐 175
8.2.1 了解惡意網站 175
8.2.2 HoneyC 179
8.3 高交互客戶端蜜罐 184
8.3.1 高交互客戶端蜜罐的設計 185
8.3.2 HoneyClient 188
8.3.3 Capture-HPC 189
8.3.4 HoneyMonkey 191
8.4 其他方法 191
8.4.1 互聯網上間諜軟件的研究 192
8.4.2 SpyBye 194
8.4.3 SiteAdvisor 196
8.4.4 進一步的研究 197
8.5 小結 197
第9章 檢測蜜罐 199
9.1 檢測低交互蜜罐 199
9.2 檢測高交互蜜罐 205
9.2.1 檢測和禁用Sebek 205
9.2.2 檢測蜜墻 208
9.2.3 逃避蜜網記錄 208
9.2.4 VMware和其他虛擬機 211
9.2.5 QEMU 217
9.2.6 用戶模式Linux 217
9.3 檢測Rootkits 220
9.4 小結 223
第10章 案例研究 224
10.1 Blast-o-Mat：使用Nepenthes檢測被
感染的客戶端 224
10.1.1 動機 225
10.1.2 Nepenthes作為入侵檢測系統的
一部分 227
10.1.3 降低被感染系統的威脅 227
10.1.4 一個新型木馬：Haxdoor 230
10.1.5 使用Blast-o-Mat的經驗 233
10.1.6 基于Nepenthes的輕量級入侵檢
測系統 234
10.1.7 SURFnet IDS 236
10.2 搜索蠕蟲 238
10.3 對Red Hat 8.0的攻擊 242
10.3.1 攻擊概述 243
10.3.2 攻擊時間表 244
10.3.3 攻擊工具 247
10.3.4 攻擊評價 250
10.4 對Windows 2000的攻擊 251
10.4.1 攻擊概述 251
10.4.2 攻擊時間表 252
10.4.3 攻擊工具 253
10.4.4 攻擊評價 256
10.5 對SUSE 9.1的攻擊 257
10.5.1 攻擊概述 257
10.5.2 攻擊時間表 258
10.5.3 攻擊工具 259
10.5.4 攻擊評價 261
10.6 小結 262
第11章 追蹤僵尸網絡 263
11.1 僵尸程序和僵尸網絡 263
11.1.1 僵尸程序舉例 265
11.1.2 僵尸程序形式的間諜軟件 268
11.1.3 僵尸網絡控制結構 270
11.1.4 僵尸網絡引起的DDoS攻擊 273
11.2 追蹤僵尸網絡 274
11.3 案例研究 276
11.3.1 Mocbot和MS06-040 280
11.3.2 其他的觀察結果 283
11.4 防御僵尸程序 285
11.5 小結 287
第12章 使用CWSandbox分析惡意軟件 288
12.1 CWSandbox概述 289
12.2 基于行為的惡意軟件分析 290
12.2.1 代碼分析 290
12.2.2 行為分析 290
12.2.3 API攔截 291
12.2.4 代碼注入 294
12.3 CWSandbox——系統描述 295
12.4 結果 297
12.4.1 實例分析報告 298
12.4.2 大規模分析 302
12.5 小結 304
參考文獻 305

1. 大學生信息檢索與網絡安全教程 [劉軍 楊昌堯 黃榮森]
2. 網絡安全運維技術 [主編 唐繼勇 任月輝]
3. 遨游數字時代——全球IT高管網絡安全秘籍 [[美] Palo Alto Networks 編]
4. 云計算與網絡安全 [主編　肖睿　徐文義]
5. 網絡安全技術項目化教程 [主編 段新華 宋風忠]
6. 網絡安全技術 [姚奇富]
7. 網絡安全系統集成 [魯先志 唐繼勇]
8. 網絡安全產品調試與部署 [路亞 李賀華]
9. 網絡安全原理與應用（第二版） [戚文靜 劉學]
10. 中小型網絡安全管理與維護 [姚奇富 副主編 馬華林]
11. 網絡安全技術項目引導教程 [魯立]
12. 計算機網絡安全技術 [主 編 劉永華]
13. 網絡安全技術 [主編 吳銳]
14. 現代網絡安全技術 [李興無 主 編 ]
15. 計算機網絡安全技術（第二版） [蔡立軍 主編]
16. 計算機網絡安全實用技術 [葛彥強 汪向征 主編]
17. 網絡安全與管理 [戚文靜 主編]
18. 網絡安全原理與應用 [戚文靜 劉學 主編]
19. 網絡與信息安全教程 [吳煜煌 汪軍 等編著]
20. 計算機網絡安全技術（第二版） [蔡立軍 主編]
21. 網絡與信息安全實驗指導 [賴小卿 主編]
22. 網絡安全與管理（第二版） [戚文靜 主編]