您将通过 GCIA 认证计划学到什么：综合指南

如果您对信息安全职业感兴趣，GIAC GCIA认证项目将是您最重要的课程。GCIA认证课程被认为是最具挑战性但也最有价值的课程。

如果您想学习如何有效地进行威胁狩猎，在零日攻击公开之前将其检测出来，那么没有比这更好的课程了。如果您只想了解现成工具生成的网络监控警报，那么GCIA认证并不适合您。

然而，GCIA认证适合那些希望深入了解当前网络状况，并怀疑存在工具目前无法报告的严重问题的人员。

什么是GIAC认证入侵分析师 (GCIA) 认证？

GIAC认证入侵分析师 (GCIA) 认证是一项厂商中立的认证，旨在验证从业人员在入侵检测和分析方面的知识和技能。获得 GIAC GCIA 认证后，您将能够配置和监控入侵检测系统，读取、解释和分析网络流量和日志文件，并了解网络上正在发生的事情。

要获得 GIAC GCIA 认证，您需要通过一项监考考试，该考试涵盖各种考试目标，例如网络流量分析、签名创建、日志分析和事件处理。GIAC GCIA 考试包含 106 道选择题。完成 GCIA 认证考试需要四个小时。要通过 GCIA 考试，您需要至少获得 67% 的分数。

以下是 GCIA 考试涵盖的领域：

• 流量分析和应用协议基础知识

• 开源 IDS：Snort 和 Zeek

• 网络流量取证和监控

谁可以参加 GCIA 认证？

• 负责入侵检测的从业人员

• 系统分析师

• 安全分析师

• 网络工程师

• 网络管理员

• 经验丰富的安全经理

您将学习以下技能

• 分析网站流量，避免成为新闻头条

• 如何识别网络监控工具无法识别的零日威胁

• 网络监控：如何部署、自定义和调整网络监控

• 如何对网络警报进行分类，尤其是在安全事件发生期间

• 通过事件重构，确定事件发生的原因、时间和责任人

• 网络取证、检测和分析的实践经验

• TCP/IP 和常用应用层协议，帮助您深入了解网络流量，区分正常流量和异常流量

• 基于特征码的网络监控：优缺点

• 行为网络监控，用于企业级自动化关联以及如何有效利用这些监控工具

• 对网络活动进行有效的威胁建模

• 将威胁建模转化为零日威胁检测能力

• 分析传统网络、混合网络和云网络中的流量数据，以增强网络性能检测

您将能够

• 配置并运行 Snort 和 Suricata

• 创建并编写高效的 Snort、Suricata 和 FirePOWER 规则。

• 配置并运行开源 Zeek，以提供混合流量分析框架。

• 在 Zeek 中创建自动化威胁狩猎关联脚本。

• 理解 TCP/IP 组件层，以识别正常和异常流量，从而识别威胁。

• 使用流量分析工具来识别入侵迹象或活跃威胁。

• 执行网络取证，调查流量以识别 TTP（战术、技术和程序）并发现活跃威胁。

• 从网络流量中提取文件和其他类型的内容，以重建事件。

• 创建 BPF 过滤器，以便大规模地选择性地检查特定流量特征。

• 使用 Scapy 构造数据包。

• 使用 NetFlow/IPFIX 工具查找网络行为异常和潜在威胁。

• 利用您对网络架构和硬件的了解，自定义网络监控传感器的部署位置，并嗅探网络流量。

GCIA 认证考试大纲

SEC503.1：网络监控与分析：第一部分

本部分深入讲解 TCP/IP 协议栈，帮助您更好地监控和检测云端或传统基础设施中的威胁。第一步是“数据包作为第二语言”课程。为了识别威胁和战术、技术和程序 (TTP)，学员将立即投入到底层数据包分析中，收集零日攻击和其他攻击中使用的数据包。在本部分中，学员将学习 TCP/IP 通信的基础知识、比特、字节、二进制和十六进制的理论，以及每个字段的含义和预期行为。学员还将学习使用 Wireshark 和 Tcpdump 等工具来分析网络流量。

TCP/IP 概念

• 为什么需要理解数据包头部和数据？

• TCP/IP 通信模型

• 数据封装/解封装

• 位、字节、二进制和十六进制

Wireshark 简介

• Wireshark 使用指南

• Wireshark 配置文件

• Wireshark 统计选项详解

• 流重组

• 数据包内容查找

网络接入/链路层：第 2 层

• 链路层简介

• 地址解析协议

• 第 2 层攻击与防御

IP 层：第 3 层

• IPv4

• 理论与实践中的字段分析

• 校验和及其重要性，尤其是在网络监控和规避方面

• 分片：参与分片的 IP 报头字段、分片组成、现代分片攻击

UNIX 命令行处理

• 高效处理数据包

• 解析和聚合数据以回答问题和进行网络研究

• 使用正则表达式加快分析速度

SEC503.2：网络监控与分析：第二部分

本节本课程的“数据包作为第二语言”部分到此结束，并为后续更深入的讨论奠定了基础。学生将深入了解 TCP/IP 模型中使用的主要传输层协议，以及现代趋势如何影响它们的使用。在本课中，您将学习如何使用 Wireshark 和 TCPdump 分析自己的网络流量。利用 Wireshark 显示过滤器和 Berkeley 数据包过滤器，重点在于将大规模数据过滤到感兴趣的流量，以便检测传统和云基础设施中的威胁。本节还将介绍对现代网络监控具有重大影响的最新创新，包括每个报头字段的含义和功能。

Wireshark 显示过滤器

• Wireshark 提供多种创建显示过滤器的方法

• 显示过滤器的组成

编写 BPF 过滤器

• BPF 的普遍性和过滤器的实用性

• BPF 过滤器的格式

• 位掩码的使用

TCP

• 字段的理论和实践分析

• 数据包剖析

• 校验和

• 正常和异常的 TCP 激励和响应

• TCP 重组对 IDS/IPS 的重要性

UDP

• 字段的理论和实践分析

• UDP 激励和响应

ICMP

• 字段的理论和实践分析

• 何时不应发送 ICMP 消息

• 在映射和侦察中的应用

• 正常的 ICMP

• 恶意 ICMP

IPv6

• 基础知识

• 对 IPv6 的改进

• 多播协议及其在 IPv6 中的应用

• IPv6 的威胁

实际应用：网络侦测

• 谁是流量最大的用户是谁？

• 用户正在连接到什么？

• 我们的网络上运行着哪些服务？

• 存在哪些东西向流量？

SEC503.3：基于特征码的威胁检测与响应

本课程的第三部分以应用层协议为基础，深入探讨应用层协议。运用这些知识，您将学习如何在云端、终端、混合网络和传统基础设施中发现威胁。学生还将学习功能强大的基于 Python 的数据包构造工具 Scapy，该工具允许学生操作、创建、读取和写入数据包。您可以使用 Scapy 构造数据包来测试监控工具或防火墙的检测能力。尤其是在用户创建的网络监控规则中添加了新发现的漏洞时，这一点尤为重要。

Scapy

• 使用 Scapy 进行数据包构造和分析

• 将数据包写入网络或 Pcap 文件

• 从网络或 Pcap 文件读取数据包

• Scapy 在网络分析和网络防御中的实际应用

高级 Wireshark

• 导出 Web 和其他受支持的对象

• 提取任意应用程序内容

• 使用 Wireshark 进行事件调查

• 使用 Wireshark 分析 SMB 协议活动

• Tshark

Snort/Suricata 入门

• 工具配置和基本日志记录

• 编写简单规则

• 使用常用选项

高效使用 Snort/Suricata

• 更深入地讲解如何为大型网络编写真正高效的规则

• 理解如何编写不易被绕过或规避的灵活规则

• Snort/Suricata 的“选择你自己的冒险”式实践活动

• 逐步分析不断演变的攻击，逐步改进规则以检测所有形式的攻击

• 应用从 Snort/Suricata 到应用层协议

DNS

• DNS 架构和功能

• DNSSEC

• DNS 的最新进展，例如 EDNS（扩展 DNS）

• 恶意 DNS，包括缓存投毒

• 创建规则以识别 DNS 威胁活动

Microsoft 协议

• SMB/CIFS

• 检测挑战

• Wireshark 实际应用

现代 HTTP

• 协议格式

• 该协议的演进原因和方式

• 检测挑战

• HTTP/2 和 HTTP/3 的变化

如何研究协议

• 以 QUIC 为例

• GQUIC 与 IETF QUIC 的比较

实际应用：识别感兴趣的流量

• 在大型数据包存储库中查找异常应用数据

• 提取相关记录

• 应用研究和分析

SEC503.4：构建零日威胁检测系统

第 4 节将基于前三节所获得的知识，深入探讨现代和未来的入侵检测系统。通过整合学生迄今为止所学的一切知识，他们现在可以设计出远胜于 Snort/FirePower/Suricata 和下一代防火墙的威胁检测能力，这得益于 Zeek（或 Corelight）的高级行为检测技术。

网络架构

• 网络流量采集的部署

• 网络监控和威胁检测部署策略

• 流量采集硬件

大规模网络监控简介

• 网络监控工具的功能

• 分析人员在检测中的角色

• 分析流程

Zeek

• Zeek 简介

• Zeek 运行模式

• Zeek 输出日志及其使用方法

• 实用威胁分析和威胁建模

• Zeek 脚本编写

• 使用 Zeek 监控和关联相关行为

IDS/IPS 规避理论

• 不同协议层规避的理论及其影响

• 规避抽样

• 基于目标的检测的必要性

• 零日监控规避

SEC503.5：大规模威胁检测、取证和分析

本节重点在于实践练习，而非正式讲解。本节涵盖三个主要领域，首先介绍使用 NetFlow 和 IPFIX 进行数据驱动的大规模分析和采集。凭借课程第一部分所学的协议背景知识，NetFlow 可用于在云端和传统基础设施上进行威胁狩猎。在掌握基础知识后，学员将学习更高级的分析和威胁检测，包括使用和构建自定义 NetFlow 查询。第二部分介绍流量分析，延续大规模分析的主题。课程将介绍各种零日威胁狩猎工具和技术，并让学员有机会进行实践。此外，课程还将涵盖人工智能和机器学习在异常检测方面的前沿应用。本部分的最后一部分涉及网络取证和事件重建。每位学员将运用课程中所学的工具和技术，完成三个详细的实际事件案例。

利用网络流记录

• NetFlow 和 IPFIX 元数据分析

• 使用 SiLK 查找感兴趣的事件

• 通过 NetFlow 数据识别横向移动

• 构建自定义 NetFlow 查询

威胁狩猎与可视化

• 在企业级网络中执行网络威胁狩猎的各种方法

• 涉及可视化网络行为以识别异常的练习

• 应用数据科学简化安全运营并执行威胁狩猎

• 使用基于人工智能的系统在受保护的网络上识别网络协议异常

网络取证分析简介

• 网络取证分析理论

• 攻击阶段

• 数据驱动分析与警报驱动分析

• 假设驱动可视化

SEC503.6：高级网络监控与威胁检测实践项目

本课程以一个基于服务器的网络监控与威胁检测实践项目作为最终成果，该项目既具有挑战性又充满乐趣。在本课程中，学生将以个人或团队形式参与竞赛，运用所学工具和理论知识回答各种问题。挑战基于六个真实世界的数据部分，旨在调查一起时间紧迫的事件。在“跟团体验”环节中，学生将根据专业分析师团队进行的数据分析回答问题。

总结

通过获得 GIAC 入侵分析师认证，从业人员可以证明其在网络和主机监控、流量分析以及入侵检测方面的知识。凭借 GIAC GCIA 认证，您可以配置和监控入侵检测系统，并读取、解释和分析网络流量和日志文件。

GCIA 认证现已开放。如果您正在寻找代理考试中心，那么您来对地方了！CBT Proxy 团队将竭诚帮助您一次性通过考试。请点击下方聊天按钮，与我们的顾问联系，了解考试相关信息。