虚拟蜜罐：从僵尸网络追踪到入侵检测

这是当今最好的蜜罐技术参考资料，从低交互蜜罐，到僵尸网络，再到恶意软件，Niels Provos和Thorsten Holz通过本书，分享了他们在网络安全尖端领域之专业的知识、深刻的见解、以及令人叹为观止的才智。如果您想学习最新的蜜罐技术，了解它们倒底是什么、如何工作以及它倒底能为您带来什么，至少是现在，没有比这更好的一本书了。

――蜜罐技术创始人——Lance Spitzner

Provos和Holz写了一本网络上的破坏分子祈祷千万不要被人看到的书。然而，任何对网络安全技术持有严肃的态度的人，他的书架上绝不会没有这本《虚拟蜜罐》。

约翰霍普金斯大学，Aviel D. Rubin博士

蜜罐技术已经为网络安全做出了巨大贡献，但物理蜜罐布署的复杂、耗时及昂贵，却常常令人对它望而却步。现在有了一个突破性的解决方案——虚拟蜜罐技术。它具有物理蜜罐技术的诸多特性，但却使你可以在单一的系统中运行成百上千个虚拟蜜罐，同时，虚拟蜜罐的搭建比物理蜜罐更加容易，成本更低，更加易于布置和维护。

在这本可实践性极强的书中，两位世界上最重要的蜜罐技术先驱——Provos和Holz，为大家系统地讲解了虚拟蜜罐技术。哪怕你以前从来都没有布署过一个蜜罐系统，通过本书，你也将会一步一个脚印地在自己的计算机环境中，准确掌握如何布署、配置、使用和维护虚拟蜜罐系统。

本书的学习将通过一个完整的虚拟蜜罐系统——Honeyd为案例来进行。这个系统由本书作者之一Provos创建，是一个专业领域内好评如潮的虚拟蜜罐系统。同时，作者还为虚拟蜜罐系统准备了多个实际中使用的应用程序，如网络诱饵、蠕虫探测、垃圾邮件阻止、网络模拟。

本书将带给您的收获：

●对比高交互蜜罐（真实的系统及服务）与低交互蜜罐（用来模拟高交互蜜罐）。

●安装与配置蜜罐，模拟多操作系统、应用及网络环境。

●使用虚拟蜜罐来捕获蠕虫、僵尸以及其它恶意软件。

●使用低交互蜜罐和高交互蜜罐中的技术，生成高性能混合型蜜罐

●在客户端布署蜜罐技术，来主动发现危险的网络定位

●掌握攻击者如何识别和规避蜜罐

●解析你的蜜罐系统定位的网络僵尸及捕获的恶意软件

●预测物理蜜罐及虚拟蜜罐的进化趋势

这是一本通过实验理解计算机安全的书。在此之前，你可能会认为，如果你的计算机被攻陷了，那就是世界末日了。但是，我们将告诉你如何看待入侵的光明的一面，教会你欣赏从僵尸网络、蠕虫和恶意软件中获得的知识。每一次事件都会获得一个经验，一旦你了解了许多不同种类的蜜罐，在对付互联网攻击者时，你就可以反败为胜。本书讨论了各种各样的蜜罐部署方案，从追踪僵尸网络到捕获恶意软件。我们也鼓励你通过分析攻击者如何着手检测你的对策，从而获得敌手的视角。但首先让我们建立适当的讨论环境。

计算机网络连接了世界各地无数的计算机系统。我们知道，所有这些网络的总和构成了互联网。互联网最初设计用于研究和军事目的，自从Tim Berners-Lee在1990年发明了超文本传输协议（HTTP）并创建了万维网之后，互联网变得非常流行。随着我们中多数人开始使用网络，几乎所有的社会问题也转移到电子王国。例如，由于人们的好奇心创造了第一个互联网蠕虫 。另一个好奇心的标志是扫描网络——扫描网络中安装计算机的数量和它们各自的配置。事实上，接收一个持续的网络探测流现在被认为是正常的和所期望的。不幸的是，许多这样的活动不再是良性的了。社会中不良的人已经明白了互联网提供了快速获得利益的新机会。地下活动从发送数以百万计的垃圾电子邮件、身份盗窃、信用卡诈骗，到利用分布式拒绝服务攻击进行敲诈勒索。

随着互联网的日益普及，保持我们的电子世界的健康运转也变得越来越重要。然而，尽管有几十年的研究和经验，我们仍然无法保障计算机系统安全，哪怕是衡量他们的安全性。利用新发现的漏洞的攻击往往使我们感到吃惊。漏洞利用的自动化和大规模全面扫描漏洞，使得敌手一旦找到了计算机系统的弱点，就很容易攻陷计算机系统[91]。

为了了解哪些漏洞正在被对手使用（它们甚至可能是一些我们尚不知道的），我们可以在网络上安装一个计算机系统，然后观察在它上面会发生什么事情。如果系统服务没有用于任何其他目的，那么任何一个对它的连接尝试似乎都是可疑的。如果系统受到攻击，我们就可以了解某些新的东西。我们称这样一个系统为蜜罐，它被攻陷能让我们了解入侵利用了哪个漏洞，一旦敌手掌握了对系统完全控制权后他做了什么。一个蜜罐可以是任何类型的计算系统，它可以运行任何操作系统和任何数量的服务。我们配置的服务决定了对敌手公开的攻击向量。

本书中我们经常谈论邪恶的计算机用户想要闯入我们的蜜罐。许多读者可能会希望我们称这些计算机用户为黑客——一个长期被媒体修改和扭曲得面目全非的词。不过，作者更喜欢这个词的传统定义：黑客是针对一个问题能找到聪明解决方案的人。虽然不乏好的黑客，但企图和成功入侵计算机系统的人却多得多，我们把他们称为攻击者或敌手。

到目前为止，我们已经声称，蜜罐允许我们研究敌手，洞察他们的动机和技术，但是现在我们将用一个真实的案例研究证明给你看。

一个真实的案例

这个案例描述了一个实际攻陷系统的过程，以及我们从敌手那里获得的东西。我们密切监视我们的蜜罐，可以观察敌手在我们的系统上进行的每一个步骤。这一事件开始于4月3日，当时我们的基于Red Hat 8.0的蜜罐由于弱SSH口令漏洞而被攻陷。敌手获得了一个user和root账户访问权限。她可能认为自己非常幸运，获得了访问一个高速校园网络的权限。她不知道的是我们刻意安装了可猜测的口令（不怀好意地笑）。事实上，这种攻击十分常见。如果你运行一个SSH服务器，只要看看它的日志文件就知道了。

使用我们的日志文件和在蜜罐上收集的其他信息，很容易重建所发生的一系列事件。正如在许多电影里一样，攻击发生在午夜。攻击从挪威的一所大学的一台主机发起，午夜刚过，敌手开始了对蜜罐的SSH服务器的攻击。在她幸运地猜到root口令之前，她的自动化工具已经循环测试了数千个不同的用户名和口令。这时，敌手从一个意大利的IP地址完全地不受限制地访问我们的系统，并从不同的Web服务器上下载了一些工具，以方便她的恶意行为。这些工具中有一个SSH扫描器、一个IRC客户端和一个root工具包。毫不奇怪，我们的对手使用SSH扫描器是为了找到更多的具有弱口令的互联网系统。除了下载了root工具包，敌手还安装了一个后门，允许敌手可以在任何时候回来，而不会引起任何人的注意。当敌手正在下载电影《要钱不要命》（西班牙）时，我们认为事情已经进行得足够长了，因此我们关闭了蜜罐。

攻击时间表

经过深入调查，我们得到了如下事件发生的时间表：

 00:23:07 AM：扫描几分钟后，敌手使用guest帐户第一次设法登录系统。敌手不满意于此，继续猜测更多帐户的口令。

 00:35:53 AM：中大奖了！敌手作为root用户成功登录系统。然而，尽管敌手得到了root权限，口令猜测仍在继续——一个强烈的信号，我们正在观察的是一个完全自动化的攻击。

 00:51:24 AM：guest用户登录，但几秒钟后又注销了。我们猜测敌手正手工验证自动猜测的用户名和口令的正确性。

 00:52:44 AM：root用户登录，但这次登录来自于IP地址83.103.*.*。登录后，创建了3个新用户，所有的这些用户的组和uid 都为0——系统管理员的身份。

 00:54:08 AM：入侵者使用guest帐户登录，并更改此帐户的口令。然后，她开始从远程Web服务器上下载带有她要用的工具的文件。

 00:54:29 AM：该文件完成下载，它包含一个SSH扫描器、用于启动它的shell脚本、生成用户名和口令的两个字典文件。10秒钟后，文件“xyz”和“1”也被下载。文件“xyz”是用于前面提到的SSH扫描器的另一个字典文件。文件“1”是一个简单的shell脚本，便于SSH扫描器正确执行。

 00:54:53 AM：对手启动一个对IP范围66.252 .*.*的SSH扫描。约3分钟后扫描完成。不要担心，我们的控制机制阻止了它对其他机器的任何伤害。

 00:58:18 AM：用户guest、george和root注销。

 01:24:34 PM：用户george重新登录，这一次她来自于IP地址151.81.*.*。敌手切换到root帐号并开始下载一个名为“90”的文件。快速分析表明，它是某种内核修改程序，可能是一个root工具包。

 02:22:43 PM：另一个文件被下载，且敌手改变了root口令。这个新文件包含一个修改的监听端口3209的SSH服务器和另一个SSH扫描器。从现在起，所有到蜜罐的连接都通过新安装的后门。

 02:23:32 PM：敌手建立一个到邮件服务器mta238.mail.re2.yahoo.com的连接，但是由于MALL FROM头部的格式不合适，没有成功发送电子邮件。

 02:31:17 PM：敌手下载mirkforce.tgz，其中包含一个修改的IRC客户端。不久之后，她执行该IRC客户端，连接到一个在194.109.*.*上运行的IRC服务器。

 02:58:04 PM：敌手试图通过HTTP下载电影《要钱不要命》。

 03:02:05 PM：执行whois查询域bogdan.mine.nu和pytycu.ro。

 04:46:49 PM：敌手开始扫描IP范围125.240.*.*，以便找到更多带有弱SSH口令的机器。她大约在05:01:16 PM停止扫描。

 04:58:37 PM：下载压缩文件scanjapan.tar到/ tmp目录下。该文件包含另一个SSH扫描器，扫描器带有日文的用户名和口令字典。

 05:30:29 PM：是回家喝啤酒的时间了，所以我们关闭了蜜罐。

一旦这个事件结束，我们就有充足的时间分析到底发生了什么事情。我们保存了所有工具的副本，能够确定它们详细的用途。例如，安装的root工具包被称为SucKIT，已在Phrack 的第58期中详细描述过[78]。SucKIT是通过直接修改内核内存/dev/kmem安装的，不需要任何可加载内核模块的支持。此外，SucKIT提供了一个口令保护的可绕过防火墙规则的远程访问shell的功能。它支持进程、文件和连接隐藏，并在重新启动后仍然存在。

还有更多要学的，我们有专门的一章研究一些像这样的案例。

目标读者

我们写这本书是为了吸引广泛的读者。对于缺少经验又想了解蜜罐世界的读者，本书提供了足够的背景知识和实例帮助你建立和部署蜜罐，即使你以前从来没有这样做过。对于有经验的读者，本书可以作为一本参考书，但它仍然揭示了蜜罐及其部署的新内容。除了为广泛的蜜罐技术提供了一个坚实的基础，我们也展望了蜜罐的未来，并希望能激发你受用多年的灵感。

内容组织

尽管欢迎您以任何的顺序阅读这些章节，但是这里给出每一章的内容概述和阅读顺序的一些建议，可能会对您有所帮助。

 第1章介绍了互联网协议、一般意义上的蜜罐及有用的网络工具等背景知识。本章的目的是作为刚接触这个主题的读者的一个起点。

 第2章和第3章介绍蜜罐的基本原理，对理解本书其余的部分非常重要。本章介绍了两个流行蜜罐类型：高交互蜜罐和低交互蜜罐。低交互蜜罐模拟服务或操作系统与敌手交互，高交互蜜罐提供真实的系统和服务与敌手交互。

 第4章和第5章关注的是Honeyd，一种流行的开源蜜罐框架，它允许你在一个物理机器上建立和运行上百个虚拟蜜罐。该虚拟蜜罐可以被配置为模仿许多不同的操作系统和服务的系统，允许你模拟任意的网络结构。

 第6章介绍使用蜜罐捕获恶意软件（如蠕虫和僵尸程序）的不同方法，由于僵尸网络和蠕虫是当今互联网的重大危胁，本章介绍的蜜罐将帮助你更多地了解这些威胁。

 第7章讨论结合高交互蜜罐和低交互蜜罐技术建立高性能蜜罐的不同方法。这些混合系统具有在超过6万个不同IP地址上运行蜜罐的能力。

 在第8章中我们主动出击，不再等待攻击。介绍了客户端蜜罐的概念，为了被攻陷，它在互联网上主动寻找危险的地方。

 第9章从攻击者的角度讨论如何检测蜜罐的存在和规避记录。这是敌手要做的，想使蜜罐运行者的日子不好过。通过了解他们的技术，可以更好地抵御他们。

 第10章介绍几个案例研究，讨论在现实世界中部署虚拟蜜罐，我们从中了解到了什么。对于每个被攻陷的蜜罐，详细分析了攻击者的步骤和他们使用的工具。

 僵尸网络——由攻击者远程控制的被攻陷的机器组成的网络，是今天互联网上最大的威胁之一。第11章详细介绍了僵尸网络，并说明借助蜜罐可以了解到关于它们的哪些信息。

 由于蜜罐经常捕获恶意软件，第12章介绍了CWSandbox，一个帮助我们自动化分析恶意二进制文件的工具，为每个二进制文件创建行为表。我们给出了CWSandbox的一个概述，并详细研究了一个样本恶意软件的报告。

如果你不熟悉蜜罐，想在深入钻研更复杂主题之前先学习基本知识，我们强烈建议你从1～3章开始。这些章节将帮助你理解部署蜜罐的方法和你期望得到的结果。

一旦你了解了基本知识，可以进入第4和5章研究更高级的主题Honeyd。第6章讨论了捕获自主传播的恶意软件，如蠕虫和僵尸程序。与第6章密切相关的是关于僵尸网络的第11章，以及关于恶意软件分析的第12章。但是，你也可以在第7章更多地了解混合方法，在第8章了解客户端蜜罐的新概念。第9章和第10章也各自独立：前者介绍了几种检测蜜罐存在的方法，应该始终牢记的风险；后者介绍了几个案例研究，基于现实世界的例子说明使用蜜罐可以了解哪些信息。

虽然各章节的组织建立在彼此的基础之上，你可以按原来的顺序阅读，但是一旦你熟悉了基本概念，大部分章节是可以独立理解的。如果你对任何一章特别感兴趣，不要犹豫，跳过前面的章节，直接去阅读它。

预备知识

阅读这本书时，熟悉网络安全的基本概念将是很有帮助的。我们希望你能熟悉防火墙（Firewall）和入侵检测系统（Intrusion Detection System，IDS）等术语，但对你来说没必要在这些领域有广泛的知识。第1章给出了学习本书后续其余部分所需要知道的大部分基础知识。任何想要更详细地了解我们的讨论主题的人，可以广泛地使用参考文献。

由于许多蜜罐解决方案被设计运行在Linux或BSD版本上，所以对这些操作系统的一些基本了解是有帮助的。但是，即使你是一个狂热的Windows用户，你可以安装一个虚拟机，使用这些操作系统进行实验，这样做会使我们了解蜜罐技术的很多原理。这样，你就能更好地理解我们介绍的工具，并自己使用它们做实验。我们常常给出一步一步的指导，告诉你如何安装和配置一个具体的解决方案，并向你指出进一步的参考。因此，即使你只有一些背景知识，你应该也能够了解更多有关虚拟蜜罐这一迷人的主题。

译者序
前言
致谢
作者简介

第1章 蜜罐和网络背景 1
1.1 TCP/IP协议简介 1
1.2 蜜罐背景 5
1.2.1 高交互蜜罐 6
1.2.2 低交互蜜罐 7
1.2.3 物理蜜罐 7
1.2.4 虚拟蜜罐 8
1.2.5 法律方面 8
1.3 商业工具 8
1.3.1 tcpdump 9
1.3.2 Wireshark 10
1.3.3 Nmap 11
第2章 高交互蜜罐 13
2.1 优点和缺点 13
2.2 VMware 14
2.2.1 不同的VMware版本 17
2.2.2 VMware虚拟网络 18
2.2.3 建立一个虚拟高交互蜜罐 19
2.2.4 创建一个虚拟蜜罐 22
2.2.5 添加附加监视软件 25
2.2.6 把虚拟蜜罐连接到互联网 27
2.2.7 建立一个虚拟高交互蜜网 27
2.3 用户模式Linux 28
2.3.1 概述 28
2.3.2 安装和设置 28
2.3.3 运行时标志和配置 31
2.3.4 监视基于UML的蜜罐 34
2.3.5 把虚拟蜜罐连接到Internet 35
2.3.6 建立一个虚拟高交互蜜网 36
2.4 Argos 36
2.4.1 概述 36
2.4.2 安装和设置Argos蜜罐 37
2.5 保护你的蜜罐 44
2.5.1 蜜墙概述 44
2.5.2 蜜墙的安装 47
2.6 小结 48
第3章 低交互蜜罐 49
3.1 优点和缺点 49
3.2 欺骗工具包 50
3.3 LaBrea 50
3.3.1 安装和设置 52
3.3.2 观察 56
3.4 Tiny Honeypot 56
3.4.1 安装 57
3.4.2 捕获日志 57
3.4.3 会话日志 58
3.4.4 Netfilter日志 59
3.4.5 观察 59
3.5 GHH——Google入侵蜜罐 60
3.5.1 一般安装 60
3.5.2 设置透明链接 62
3.5.3 访问日志 64
3.6 PHP.HoP——一个基于Web的欺骗架构 65
3.6.1 安装 65
3.6.2 HipHop 66
3.6.3 PhpMyAdmin 67
3.7 保护你的低交互蜜罐 67
3.7.1 chroot“禁闭室” 68
3.7.2 Systrace 70
3.8 小结 72
第4章 Honeyd——基础篇 73
4.1 概述 73
4.1.1 特性 74
4.1.2 安装和设置 75
4.2 设计概述 76
4.2.1 仅通过网络交互 77
4.2.2 多IP地址 77
4.2.3 欺骗指纹识别工具 78
4.3 接收网络数据 78
4.4 运行时标志 79
4.5 配置 81
4.5.1 create 82
4.5.2 set 82
4.5.3 add 85
4.5.4 bind 86
4.5.5 delete 87
4.5.6 include 88
4.6 Honeyd实验 88
4.6.1 本地Honeyd实验 88
4.6.2 把Honeyd整合到生产网络中 90
4.7 服务 91
4.8 日志 92
4.8.1 数据包级日志 92
4.8.2 服务级日志 94
4.9 小结 95
第5章 Honeyd——高级篇 96
5.1 高级配置 96
5.1.1 set 96
5.1.2 tarpit 97
5.1.3 annotate 98
5.2 模拟服务 98
5.2.1 脚本语言 99
5.2.2 SMTP 99
5.3 子系统 101
5.4 内部Python服务 104
5.5 动态模板 106
5.6 路由拓扑 107
5.7 Honeydstats 110
5.8 Honeyct1 112
5.9 Honeycomb 113
5.10 性能 115
5.11 小结 116
第6章 用蜜罐收集恶意软件 117
6.1 恶意软件入门 117
6.2 Nepenthes——一个收集恶意软件的
蜜罐解决方案 118
6.2.1 Nepenthes体系结构 119
6.2.2 局限性 127
6.2.3 安装和设置 128
6.2.4 配置 129
6.2.5 命令行标志 131
6.2.6 分配多个IP地址 132
6.2.7 灵活的部署 134
6.2.8 捕获新的漏洞利用程序 135
6.2.9 实现漏洞模块 135
6.2.10 结果 136
6.2.11 经验体会 142
6.3 Honeytrap 143
6.3.1 概述 143
6.3.2 安装和配置 145
6.3.3 运行Honeytrap 147
6.4 获得恶意软件的其他蜜罐解决方案 149
6.4.1 Multipot 149
6.4.2 HoneyBOT 149
6.4.3 Billy Goat 150
6.4.4 了解恶意网络流量 150
6.5 小结 151
第7章 混合系统 152
7.1 黑洞 153
7.2 Potemkin 155
7.3 RolePlayer 159
7.4 研究总结 162
7.5 构建自己的混合蜜罐系统 162
7.5.1 NAT和高交互蜜罐 162
7.5.2 Honeyd和高交互蜜罐 165
7.6 小结 167
第8章 客户端蜜罐 168
8.1 深入了解客户端的威胁 168
8.1.1 详解MS04-040 169
8.1.2 其他类型客户端攻击 172
8.1.3 客户端蜜罐 173
8.2 低交互客户端蜜罐 175
8.2.1 了解恶意网站 175
8.2.2 HoneyC 179
8.3 高交互客户端蜜罐 184
8.3.1 高交互客户端蜜罐的设计 185
8.3.2 HoneyClient 188
8.3.3 Capture-HPC 189
8.3.4 HoneyMonkey 191
8.4 其他方法 191
8.4.1 互联网上间谍软件的研究 192
8.4.2 SpyBye 194
8.4.3 SiteAdvisor 196
8.4.4 进一步的研究 197
8.5 小结 197
第9章 检测蜜罐 199
9.1 检测低交互蜜罐 199
9.2 检测高交互蜜罐 205
9.2.1 检测和禁用Sebek 205
9.2.2 检测蜜墙 208
9.2.3 逃避蜜网记录 208
9.2.4 VMware和其他虚拟机 211
9.2.5 QEMU 217
9.2.6 用户模式Linux 217
9.3 检测Rootkits 220
9.4 小结 223
第10章 案例研究 224
10.1 Blast-o-Mat：使用Nepenthes检测被
感染的客户端 224
10.1.1 动机 225
10.1.2 Nepenthes作为入侵检测系统的
一部分 227
10.1.3 降低被感染系统的威胁 227
10.1.4 一个新型木马：Haxdoor 230
10.1.5 使用Blast-o-Mat的经验 233
10.1.6 基于Nepenthes的轻量级入侵检
测系统 234
10.1.7 SURFnet IDS 236
10.2 搜索蠕虫 238
10.3 对Red Hat 8.0的攻击 242
10.3.1 攻击概述 243
10.3.2 攻击时间表 244
10.3.3 攻击工具 247
10.3.4 攻击评价 250
10.4 对Windows 2000的攻击 251
10.4.1 攻击概述 251
10.4.2 攻击时间表 252
10.4.3 攻击工具 253
10.4.4 攻击评价 256
10.5 对SUSE 9.1的攻击 257
10.5.1 攻击概述 257
10.5.2 攻击时间表 258
10.5.3 攻击工具 259
10.5.4 攻击评价 261
10.6 小结 262
第11章 追踪僵尸网络 263
11.1 僵尸程序和僵尸网络 263
11.1.1 僵尸程序举例 265
11.1.2 僵尸程序形式的间谍软件 268
11.1.3 僵尸网络控制结构 270
11.1.4 僵尸网络引起的DDoS攻击 273
11.2 追踪僵尸网络 274
11.3 案例研究 276
11.3.1 Mocbot和MS06-040 280
11.3.2 其他的观察结果 283
11.4 防御僵尸程序 285
11.5 小结 287
第12章 使用CWSandbox分析恶意软件 288
12.1 CWSandbox概述 289
12.2 基于行为的恶意软件分析 290
12.2.1 代码分析 290
12.2.2 行为分析 290
12.2.3 API拦截 291
12.2.4 代码注入 294
12.3 CWSandbox——系统描述 295
12.4 结果 297
12.4.1 实例分析报告 298
12.4.2 大规模分析 302
12.5 小结 304
参考文献 305

1. 大学生信息检索与网络安全教程 [刘军 杨昌尧 黄荣森]
2. 网络安全运维技术 [主编 唐继勇 任月辉]
3. 遨游数字时代——全球IT高管网络安全秘籍 [[美] Palo Alto Networks 编]
4. 云计算与网络安全 [主编　肖睿　徐文义]
5. 网络安全技术项目化教程 [主编 段新华 宋风忠]
6. 网络安全技术 [姚奇富]
7. 网络安全系统集成 [鲁先志 唐继勇]
8. 网络安全产品调试与部署 [路亚 李贺华]
9. 网络安全原理与应用（第二版） [戚文静 刘学]
10. 中小型网络安全管理与维护 [姚奇富 副主编 马华林]
11. 网络安全技术项目引导教程 [鲁立]
12. 计算机网络安全技术 [主 编 刘永华]
13. 网络安全技术 [主编 吴锐]
14. 现代网络安全技术 [李兴无 主 编 ]
15. 计算机网络安全技术（第二版） [蔡立军 主编]
16. 计算机网络安全实用技术 [葛彦强 汪向征 主编]
17. 网络安全与管理 [戚文静 主编]
18. 网络安全原理与应用 [戚文静 刘学 主编]
19. 网络与信息安全教程 [吴煜煌 汪军 等编著]
20. 计算机网络安全技术（第二版） [蔡立军 主编]
21. 网络与信息安全实验指导 [赖小卿 主编]
22. 网络安全与管理（第二版） [戚文静 主编]