本书以Python3语言环境为基础，全面介绍检测和识别网络攻击的方法。从理论基础入手，融合实战项目，逐步引导读者掌握日志分析、数据存储与检索等技术，最终实现对恶意程序的高效检测与识别。本书共7章，第1章和第2章介绍Python编程的基础知识和常用模块的使用方法。第3章和第4章重点讲解使用Python分析Zeek日志文件、Windows系统日志文件，以及暴力破解和代理执行的日志案例。第5章讨论基于MongoDB高效存储和ElasticSearch检索日志记录的方法。第6章阐述通过Python获取本地主机和远程主机系统与服务信息的方法，从而进行更深入的系统管理和安全分析。第7章详细说明使用Python识别文件类型、计算文件哈希、使用YARA规则检测文件、集成VirusTotal反病毒引擎，以及识别UPX加壳程序和分析恶意文档的相关内容。本书示例代码丰富，实际性与系统性俱佳，对每个案例都进行了详细阐述，助力读者透彻地理解书中的重点与难点。无论是初学者入门，还是工作多年的安全工程师参考，抑或是作为高等院校和培训机构相关专业的教学参考书，本书都非常合适。

本书旨在帮助读者掌握使用Python进行安全防御，将从Python编程基础开始，逐步深入探讨如何利用Python进行日志的处理与挖掘、探测主机信息，以及检测恶意程序文件等。通过本书的学习，读者不仅能掌握Python语言的基本应用，还能够深入地理解Python在网络安全防御中的用法。

前言

随着信息技术的飞速发展，网络安全问题日益严峻，网络攻击的种类和复杂性也日益增加。黑客攻击、数据泄露、勒索软件、拒绝服务攻击等威胁已经成为不可忽视的问题。这些问题不仅威胁到个人的隐私安全，也严重危害着企业的正常运作，因此如何有效地防御各类网络攻击显得越来越重要。

由于攻击手段不断发展和变化，传统的防御方法和工具往往无法跟上攻击者的步伐。为了应对这些不断演化的威胁，安全工程师需要具备强大的技术工具和手段，能够实时识别并应对复杂多变的攻击形式。更重要的是，随着攻击规模的扩大和攻击方式的多样化，手工分析已显得力不从心，迫切需要自动化、智能化的分析工具来提高检测效率和准确性。

在这种背景下，Python作为一种简洁、易学且功能强大的编程语言，已成为网络安全领域中不可或缺的工具之一。Python不仅支持快速开发和灵活扩展，而且拥有丰富的第三方库，因此Python成为许多安全研究人员的首选编程语言。

本书旨在帮助读者掌握使用Python进行安全防御，将从Python编程基础开始，逐步深入探讨如何利用Python进行日志处理与挖掘、探测主机信息，以及检测恶意程序文件等。通过本书的学习，读者不仅能掌握Python语言的基本应用，还能够深入理解Python在网络安全防御中的应用。

笔者希望通过本书能够帮助学习中的读者，在网络安全学习的过程中少走弯路，也希望帮助正在网络安全领域工作的读者，更深层地理解和掌握Python防御技术并实现升职加薪。通过编写本书内容，笔者总结了大量分析场景中的实际经验，也查阅了大量的官方文档，这使笔者也在多个维度上有了更深层的提升，收获良多。

本书主要内容

第1章主要介绍搭建开发环境的方法、Python变量、数据类型、运算符、函数、流程控制和文件操作等基础知识。

第2章主要介绍Python中常用模块的使用方法，包括sys、os、re、psutil、cryptography等。

第3章主要介绍读取、解析和筛选Zeek日志文件和Windows系统日志文件的方法，通过分析日志文件来发现异常行为，包括暴力破解、代理执行等。

第4章主要介绍分析日志中的地理位置、时间戳数据和频率等信息的方法，以及通过组合多日志文件来检测和分析C2流量。

第5章主要介绍使用MongoDB和Elasticsearch高效存储和检索日志数据，包括通过Python与MongoDB交互来存储日志记录、使用Elasticsearch和Kibana进行日志检索和可视化，结合Python与Elasticsearch的交互来高效检索和分析日志数据。

第6章主要介绍使用Python探测本地主机和远程主机信息，包括操作系统、软件版本、进程信息及网络连接等。

第7章主要介绍使用Python检测和识别恶意程序文件，包括计算文件的哈希值、利用YARA规则检测恶意程序、集成VirusTotal反病毒引擎检测恶意文件、识别UPX加壳程序，以及检测恶意文档文件。

阅读建议

本书是一本集基础入门、项目实战及原理剖析于一体的书籍，它不仅涵盖了详细的基础知识，还提供了丰富的实际项目案例，每个案例都附有详细的解释。为了帮助读者系统地掌握技术，建议读者按顺序逐章阅读，以确保知识的连贯性和全面性。

本书涵盖了多个领域的内容，适用于网络安全、数字取证、恶意软件分析等领域的从业人员。通过深入浅出的理论讲解和丰富的实战案例，本书帮助读者快速提升技术能力，并能在实际工作中高效应对网络安全挑战。

资源下载提示

素材(源码)等资源： 扫描目录上方的二维码下载。

致谢

特别感谢清华大学出版社赵佳霓编辑及其他相关老师在写作过程中给予的支持与帮助。

由于时间仓促，书中难免存在不妥之处，请读者见谅，并提宝贵意见。

刘晓阳

2025年12月

刘晓阳，多年来一直从事网络安全方面的教学和研究工作。在网络渗透测试方面有十分丰富的实践经验，擅长对企业内网的渗透测试、开发红队安全工具的相关技术。已出版《恶意代码逆向分析基础详解》等计算机网络安全图书。

目录

本书源码

第1章进入Python语言世界

1.1搭建开发环境

1.1.1安装Kali Linux虚拟机

1.1.2安装PyCharm集成开发环境

1.1.3运行第1个Python程序

1.1.4配置PyCharm基本选项

1.2基本要素

1.2.1变量与数据类型

1.2.2算术运算符

1.2.3比较运算符

1.2.4逻辑运算符

1.2.5输入与输出

1.3序列类型

1.3.1字符串

1.3.2元组

1.3.3列表

1.3.4集合

1.3.5字典

1.4流程控制

1.4.1顺序结构

1.4.2选择结构

1.4.3循环结构

1.5函数

1.5.1定义与调用

1.5.2内置函数

1.6文件操作

1.6.1读取文件

1.6.2写入文件

1.7面向对象编程基础

1.8模块

1.8.1封装与导入模块

1.8.2模块的分类

1.9异常处理

1.9.1try?except结构

1.9.2try?except?else结构

1.9.3try?except?finaly结构

第2章常用模块的使用方法

2.1sys模块

2.1.1sys模块常用变量和函数

2.1.2使用argparse模块解析命令行参数

2.2os模块

2.2.1获取系统信息

2.2.2执行系统命令

2.2.3实现文件管理

2.3re模块

2.3.1正则表达式基础

2.3.2re模块常用函数

2.4psutil模块

2.5cryptography模块

第3章初步分析日志文件

3.1Zeek工具基础

3.1.1搭建Zeek工具环境

3.1.2使用Zeek记录日志

3.2分析访问日志文件

3.2.1分析日志的流程

3.2.2读取日志文件

3.2.3解析日志文件

3.2.4筛选日志文件

3.3分析Zeek日志文件

3.3.1分析conn.log日志文件

3.3.2分析http.log日志文件

3.3.3分析dns.log日志文件

3.3.4分析smb.log日志文件

3.4分析Windows系统日志

3.4.1Windows系统日志基础

3.4.2Python管理系统日志

3.4.3分析暴力破解登录

3.4.4分析异常代理执行

第4章深度分析日志文件

4.1拓展日志的地理位置

4.1.1IP地址识别地理位置的原理

4.1.2Python实现查询地理位置

4.1.3分析auth.log日志文件

4.1.4经纬度转换真实地址

4.2拓展日志的时间戳

4.2.1时间戳的表示方式

4.2.2时间戳算法基础

4.2.3时间戳数据的可视化

4.3拓展日志的频率分析

4.3.1DNS域名系统基础知识

4.3.2Python统计频率的方法

4.3.3分析dns.log日志文件

4.4识别和检测C2流量

4.4.1多日志文件组合原理

4.4.2基于日志文件检测C2

第5章高效存储和检索日志记录

5.1基于MongoDB存储记录

5.1.1MongoDB的存储结构

5.1.2搭建MongoDB数据库环境

5.1.3Python与MongoDB交互

5.1.4存储勒索病毒相关日志记录

5.2基于Elasticsearch检索记录

5.2.1搭建Elasticsearch和Kibana环境

5.2.2Python与Elasticsearch交互

5.2.3检索勒索病毒相关日志记录

5.2.4检索系统登录相关日志信息

第6章探测系统与服务信息

6.1获取本地主机信息

6.1.1获取操作系统信息

6.1.2获取软件版本信息

6.1.3获取进程信息

6.1.4获取网络连接信息

6.2获取远程主机信息

6.2.1介绍WMI管理工具

6.2.2获取远程主机的系统信息

6.2.3获取远程主机的进程信息

第7章检测和识别恶意程序文件

7.1识别文件类型

7.1.1文件类型基础知识

7.1.2实现识别文件类型

7.2计算文件的哈希值

7.2.1文件哈希算法基础知识

7.2.2实现计算文件哈希

7.3基于YARA识别恶意程序

7.3.1YARA的基础知识

7.3.2Python组合YARA识别恶意程序

7.4集成VirusTotal反病毒引擎

7.4.1介绍VirusTotal反病毒引擎

7.4.2实现集成VirusTotal反病毒引擎

7.5识别UPX加壳程序

7.5.1识别UPX加壳的原理

7.5.2检测UPX加壳程序

7.6识别恶意文档文件

7.6.1初识恶意文档文件

7.6.2检测恶意文档文件