自学成才的黑客（安全研究员）是从哪学到那些知识的？

现在的安全专家习惯通过无数的博客、视频和微博等途径了解迅速变化和更新的安全新闻和趋势。书籍，在另一个层面而言，是深入特定安全区域进行自身知识构建和拓宽认识面的一种有价值的资源。

安全行业是非常复杂的，不可能通过一本著作就了解一切，一本著作通常只关注某个单一的主题包括加密、网络安全模型以及安全评估等。

无乱现在的你是在考虑转行还是单纯的想学习新知识，下面推荐的这些安全书籍都值得你花上时间认真品阅：

（Applied Cryptography:Protocols,Algorithms,and Source Code in C）

作者：Bruce Schneier

1963年1月15日，Bruce Schneier出生于纽约市布鲁克林，1984年，他按自己的兴趣在罗彻斯特大学拿到物理学士学位后，却发现自己找不到理想的工作。最后被美国国防部招募，开始从事密码研究。期间，他来到位于华盛顿的美国大学学习计算机科学，获得硕士学位。

后来他一边创办自己的安全咨询公司Counterpane（2006年10月被英国电信收购），一边收集资料，准备写一本密码学方面的图书—也就是1993年由Wiley出版的《应用密码学》。

该书对密码学20年的发展做了百科全书式的总结，而且更美妙的是，随书奉送的软盘提供了许多算法的C语言实现代码，所以一经问世就成为畅销书，Schneier也一举成名。

著述之外，Schneier还设计了大量密码算法。其中与人合作设计的对称加密算法Twofish成功进入AES标准评选最后一轮，最终排名第三。2008年与人合作设计的Skein散列函数在2010年底成功入围SHA-3标准竞赛五强之一。这些成就奠定了他作为世界公认的顶尖密码专家的地位。

但Schneier并没有止步在密码专家的光环中，1997年他发表《Cryptography, Security and the Future》一文，开始思考密码之外更加广阔的安全问题。2001年911事件更加快了这一进程。

2000年到2012年，Schneier陆续出版了《Secrets & Lies》、《Beyond Fear》和《Liars and Outliers》，并为《连线》、《华尔街日报》等大众媒体撰文，将复杂晦涩的安全问题用通俗易懂的语言介绍给更广泛的读者，逐渐成为公众技术专家。

作品简介：

密码学的应用领域远远不只是编码和解码信息，要了解有关密码学技术的数字签名的知识，《应用密码学：协议算法与C源程序》是必读之作。

本书介绍了密码学协议的通用类型、特定技术，详细介绍了现实世界密码学算法的内部机制，包括DES和RSA公开密钥加密系统。书中提供了源代码列表和大量密码学应用方面的实践活动，如产 生真正的随机数和保持密钥安全的重要性。

《应用密码学：协议算法与C源程序》共分四个部分，定义了密码学的多个术语，介绍了密码学的发展及背景，描述了密码学从简单到复杂的各种协议，详细讨论了密码技术。并在此基础上列举了如DES、IDEA、RSA、DSA等十多个算法以及多个应用实例，并提供了算法的源代码清单。

全书内容广博权威，具有极大的实用价值，是致力于密码学研究的专业及非专业人员一本难得的好书。

推荐指数：★★★★★

（Threat modeling : designing for security）

作者：Adam Shostack

亚当·斯塔克(Adam Shostack)微软资深安全技术专家，微软可信计算项目团队核心管理人员，拥有数十年操作系统管理和产品开发从业经验，工作范围涉及安全开发过程、应用安全、攻击建模等安全领域。

除了从事安全开发工作，他还从事针对微软公司员工、合作伙伴及客户的威胁建模培训工作。

在加入微软之前，他曾在多家创业企业担任信息安全与隐私执行官，曾协助建立通用漏洞与披露信息库(CVE)、隐私增强技术研讨论坛以及国际金融加密技术协会。

此外，他著有多部书籍，也是位高产的主和公共演讲者，曾与Andrew Stewart合作出版《The New School of Information Security》。

作品简介：

该书为第24届Jolt大奖获奖图书，系统且深入阐释威胁建模的工具、方法、原则和最佳实践，对威胁建模的各种常见问题进行深入分析，涉及识别安全威胁、处理安全威胁、最优安全措施、彻底解决安全威胁等内容，能为程序员开发安全软件提供有效指导。

推荐指数：★★★★☆

（The Practice of Network Security Monitoring: Understanding Incident Detection and Response）

作者：Richard Bejtlich

理查德·贝特利奇(Richard Bejtlich)现任全球顶级安全公司FireEye的首席安全战略官、美国前沿网络安全公司Mandiant的首席安全官，曾任通用电气事件响应的主管，是最早一批研究网络安全和NSM防御的践行者。

他毕业于哈弗大学和美国空军学院，著有《The Tao of Network Security Monitoring》、《Extrusion Detection》和《Real Digital Forensics》。

他还在博客和推特上创作，其博客地址为http://taosecurity.blogspot.com；推特账号为@taosecurity。

作品简介：

本书深入解读网络安全监控的核心思想、工具和很好实践，从网络安全监控的原理、工具选型、环境部署到攻击的识别、发现与截击，详细讲解网络安全监控（NSM）主流工具的使用。

《网络安全监控实战：深入理解事件检测与响应》分为四部分：第一部分系统讲述了NSM的基本原理以及如何部署传感器以应对各种挑战；

第二部分讲解SO在硬件上的安装与配置，SO的单机与分布式环境的安装与部署，以及SO平台的运行维护；

第三部分主要介绍NSM工具链的应用，涵盖命令行和图形化的数据包分析工具（发现问题），以及NSM控制台（启动检测和响应流程）；

第四部分为实战部分，讲解如何建立有效的NSM团队，发现并制止服务器端和客户端的攻击。

本书网络安全监控内容比较细致，工具的可操作性强，是一本网络安全的入门好书。

推荐指数：★★★★☆

（Cyber War: The Next Threat to National Security and What to Do About It）

作者：Richard Clarke和Robert Knake

Richard Clarke是哈佛肯尼迪学院教授，里根到克林顿任总统期间一直担任美国白宫网络安全顾问；罗伯特?克纳基（Robert Knake）为美国对外关系委员会（Council on Foreign Relations）高级研究员、白宫前网络安全政策主任。

作品简介：

本书详细分析了网络空间战的未来形势，内容涉及犯罪、间谍、士兵、和黑客等。书中列举了以色列对叙利亚、美国对伊拉克的战例，指出网络战争是真实的，是超越战场的，并且已经在全球打响。

但是书中也浓墨重彩的描述了“中国威胁论+阴谋论”：中国向微软索要了操作系统秘密代码；从思科拷贝了路由器硬件结构；中国软硬兼施，彻底掌握了网络战争的核心技术等言论。

推荐指数：★★★☆☆（存在中国威胁论等不实言论）

（Cyberspies: The Secret History of Surveillance, Hacking, and Digital Espionage）

作者：Gordon Corera

Gordon Corera是一名BBC安全通讯记者，2006年7月31日出版《购买核弹》，介绍了有巴基斯坦“核弹之父”之称的科学家卡迪尔·汗非法转让核机密一案大白于天下的过程。

作品介绍：

在《网络间谍》一书中，Gordon Corera探讨了电脑和间谍的进化过程，从第二次世界大战、冷战、互联网的产生及兴起到现代黑客的发展演变过程。除了历史细节外，本书还介绍了英国、美国和中国的间谍活动等。

推荐指数：★★★☆☆（新出版，缺少评分数据）

（Security Engineering: A Guide to Building Dependable Distributed Systems）

作者：Ross J. Anderson

Ross J. Anderson是剑桥大学的安全工程教授，是当今世界安全工程领域的权威，曾著有《信息安全工程》一书，内容涵盖安全工程的方方面面，内容丰富、表述准确、概念清晰、针对性极强，堪称安全工程方面的鸿篇巨著，适合所有对安全工程感兴趣的读者。

作品介绍：

《安全工程:建立可靠的分布式系统指南》一直被全球信息安全界奉若神明。安全工程自2001年以来已经发生了很大的变化，网络犯罪分子的范围也不断扩大包括垃圾邮件发布者、网络间谍、洗黑钱者以及其他很多类型的罪犯。

在本书中，Ross Anderson讨论了很多话题包括攻击类型、安全心理学、政策以及专门的保护机制等，帮助安全人员建立可靠、安全的系统工程。

推荐指数：★★★★☆

（The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws）

作者：Dafydd Stuttard和Marcus Pinto

Dafydd Stuttard 世界知名安全顾问、作家、软件开发人士。牛津大学博士，MDSec公司联合创始人，尤其擅长Web应用程序和编译软件的渗透测试。Dafydd以网名PortSwigger蜚声安全界，是众所周知的Web应用程序集成攻击平台Burp Suite的开发者。

Marcus Pinto 资深渗透测试专家，剑桥大学硕士，MDSec公司联合创始人。Marcus为全球金融、政府、电信、博彩、零售等行业顶尖组织和机构提供Web应用程序渗透测试和安全防御的咨询与培训。

两人还著有《黑客攻防技术宝典.Web实战篇》等作品。

作品介绍：

该书对于负责防御网络犯罪的专业人士而言具有很好的指导作用。新版的《Web应用程序黑客手册》尤为专注Web应用程序安全，因为它很容易暴露企业漏洞，给予黑客窃取数据和执行欺诈性交易的机会。

本书循序渐进地讲述了Web应用程序的攻击和防护技术等，手册侧重于安全领域经历的最新变化，对关注Web应用程序安全的专业人士很有学习价值。

推荐指数：★★★★☆

（The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities）

作者：Mark Dowd、John McDonald、Justin Schuh

Mark Dowd是McAfee首席安全架构师，应用安全领域的专家；John McDonald是Neohapsis公司高级顾问，主要负责跨平台高级应用安全评估工作；Justin Schuh是谷歌的Chrome安全负责人，负责应用程序安全实践。

作品介绍：

作者Mark Dowd、John McDonald和Justin Schuh在《软件安全评估的艺术》一书中揭示了一些常见企业应用（如Microsoft Exchange、sendmail、Internet Explorer以及Check Point VPN）中存在的缺陷，用自己的经验解释了挖掘应用程序安全漏洞的方法。

本书还涵盖了Windows 和 UNIX/LINUX环境中存在的一系列软件漏洞。读者可以从各种类型的应用程序中更加深入的了解程序安全审计过程，从实际例子出发，在过去的错误中吸取教训，更好的做好应用程序安全评估工作。

推荐指数：★★★★☆

需要耐得住寂寞，仔细理解书里面的内容才好呀。

正好今天发布的内容整理了一份书单，在这里也发一下链接给大家做一个参考。
https://zhuanlan.zhihu.com/p/24263218