李晨光原创IT博客

一、现状现在网络威胁从传统的病毒进化到像蠕虫和拒绝服务等等的恶意攻击，当今的网络威胁攻击复杂程度越来越高，己不再局限于传统病毒，盗号木马、僵尸网络、间谍软件、流氓软件、网络诈骗、垃圾邮件、蠕虫、网络钓鱼等等严重威胁着网络安全。网络攻击经常是融合了病毒、蠕虫、木马、间谍、扫描技术于一身的混合式攻击。黑客利用蠕虫制造僵尸网络，整合更多的攻击源，集中对目标展开猛烈的拒绝服务攻击。这样单一的防病毒软件或是防火墙等安全设备很难阻挡住黑客的攻击，所以需要一种更先进的联动系统来防止各种攻击行为，这时就诞生了OSSIM

首次安装完OSSIM系统之后，进入WebUI界面发现RAWLogs菜单下没有内容，不免会心存疑虑，开源OSSIM是否具备日志采集和分析的能力。RAW LOGS是一个原始日志可视化展示的模块，在商业版的OSSIM提供，开源版不提供此功能。开源版OSSIM具备完整的日志采集处理和分析的能力。下面我们以收集分析Linux下的SSH日志为例进行说明。以下是一台以 All IN ONE 模式安装的开源OSSIM 5.0为例。Linux下SSH远程登录服务器失败的日志记录在/var/log/aut

Gartner魔力象限是监测和评估专业科技市场中公司的发展及定位的一种研究方法论和形象化权威工具。 2018年7月在美国AT&T在收购AlienVault公司之后，OSSIM商业产品主要针对大中型企业提供统一安全管理平台（USM）、开放式 威胁情报交换平台（OTX），它实现了在一个平台下集成多种安全产品：资产管理、漏洞评估、威胁检测、异常行为监控、SI...

中国科学院国家科学图书馆立足中国科学院、面向中国，主要为自然科学、边缘交叉科学和高技术领域的科技自主创新提供文献信息保障、战略情报研究服务，同时该中心为国际图书馆协会与机构联合会（IFLA）成员。网址：http://www.las.ac.cn/国内网络安全SIEM领域又一开荒之作《开源安全运维平台OSSIM疑难解析》丛书（入门篇、提高篇）再次获中科院图书馆永久收藏。该套丛书是自《开源安全运...

《开源安全运维平台OSSIM疑难解析--提高篇》课后习题首发原文地址：http://blog.51cto.com/chenguang/2348918一、多项选择题 OSSIM企业运维疑难问题解析-提高篇1.为了在OSSIM前端能显示丰富的图形，系统中必须安装 库，它是一种图形库，可以让PHP绘制各种图形，能够创建Jpg、PNG和BMP图像。A．Zlib...

《开源安全运维平台OSSIM疑难解析--入门篇》 课后习题下面列出的《开源OSSIM企业运维疑难问题解析》入门篇中针对OSSIM日常运维中遇到的问题总结而成下列测试题（局部）。首发原文地址：http://blog.51cto.com/chenguang/2349080一、多项选择题1．AlienVault OTX表示开放式威胁交换，OSSIM中将IP信誉评价数据记录在哪个文件...

《开源安全运维平台OSSIM疑难解析》一书将于2019年秋季开学季上市 时光荏苒、日月如梭。如今看到2008年写的技术文章到现在已经10年了，在此期间每周我都会把工作中遇到的各种技术问题总结下来。写博客是一种向外界传递个人观点和兴趣的一种方式，而兴趣是写作动力源泉，多年来坚持不懈的创作，换来了丰厚的回报。图书简介： 本书共分22章，通过本人历时两年时间创作而成。重点讲...

经多年潜心研究开源技术，历时三年创作的《开源安全运维平台OSSIM最佳实践》一书即将出版。该书用100多万字记录了作者10多年的OSSIM研究应用成果，重点展示了开源安全管理平台OSSIM在大型企业网运维管理中的实践。国内目前也有各式各样的运维系统，经过笔者对比分析得出这些工具无论在功能上、性能上还是在安全和稳定性易用性上都无法跟OSSIM系统想媲美，而且很多国内的开源安全运维项目在发布几年后就逐步淡出了舞台，而OSSIM持续发展了十多年。

最新-开源可视化安全管理平台Ossim5.0使用Ossim5.0在4月20号由Alienvault公司对外发布，它从2003年诞生到现在，经历了十多年的不断锤炼，目前已经是一款成熟的开源SIEM产品，以下是OSSIM在内网监控中发挥作用的截图（点击每张截图均可放大）。用Nagios监控，一键搞定。快速预览你的资产漏洞扫描一键完成及

2019年暑期，众所期待的新书《开源安全运维平台OSSIM疑难解析--入门篇》8月份上市。此书从立意到付梓，历时超过两年，经过数十次大修，历经曲折与艰辛，希望为大家代奉献一本好书，愿这本书能陪伴OSSIM用户一起进步一起成长。一、写作目的目前，OSSIM在中国移动、中国电信、中国石油、华为等大型企业内得到应用推广，这些企业在安全运营中心（SOC）基础上组建了OSSIM运维和二次开发团队，但...

《开源安全运维平台OSSIM疑难解析--提高篇》将由人民邮电出版社，于2019年8月底正式出版，这本书是《开源安全运维平台OSSIM疑难解析--入门篇》的姊妹篇，此书从立意到付梓，历时超过两年，经过数十次大修，历经曲折与艰辛，希望为大家代奉献一本好书，愿这本书能陪伴OSSIM用户一起进步一起成长。在提高篇这本书中精选了作者在OSSIM日常运维操作中遇到的许多疑难杂症，并给出了相应的解决方案。本...

开始阅读此文之前请安装好OSSIM v4.15OpenVAS釆用***测试原理，利用Scanner模块中的脚本引擎对目标进行安全检测。Openvas的Scanner的扫描性能依赖于同时进行扫描的并发进程数，不同的硬件环境上可设置的最有效并发扫描数各不相同，Openvas的扫描引擎设备可在保证系统稳定的前提下达到最佳的扫描性能，对于大型网络使用标准设备进行部署可大大降低安装和维护成本。脚本引擎根...

一条日志的发展历程更多有趣的内容大家可参考我的新作《开源安全运维平台OSSIM疑难解析--入门篇》，该书目前已上市。

本人历时2年多完成的两部最新网络安全运维作品《开源安全运维平台OSSIM疑难解析：入门篇》《开源安全运维平台OSSIM疑难解析：提高篇》，已由人民邮电出版社出版发行，并于今年8月21~25日参加了北京国际图书节，该书的全新亮相，引起众多计算机爱好者的广泛关注。本套图书在全国各大新华书店以及电商平台均有销售。...

从海量安全事件中挖掘有用的威胁信息与情报是当今讨论的热门话题，同时这也是一个难点？怎么实现呢？这里用到一种技术叫做关联分析，他也是SIEM（Security Information Event Management安全信息和事件管理）系统中最常见的事件检测手段，这并不是什么新鲜事物，20年前就已经有人提出来了。通常基于时序来对相同数据源或来自不同数据源的安全事件，使用关联规则来进行综合的关联分析...

Ossim下RRDTool实战 RRDtool 就是使用类似的方式来存放数据的工具，RRDtool 所使用的数据库文件的后缀名是.rrd（主要在 OSSIM系统的/var/lib/ossim/rrd/、/var/lib/munin/alienvault/目录、/var/lib/munin/localdomain和/var/lib/ntop_db_64/rrd/interface/e

谈OSSIM服务器内存开销问题 OSSIM经历十多年发展，目前已经成为最优秀的开源安全事件信息管理平台，它在我国的应用才刚刚起步。多年前，在国外考查时我意外发现了这款优秀的软件系统，并不断改进之后开始在国内开始推广应用OSSIM，在我撰写的《Unix/Linux网络日志与流量监控》一书中花费30%的笔墨，讲述了OSSIM部署及应用技巧。但初学者往往多这种系统的硬件要求之高并不理解，

Ossim主要功能实战OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台将Nagiso,Ntop,Snort,Nmap等开源工具集成在一起提供综合的安全保护功能，而不必在各个系统中来回切换比较麻烦，而且统一了数据存储，人们能得到一站式的服务，这就是OSSIM给我们带来的好处。当Ossim系统安装完毕后，我们在输入Web地即可打开主界面，下面的例子我们暂用ossiim 3.

利用Ossim系统进行主机漏洞扫描企业中查找漏洞要付出很大的努力，不能简单的在服务器上安装一个漏洞扫描软件那么简单，那样起不了多大作用。这并不是因为企业中拥有大量服务器和主机设备，这些服务器和设备又通不同速率的网络互联，只是我们在期望的时间内无法获得所需的覆盖范围，目前许多欧美的国际安全组织都按照自己分类准则建立了各自的数据库其中主流是CVE和，XForce。他的好处是，当网络出现安全事故，入侵检

企业内网信息安全实践随着棱镜计划的曝光，越来越多的信息安全的事件暴露在公众面前。对于企业来说，遭受到黑客攻击和破坏是家常便饭，只是您没有觉察到。自从09年就开始研究Ossim0.9版本，历经进10个发行版如今它已有突飞猛进的发展，功能已相当完善，为此受Chinaunix邀请参加了针对企业内部信息安全技术和规范的研讨会（http://www.it168.com/itclub/canon201307/

650) this.width=650;" title="29-1.jpg" alt="095310750.jpg" src="http://img1.51cto.com/attachment/201311/095310750.jpg" />650) this.width=650;" style="float:none;" title="11-29-2.jpg" alt="095400119.jp

用Ossim管理IT资产在Ossim中集成了Ocs Server,OCS用于帮助网络或系统管理员来跟踪网络中计算机配置与软件安装情况的应用程序。收集到硬件和系统信息，OCS Inventory 也可以用来发现在您网络中所有的活动设备，例如，交换机、路由器、网络打印机。代理程序(agent)需要安装在客户端计算机上，在 Windwos 系统下，OCS Inventory NG 提供了一个工具，使您可

Ossim应用入门——在《OSSIM在企业网络管理中的应用》http://chenguang.blog.51cto.com/350944/802007 这篇文章发布之后，很多同行对ossim表示了极大关注纷纷来信咨询如何使用和部署，在接下来的时间里我将总结这套系统的安装和使用的方法给大家分享。1  OSSIM背景介绍——目前，网络威胁从传统的病毒进化到像蠕虫、拒绝服务等的恶意攻击，当今的网络威胁攻

国内首个Ossim技术交流群（179084574），欢迎加入我们参与51CTO[第242期]OSSIM，企业信息安全管理利器热门技术讨论650) this.width=650;" border="0" alt="103857817.jpg" src="http://img1.51cto.com/attachment/201204/103857817.jpg" />今天为大家介绍的OSSIM即开源安

在Ossim 4.2以后的发行版中增加了控制台功能下面加以详细说明，当Ossim 启动之后，在控制台以root身份登录系统后会执行ossim-setup脚本，然后显示如下图1所示，了解这些功能，以及操作路径对于使用 Ossim系统非常有帮助，系统各部分功能介绍如下。650) this.width=650;" style="background-image:none;border-bottom:0p

开源安全平台Ossim 4.5系统使用入门时长：15分钟观看地址：http://www.tudou.com/programs/view/Yb0m4vPYlIQ/ 视频截图：650) this.width=650;" style="float:none;" title="tmp-42.jpg" alt="wKioL1NDS1Ojck8dAAJ64VpEYps740.jpg" src="http://

用移动智能设备访问Ossim系统下面我们使用iPad,iPhone访问ossim系统的效果。高清视频：http://www.tudou.com/programs/view/TikMZ1z1ELw650) this.width=650;" src="http://s3.51cto.com/wyfs02/M00/25/5C/wKiom1NeWRzydFdFAA5KCCa4PVI469.jpg" tit

教你用Ossim平台检测网络的Shellcode攻击行为教程：http://www.tudou.com/programs/view/-hxTm0q1tDY/ 以下是视频截图：650) this.width=650;" title="tmp-4-10.jpg" alt="wKioL1NGHo-yoa3IAAVaBGrhJsU781.jpg" src="http://s3.51cto.com/wyfs

650) this.width=650;" style="float:none;" title="屏幕快照 2014-01-20 下午11.04.54.png" alt="wKioL1LdPBmz67w7ABa2h3aqyMU143.jpg" src="http://s3.51cto.com/wyfs02/M00/11/C4/wKioL1LdPBmz67w7ABa2h3aqyMU143.jpg"

Ossim体验视频     近期，我写的有关Ossim应用的系列文章网友们非常关注，这里对大家提出有一些问题我制作了高清的视频和截图发布到网站，以让更多的人了解这款开源安全平台。在年后出版的教程中会详细讲解ossim体系结构、工作原理、二次开发以及Ossim企业级网络安全应用实战内容。 以下是我制作的原创视频，和大家分享1.服务器安装ossim4（单机部署）http://www.tudou.com

运用Ntop监控网络流量____网络流量反映了网络的运行状态，是判别网络运行是否正常的关键数据，在实际的网络中，如果对网络流量控制得不好或发生网络拥塞，将会导致网络吞吐量下降、网络性能降低。通过流量测量不仅能反映网络设备（如路由器、交换机等）的工作是否正常，而且能反映出整个网络运行的资源瓶颈，这样管理人员就可以根据网络的运行状态及时采取故障补救措施和进行相关的业务部署来提高网络的性能。对网络进行流

OSSIM的Session存储问题研究1.多Web服务共享SESSION数据     最初我们在开发OSSIM时，为了让用户登录多个集成工具的Web界面，比如在OSSIM下有四个应用都是B/S架构： https://1.2.3.4/nagios https/1.2.3.4/ocs https://1.2.3.4/ntop https://1.2.3.4/openva

OSSIM安装与驱动问题 大家在部署OSSIM系统常遇到的就是驱动安装的问题，或是网卡没驱动或是硬盘没驱动，其实在Linux手动安装驱动是一项必须掌握技能。在《Unix/Linux网络日志分析与流量监控分析》讲过OSSIM平台是一套基于Debian Linux的系统，但是IBM，HP，DELL等厂家的多数服务器对Debian Linux系统支持的并不太好，所以磁盘和网卡的驱动通常都

WindowsServer2008Hyper-V下安装Ossim系统背景：很多朋友在用Hyper-v安装Linux的时候总是抱怨速度很慢，而且装好了系统无法识别网卡，可实际上针对网卡的问题本文提出了一个可行的解决办法。注意,如果是WindowsServer2008R2ServerCore的系统安装Hyper-V要稍微复杂,本文不在叙述，本文中提出的解决办法只适用于测试环境，而不建议在生产环境使用。