- 博客(602)
- 资源 (9)
- 收藏
- 关注
RSS订阅
原创 网络日志分析场景二:谁动了我的文件
本文通过一系列的技术手段和逻辑推理,他们揭露了文件泄露的途径,并采取了相应的措施来防止进一步的泄露,同时也为追踪和识别泄露者提供了线索。
2024-12-12 09:33:15
736
原创 网络日志分析场景一:闪现Segmentation Fault为哪般?
本文描述一起电商网站首页篡改案,管理员小王对各方调查取证,几经周折终于对系统进程、TCP连接和Apache的访问日志,进行分析最终找出原因的故事。
2024-12-11 14:27:11
991
原创 Arkime学习课程
为了让新手快速入门,笔者精心设计《开源全流量捕获工具Arkime 4 安装教程》 这门课重点解决系统安装难点和数据分析技巧等问题,通过学习零基础用户能快速上手。
2024-11-11 17:18:47
352
原创 Kali Linux环境下源码编译Snort 3
目前,网络上很多文章介绍如何在Kali Linux下安装Snort 2/3,但是新手们在实战中,使用用这些资料时,才发现,无法得到想要的结果。花费了大量时间到在网络上查资料最终无功而返,有些博主是东拼西凑得来的东西,有些是自己刚做出来,还没搞明白发布,弄得新手是云里雾里。接下来分享的是作者多年Snort开发过程中总结的安装心得,目的就是让新手能够快速源码编译安装Snort。接下来,下载我们这段安装脚本,只有短短几十行SHELL代码,经过半小时就能完成全部编译和配置过程,视频如下。测试运行Snort3。
2024-06-01 09:37:40
475
原创 ELSA企业日志归档查询应用
ELSA是一款基于syslog-ng、MySQL的开源企业日志归档查询工具,由于它和Sphinx的搭配还支持全文索引可以像搜索web一样轻松地搜索数十亿个日志中的任意字符串。如果你具备ELK实战经验的话,可以把ELSA理解为简版的ELK系统,结构简单,速度快。安装比较简单就不介绍了,下面直接切入正题。1.采集Windows服务器日志我们可以采用Eventlog-to-Syslog工具将Windows平台的日志发送到ELSA服务器方法:将evtsys.exe和evtsys.dll复制到系统目录下输
2020-12-09 17:33:50
822
1
原创 开源OSSIM系统具备日志采集和分析的能力吗?
首次安装完OSSIM系统之后,进入WebUI界面发现RAWLogs菜单下没有内容,不免会心存疑虑,开源OSSIM是否具备日志采集和分析的能力。RAW LOGS是一个原始日志可视化展示的模块,在商业版的OSSIM提供,开源版不提供此功能。开源版OSSIM具备完整的日志采集处理和分析的能力。下面我们以收集分析Linux下的SSH日志为例进行说明。以下是一台以 All IN ONE 模式安装的开源OSSIM 5.0为例。Linux下SSH远程登录服务器失败的日志记录在/var/log/aut
2020-11-12 15:51:13
551
1
原创 终结CentOS 7+Snort+BASE 1.4.5安装
您或许是由于多次Snort安装失败的痛苦经历对他产生了阴影,或许还停留在在寻找更好的安装教程的旅程上,.......看完下文之后,希望对Snort安装不再犯怵。安装系统分为三个阶段。第一阶段本阶段主要是准备环境,调试Snort主程序,难度系数****步骤一:需要准备的软件环境:VMware workstation 15 Pro CentOS-7-x86_64-Minimal-1908.iso Cent OS 7 最小化安装 libdnet-1.12.tg daq-2.0.7.tar
2020-06-26 08:14:25
2017
原创 坚持十年博客写作,不忘初心,方得始终
自十年前在优快云开博以来,从论坛论坛潜水,写博客,再到出版个人专著,多年笔耕不辍。 独学而无友,正是这十年,不但发布了400多篇技术博客,而且通过优快云网络平台结交了一大批良师益友,虽然地域不同,也未曾谋面,但有着共同的信念,激励着我们砥砺前行。2019年秋,我的又一部图书已经上市,下图为参加第26届北京国际图书博览会新书发布会的现场照片。 坚持十年博客...
2019-11-25 15:23:48
458
1
原创 深度学习OSSIM关联分析(附源码注解)
从海量安全事件中挖掘有用的威胁信息与情报是当今讨论的热门话题,同时这也是一个难点?怎么实现呢?这里用到一种技术叫做关联分析,他也是SIEM(Security Information Event Management安全信息和事件管理)系统中最常见的事件检测手段,这并不是什么新鲜事物,20年前就已经有人提出来了。通常基于时序来对相同数据源或来自不同数据源的安全事件,使用关联规则来进行综合的关联分析...
2019-09-24 14:53:33
1656
原创 无线IDS安装Step by Step
0.写作背景目前无线网日益成为我们生活和工作中的一部分,没有Wi-Fi的地方会让人觉得“不适应”,一些黑Wifi也是危机重重。这是由于无线网络的一些特殊性造成,这使得一些人无须物理连线就可以对其进行,这样WLAN 的安全问题显得尤为突出。你肯能会问WLAN都是放置在防火墙、 虚拟专用网络第三方的安全产品之后的吗?不这就安全了吗?殊不知,无线网络不但因为基于传统有线网络 TCP/IP 架构而受到...
2019-09-05 10:01:30
319
原创 OpenVAS漏洞扫描插件工作原理浅析
开始阅读此文之前请安装好OSSIM v4.15OpenVAS釆用***测试原理,利用Scanner模块中的脚本引擎对目标进行安全检测。Openvas的Scanner的扫描性能依赖于同时进行扫描的并发进程数,不同的硬件环境上可设置的最有效并发扫描数各不相同,Openvas的扫描引擎设备可在保证系统稳定的前提下达到最佳的扫描性能,对于大型网络使用标准设备进行部署可大大降低安装和维护成本。脚本引擎根...
2019-08-15 15:07:15
3340
原创 《UNIX/Linux网络日志分析与流量监控》2018年第三次印刷上市!
国内首部日志分析图书自2014年登陆中国图书市场以来,经过4年市场考验,图书内容广获好评,如今迎来了2018第三次印刷。经过精雕细琢的日志分析图书目前可以在京东、当当自营店预售。当当自营店:http://product.dangdang.com/23610475.html (5折 优惠活动截止2018-11-15)京东自营店 :https://item.jd.com/115...
2018-11-14 15:18:24
240
原创 Linux环境下Snort+Guardian+IPtables联动
很多人想通过Snort开源软件架构一套IPS系统,由于Snort自身无法阻断Gong JI 流量必须通过其他工具,例如包过滤防火Qiang来实现,它们之间的沟通桥梁就是Guardian,下面简单说明这三者间的关系
2023-10-18 16:08:41
574
原创 新手在Ubuntu 20.04系统中编译安装Snort+Barnyard+BASE的难点问题
在课程会详细讲解这种问题。遇到这种问题,还是学习上面我的这门课程,通过视频一步步为大家讲解如何在遇到故障之前就做好铺垫(各种软件操作),问题关键出在libpcap上,处理细节留在课程里讲解。接着我们准备安装Barnyard2,预编译通过之后,编译过程中遇到spo_alert_fwsam.o文件错误,在网上查阅很多资料都没有解决。Barnyard2如何正确配置barnyard2.conf对新人也是一个调整,输出插件写的不对,数据库连接会出错,操作细节留在课程中讲解。接着,make编译软件,会继续报错。
2023-09-04 15:59:44
325
原创 编写的Snort规则不报警怎么办?
Snort规则编写是一项复杂的工作,要编写有效Snort规则,不仅掌握Snort的语法,更多需要大家对网络协议和Attack 技术都有一定的了解。在编写规则之前,我们需建议学习相关的网络安全知识(熟悉常见网络Attack原理方法和防御手段)然后需要了解Snort规则语法。规则写的再好,没有流量过来也不行,在Snort课程中会详解这个问题。在我的Snort课程里学习过Snort会检查包的内容,只有包中内容完全符合content条件才会报警,但新手往往搞不清楚怎么回事,不知道怎么修改规则。
2023-09-04 15:42:29
318
原创 新手安装Arkime不求人
初学者补齐短板之后,再学习Arkime,也不太现实,为了让新快速入门,笔者精心设计《开源全流量捕获工具Arkime 4 安装教程》 https://edu.51cto.com/course/33695.html这套教材,这门课重点解决系统安装难点和数据分析技巧等问题,通过学习零基础用户能快速上手。安装Arkime软件本身并没有什么难度,依赖问题解决之后,下载二进制文件安装就好了,但它必须和ElasticSearch(后面简称ES)一起工作,所以必须对ELK工作原理有所了解,最好会配置。
2023-09-04 15:37:34
694
原创 新手在Ubuntu 20.04系统中编译安装Snort+Barnyard+BASE的困惑
遇到这种问题,还是学习上面我的这门课程,通过视频一步步为大家讲解如何在遇到故障之前就做好铺垫(各种软件操作),问题关键出在libpcap上,网上其他资料都不会从这个点上分析问题,我会把处理细节留在课程里讲解,新手看完跟着做就能轻松搞定。对于新人而言安装这一关过了,下面要开始更复杂的Snort配置,打开snort.conf配置文件不知如何下手,在。接着我们准备安装Barnyard2,预编译通过之后,编译过程中遇到spo_alert_fwsam.o文件错误,在网上查阅很多资料都没有解决。
2023-06-21 11:10:06
669
原创 Windows 10环境中安装Snort+Barnyard2+MySQL
本文介绍如何在Windows10环境中安装Snort+Barnyard2+MySQL系统。
2023-03-09 16:03:56
1612
2
原创 独著多部计算机畅销书,经由亚马逊(Amazon)出口至英、美、德、法、荷、加、澳等国图书市场
本人独著《开源安全运维平台OSSIM疑难解析 入门篇》、《开源安全运维平台OSSIM疑难解析 提高篇》、《开源安全运维平台:OSSIM最佳实践》、《UNIX/Linux网络日志分析与流量监控》 多部计算机畅销书,经由亚马逊(Amazon)出口至英国、美国、德国、法国、荷兰、加拿大、澳大利亚和新加坡图书市场销售。...
2021-03-10 12:17:41
268
3
转载 开源安全平台---SELKS实战
(大家在进行SELKS实战之前必须具备Elastic Stack的基础知识)1.什么是SELKS ?SELKS是Stamus Networks公司所开发的一个开源ELK项目,社区版是在GPL v3许可下发布,目的是实现一个开箱即用的IDS系统。社区版SELKS包括以下组件:字母缩写 组件名称 S Suricata E Elasticsearch L Logstash K Kibana S Scirus(社区版) 注:Scirius 社区
2021-01-05 15:13:04
2014
1
原创 轻松打造开源安全信息管理平台
一、现状现在网络威胁从传统的病毒进化到像蠕虫和拒绝服务等等的恶意攻击,当今的网络威胁攻击复杂程度越来越高,己不再局限于传统病毒,盗号木马、僵尸网络、间谍软件、流氓软件、网络诈骗、垃圾邮件、蠕虫、网络钓鱼等等严重威胁着网络安全。网络攻击经常是融合了病毒、蠕虫、木马、间谍、扫描技术于一身的混合式攻击。黑客利用蠕虫制造僵尸网络,整合更多的攻击源,集中对目标展开猛烈的拒绝服务攻击。这样单一的防病毒软件或是防火墙等安全设备很难阻挡住黑客的攻击,所以需要一种更先进的联动系统来防止各种攻击行为,这时就诞生了OSSIM
2020-11-24 15:00:09
2118
转载 Security Onion Solutions 2.3.10部署指南
(完成本文实验,需要读者具备日志采集分析、ELK和Docker环境的操作经验)1.部署准备1.1 什么是Security Onion SolutionSecurity Onion是免费的开源Linux发行版,它主要用于威胁搜寻,企业安全监视和日志管理。它包括TheHive,Playbook和Sigma,Fleet和osquery,CyberChef,Elasticsearch,Logstash,Kibana,Suricata,Zeek(以前的bro-ids),Wazuh等安全工具。Sec
2020-11-23 09:29:35
3066
5
原创 开源资产管理软件OCS Inventory 实践
今天为大家介绍的开源软件OCS,它能帮助管理员掌握计算机软件安装和配置,通过Web界面自动为你的资产建立好台账。它的Server和Agent通讯基于B/S架构,而对用户而言,可以通过已B/S方式来查询资产的状况。Ocs-NG既可以架构在Windows平台也可以是Linux/UNIX平台,前提需要准备好LAMP环境。一、系统部署通过首先介绍Windows环境下安装OCSNG-Server,因为在Windows环境下无需考虑各种包的依赖关系,也不用进行繁琐的配置,可谓是傻瓜化安装,特别适..
2020-11-17 10:02:16
2653
原创 网络日志分析的重要性
网络安全中最富挑战性的工作是网络日志分析。这种工作过程通过对各种日志文件进行严密监控和分析来识别出入侵或入侵的企图,该过程还包含归一化的日志安全事件进行关联分析。这需要进行检查的网络日志文件有许多不同的类型,但是设备(包括交换机、防火墙、路由器等)。尽管分析日志文件是一件单调乏味且容易让人疲劳的工作,但是在《Unix/Linux网络日志分析和流量监控》一书中给出的技术和有趣的案例,可以帮助你在短时间内从日志文件中获取大量有价值的经验。这本日志分析图书从日志文件的作用和特征讲起逐步深入到日志文件分析的
2020-11-11 12:22:18
1382
1
转载 基于CentOS 8 系统环境下的 Snort 3 安装指南
O、 阅读要求本教程并不适合初学者,大家在阅读本文之前,需具备CentOS 8 Linux、Snort 2.9的成功安装经验。本次安装对网络依赖很大,所以大家一定要将网络状态调节好,本指南介绍的内容,仅在测试环境中使用。一、环境虚拟机:VMware Workstation V15安装镜像:CentOS 8 (CentOS-8.2.2004-x86_64-minimal.iso )安装方式:基于网络安全方面的考虑,本实验采用最小化安装CentOS 8、内存(4G+)、CPU(4 core)
2020-10-23 16:44:46
1622
转载 图书出版之后,作者还需关注哪些内容?
一本图书从构思、写作、排版加工到出版是比较难的,是不是出版之后就可以高枕无忧呢?出版商在乎的是销量,读者在乎的是质量,作为图书作者在乎的内容还不止这些,下面就聊聊作者最需要关注的几个方面:一.整理勘误在图书出版之后,可根据出版社、读者的反馈意见进行修改,尽快整理好图书勘误内容,在网站上进行公布,不断汇总,为图书再版做好准备。二.查询销量1.线上图书查询通常图书销量对出版公司来说是保密内容,只能通过内部机构才能获取准确数据,普通读者不容易获得这些内容,但资深作者可以从责编辑那里获取数据,或
2020-09-18 17:27:53
547
1
原创 基于CentOS7系统环境下的Snort3安装指南
O、 阅读要求大家在阅读本文之前,需熟悉CentOS Linux、Snort 2.9的成功安装经历。本节安装对网络依赖很大,所以大家一定要将网络状态调节好。一、环境虚拟机:VMware Workstation V15安装镜像:CentOS 7 (CentOS-7-x86_64-Minimal-1908.iso)安装方式:基于网络安全方面的考虑,本实验采用最小化安装CentOS 7。内存(2G+)、CPU(4 core)、磁盘空间(20G+)安装包:在百度网盘下载安装包sources-
2020-08-27 17:06:05
2799
18
原创 OSSIM已连续8次进入Garthner SIEM 魔力象限
Gartner魔力象限是监测和评估专业科技市场中公司的发展及定位的一种研究方法论和形象化权威工具。 2018年7月在美国AT&T在收购AlienVault公司之后,OSSIM商业产品主要针对大中型企业提供统一安全管理平台(USM)、开放式 威胁情报交换平台(OTX),它实现了在一个平台下集成多种安全产品:资产管理、漏洞评估、威胁检测、异常行为监控、SI...
2020-03-05 10:33:15
537
原创 2019款Mac Pro到底有多强
0、 背景 2013款Mac Pro 俗称“垃圾桶”,是苹果公司2013年底向市场推出的一款图形工作站,体积只有2010款Mac Pro 的八分之一,在体积上秒杀了市面上所有工作站,而性能却提高了 4 倍。主款主机颠覆了传统立式机箱的结构布局,由三块主板竖着围成一个三角尺由此构成了一个高9.9寸的圆柱型结构工作站。 正是由于这种紧凑型设计造成扩展性问题,对于普通...
2020-01-16 17:09:02
3005
原创 用OSSIM可视化显示SSH异常行为
当遇到SSH异常行为时我们通常选择到日志服务器上被动查看和分析日志,这样往往无法实时发现可疑IP的异常行为,下面通过OSSIM平台大数据分析智能筛选出疑似Attack行为。场景再现:小张最近在使用某云服务器的过程中,被比特币Hacker光顾了服务器....,损失惨重。在备份好重要资料之后,重新安装了系统,没过多久服务器又挂了。在随后的调查中,小张在服务器中发现了一些蛛丝马迹,aut...
2019-12-10 16:39:56
307
原创 本人2019年最新OSSIM作品再次获中科院图书馆永久收藏
中国科学院国家科学图书馆立足中国科学院、面向中国,主要为自然科学、边缘交叉科学和高技术领域的科技自主创新提供文献信息保障、战略情报研究服务,同时该中心为国际图书馆协会与机构联合会(IFLA)成员。网址:http://www.las.ac.cn/国内网络安全SIEM领域又一开荒之作《开源安全运维平台OSSIM疑难解析》丛书(入门篇、提高篇)再次获中科院图书馆永久收藏。该套丛书是自《开源安全运...
2019-10-12 10:01:55
363
Cygwin(32-bit)安装文件
2023-03-18
Mac OS X Server 安装与应用.docx
2020-06-08
LOG-PDF.rar
2020-02-12
MicrosoftFixit50450-1.rar
2020-01-15
SUSE Linux Enterprise Serve 12 试用感受
2014-11-25
学校网站管理系统正式版
2009-03-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人