掃一掃
關注中圖網
官方微博
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
開源安全運維平臺OSSIM疑難解析(提高篇) 版權信息
- ISBN:9787115506474
- 條形碼:9787115506474 ; 978-7-115-50647-4
- 裝幀:一般膠版紙
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
開源安全運維平臺OSSIM疑難解析(提高篇) 本書特色
OSSIM(Open Source Security Information Management,開源安全信息管理)系統是一個非常流行和完整的開源安全架構體系,通過將開源產品進行集成,從而提供一種能實現安全監控功能的基礎平臺。 《開源安全運維平臺OSSIM疑難解析:提高篇》精選了作者在OSSIM日常運維操作中遇到的許多疑難雜癥,并給出了相應的解決方案。本書共分為12章,內容包括入侵檢測Snort與Suricata,基于主機的入侵檢測—OSSEC,漏洞掃描OpenVAS,Memcache、RabbitMQ與Redis協同工作,日志采集與分析,關聯分析技術,資產管理,網絡流量與主機高可用監控,NetFlow流量分析,OSSIM前端漢化技巧,壓力測試及性能監控,數據包抓包分析技巧等。 《開源安全運維平臺OSSIM疑難解析:提高篇》精選了作者在非常適合具有一定SIEM(Security Information and Event Management,安全信息和事件管理)系統實施經驗的技術經理或中高級運維工程師閱讀,還可以作為開源技術研究人員、網絡安全管理人員的參考資料。
開源安全運維平臺OSSIM疑難解析(提高篇) 內容簡介
OSSIM(Open Source Security Information Management,開源安全信息管理)系統是一個很好流行和完整的開源安全架構體系,通過將開源產品進行集成,從而提供一種能實現安全監控功能的基礎平臺。 《開源安全運維平臺OSSIM疑難解析:提高篇》精選了作者在OSSIM日常運維操作中遇到的許多疑難雜癥,并給出了相應的解決方案。本書共分為12章,內容包括入侵檢測Snort與Suricata,基于主機的入侵檢測—OSSEC,漏洞掃描OpenVAS,Memcache、RabbitMQ與Redis協同工作,日志采集與分析,關聯分析技術,資產管理,網絡流量與主機高可用監控,NetFlow流量分析,OSSIM前端漢化技巧,壓力測試及性能監控,數據包抓包分析技巧等。 《開源安全運維平臺OSSIM疑難解析:提高篇》精選了作者在很好適合具有一定SIEM(Security Information and Event Management,安全信息和事件管理)系統實施經驗的技術經理或中不錯運維工程師閱讀,還可以作為開源技術研究人員、網絡安全管理人員的參考資料。
開源安全運維平臺OSSIM疑難解析(提高篇) 目錄
第 1章 入侵檢測Snort與Suricata 1
Q001 Snort檢測規則存儲在何處?如果觸發規則Snort將會產生幾種動作類型? 1
Q002 Snort 2.9版本中主要有哪些預處理插件,各有什么功能? 2
Q003 如何利用Scapy測試Snort規則? 2
Q004 Snort有幾種工作模式,各有什么特點? 4
Q005 舉例說明Snort采用什么規則檢測可疑載荷? 9
Q006 Snort如何檢測Chargen/Echo DoS攻擊? 9
Q007 如何使用Snort的Packet logger模式將捕獲到的信息記錄到磁盤? 10
Q008 在同一個網段內如何部署多個IDS? 10
Q009 手動編譯安裝Snort時,需要做哪些準備工作? 10
Q010 如何在Linux下編譯安裝Snort? 11
Q011 如何將Snort報警存入MySQL數據庫? 15
Q012 如何搭建基于BASE的可視化入侵檢測系統? 19
Q013 OSSIM的PHP IDS組件采用什么方法來接收和分析數據? 25
Q014 IP碎片攻擊對Snort會產生哪些危害? 25
Q015 在Snort規則中,msg、content、threshold、reference選項有何含義? 26
Q016 OSSIM中如何管理引用類型? 28
Q017 外部引用在OSSIM安全事件管理中起到什么作用? 29
Q018 OSSIM5中的Suricata支持PF_RING嗎? 30
Q019 如何利用DARPA 2000數據集重構攻擊場景? 31
Q020 在Snort中如何使用參數查看數據鏈路層的包頭信息? 31
Q021 Snort的輸出插件分為幾類?各有什么作用? 32
Q022 sid-msg.map和gen-msg.map有什么區別? 38
Q023 在 OSSIM 4.12檢測器中Snort狀態為DOWN,而Suricata為UP,這種狀態正常嗎?
它們能同時為狀態UP嗎? 39
Q024 網絡主動探測與被動探測有什么區別? 39
Q025 如何找出/var/log/suricata目錄下24小時內訪問過的日志并且找到后立即刪除? 40
Q026 Snort傳感器部署在企業網的什么位置? 40
Q027 Suricata與Snort有何區別? 41
Q028 如何調整Suricata同時處理的數據包的數量? 42
Q029 如何設置Suricata的運行模式? 42
Q030 Suricata事件輸出分為哪幾種?如何記錄匹配的信息? 43
Q031 當Suricata檢測到可疑數據包時,以二進制格式將其存儲到什么文件?通過什么
程序讀取? 43
Q032 Suricata通過什么參數記錄真實客戶機的IP? 44
Q033 若讓Suricata記錄所有HTTP日志,則該如何修改配置文件? 44
Q034 如何保存經Suricata檢測的所有數據包? 44
Q035 如何啟用Suricata服務的Debug日志? 45
Q036 如何將Suricata的報警信息輸出到Syslog文件中? 45
Q037 數據包在Suricata檢測引擎中是如何匹配的? 45
Q038 Suricata檢測引擎的配置屬性分為幾種? 45
Q039 在多核心OSSIM服務器上如何改善Suricata處理性能? 46
Q040 在高速復雜的網絡環境中,如何提高Suricata規則檢測時的數據分片傳輸效率? 46
Q041 在Suricata的stream引擎中對數據包重組需要占用CPU資源,為了避免無限制地
重組數據包,應該修改什么參數對其進行限制? 47
Q042 Suricata的日志文件suricata.log保存在什么路徑中?該路徑由什么配置文件
定義? 48
Q043 OSSIM下Suricata的抓包方式采用AF_PACKET還是PF_RING? 48
Q044 如何定制Suricata規則? 49
Q045 如何更新AlienVault NIDS規則和簽名? 50
Q046 Snort可作為IPS使用嗎?如何部署? 51
Q047 在OSSIM 3中,PF_RING有哪幾種工作模式? 51
Q048 如何啟用新的ET規則? 52
Q049 如何在OSSIM系統中配置無線入侵系統? 52
Q050 OSSIM平臺上的iptables模塊在什么位置? 58
Q051 舉例說明OSSIM如何發現Nmap掃描行為。 58
Q052 AIDE有什么作用? 60
Q053 如何在CentOS Linux中安裝AIDE? 61
Q054 如何在OSSIM中安裝AIDE? 62
本章測試 64
第 2章 基于主機的入侵檢測——OSSEC 69
Q055 OSSEC Agent主要由哪些進程組成,各有什么作用? 69
Q056 簡述OSSEC Server/Agent工作流程及其關鍵進程的作用。 70
Q057 什么是Agent和Agentless監控? 70
Q058 如何測試OSSEC規則? 71
Q059 當因磁盤空間不足而造成OSSEC服務故障時,該如何處理? 71
Q060 分布式環境下OSSEC和Agent是如何通信的? 73
Q061 在Linux環境中如何安裝OSSEC Agent? 73
Q062 Linux下安裝OSSEC Agent報錯時應如何解決? 76
Q063 Nmap掃描和OpenVAS掃描有什么區別? 77
Q064 OSSEC事件報警處理流程是什么? 77
Q065 如何在Windows 8環境下安裝OSSEC Agent? 78
Q066 用于配置OSSEC Agent的文件位于何處? 82
Q067 當OSSEC Agent無法連接服務器時,該如何處理? 82
Q068 在Windows Server 2012中如何安裝OSSEC Agent? 83
Q069 如何在Web中查看OSSEC Agent狀態? 88
Q070 OSSEC日志存儲在什么位置? 89
Q071 Web UI中OSSEC調用規則的后臺文件位于何處? 90
Q072 如何監聽OSSEC Server和Agent之間的數據通信? 91
Q073 Windows平臺中已安裝了OSSEC Agent,但在OSSIM服務器中沒有接收到
日志,這怎么解決? 92
Q074 OSSEC客戶端無法連接到OSSEC服務器時,該如何處理? 92
Q075 /var/log/suricata/目錄下 JSON 文件中的各個字段表示什么含義? 92
Q076 在OSSEC輸出插件中的特定字符表示什么含義? 93
本章測試 94
第3章 漏洞掃描OpenVAS 98
Q077 OpenVAS的掃描日志存放在何處? 98
Q078 CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE表示什么含義? 98
Q079 OpenVAS主要進程和配置文件有哪些? 100
Q080 OpenVAS腳本采用什么語言編寫?請描述腳本加載過程。 101
Q081 OpenVAS掃描初期如何加載腳本? 102
Q082 漏洞掃描器中的腳本如何對目標進行安全檢測? 102
Q083 OpenVAS的掃描器openvas-scanner調用的私鑰證書文件位于何處,證書由什么
程序創建? 102
Q084 OpenVAS掃描過程分為幾個階段,服務器端有幾個主要模塊,它們之間工作
流程如何? 103
Q085 OpenVAS掃描器工作狀態出現Failed提示,表示什么含義? 104
Q086 用OpenVAS進行掃描時出現故障如何排除? 104
Q087 在什么情況下應終止漏洞掃描任務? 107
Q088 Nessus與OpenVAS的掃描效果有什么區別? 108
Q089 OSSIM使用OpenVAS掃描系統時,為何還保留Nessus規則? 109
Q090 使用alienvault-update命令對系統升級之后出現OpenVAS無法正常工作的情況,
如何解決? 110
Q091 操作過程中無法連接到漏洞掃描器,這種故障該如何解決? 110
Q092 漏洞掃描時間過短會發生哪些問題? 111
Q093 掃描資源池之外的機器會出現什么情況,如何處理? 111
Q094 如何手動更新CVE庫? 112
Q095 OSSIM系統中設置多長時間的漏洞掃描周期合適? 112
Q096 OpenVAS導出報告中針對漏洞分類使用了幾種顏色?各表示什么含義? 113
Q097 X-Scan、Fluxay、Nessus及OpenVAS這幾款掃描軟件有何區別? 114
本章測試 115
第4章 Memcache、RabbitMQ與Redis協同工作 117
Q098 為何單線程的Redis速度還能這么快? 117
Q099 Memcache的作用是什么? 117
Q100 如何增大Redis運行內存? 118
Q101 如何安裝MemCached監控探針? 119
Q102 OSSIM為什么采用消息中間件? 120
Q103 RabbitMQ在OSSIM系統中起到什么作用? 122
Q104 如何查詢OSSIM服務器上的消息隊列以及連接信息? 122
Q105 如何重置RabbitMQ節點? 122
Q106 如何查看已啟用的RabbitMQ插件? 123
Q107 OSSIM中的RabbitMQ如何打開Web管理后臺? 123
Q108 OSSIM為何要引入Redis內存數據庫,采用key/value存儲? 125
Q109 OSSIM服務器使用RabbitMQ有何優勢? 126
Q110 如何查看Redis服務器實時轉儲收到的請求? 127
Q111 如何進入或退出Erlang Shell界面? 127
本章測試 128
第5章 日志采集與分析 130
Q112 在OSSIM平臺上日志可視化體現在何處? 130
Q113 iptables日志有幾種記錄形式?各有什么區別? 131
Q114 如何將iptables日志轉發到指定文件中? 132
Q115 如何在Web界面中查看iptables事件? 134
Q116 如何發現日志時間被篡改? 136
Q117 為什么使用GNS3? 137
Q118 在實驗環境中使用GNS3有哪些短板? 137
Q119 GNS3如何模擬3層交換機? 138
Q120 如何將GNS3與本地網卡橋接? 138
Q121 如何用OSSIM采集Squid日志? 139
Q122 如何通過Snare將Windows事件轉發至Linux日志采集服務器? 140
Q123 如何用Syslog-Slogger測試Syslog服務器? 143
Q124 如何使用logger發送測試日志? 144
Q125 如何模擬Syslog流量? 144
Q126 WMI與Snare有什么區別? 146
Q127 OSSIM日志處理流程是什么? 146
Q128 原始安全事件需要具備哪些屬性? 147
Q129 原始日志和歸一化事件有什么不同? 149
Q130 將Windows日志轉換為Syslog日志的工具有哪些? 149
Q131 如何選擇合適的日志級別? 150
Q132 有哪些工具可以將Windows日志轉換為Syslog? 151
Q133 如何利用Evtsys工具采集Windows日志并轉發到Syslog服務器? 152
Q134 如何收集Apache日志? 153
Q135 為什么在Zabbix服務器上啟用Syslog消息轉發后,服務器會出現卡頓的現象? 154
Q136 如何利用Rsyslog協議采集日志? 154
Q137 如何用Rsyslog將日志發送到不同的日志收集器中? 155
Q138 如何在OSSIM中啟用SNMP服務? 155
Q139 如何讓Linux客戶機通過Syslog將日志發送到OSSIM服務器? 156
Q140 alerts.log文件中突然產生大量日志,應如何處理? 157
Q141 Syslog中每條消息的*大長度是多少? 157
Q142 在OSSIM企業版中如何從Web UI中導出日志? 157
Q143 安全審計要求日志保存時間是多久? 158
Q144 如何通過WMI方式接收日志? 158
Q145 如何將VsFTP日志發送到OSSIM? 159
Q146 如何將客戶端的sudo日志重定向到服務器端指定的文件中? 161
本章測試 162
第6章 關聯分析技術 164
Q147 OSSIM的關聯分析如何工作? 164
Q148 安全事件關聯分析的目的是什么? 165
Q149 安全事件歸一化處理的步驟是什么? 166
Q150 如何通過關聯分析來判斷攻擊? 167
Q151 OSSIM如何將網絡安全事件進行分類? 167
Q152 舉例說明OSSIM關聯分析指令的結構? 171
Q153 如何新建關聯指令? 172
Q154 如何查看交叉關聯規則? 176
Q155 在交叉關聯規則中顯示數據源及插件信息時為什么比較慢? 176
Q156 RISK、PRIORITY、RELIABILITY這3個參數在關聯分析時有何關聯? 177
Q157 在儀表盤中,Risk顯示的Risk Metric中C、A值表示什么含義? 178
Q158 在評估主機風險時,事件屬性Risk的C、A值會發生哪些變化?這些變化
反映出什么問題? 181
Q159 OSSEC與Snort事件能合并嗎? 182
Q160 如何聚合OSSEC報警信息? 183
Q161 如何判斷OSSEC產生的同類報警? 184
Q162 如何在Web UI中配置關聯指令? 185
Q163 OSSIM中關聯規則的基本屬性是什么,各有何含義? 189
Q164 SIEM控制臺如何將不同數據源的事件進行聚合處理? 191
Q165 OSSIM關聯規則樹由什么構成?含義如何? 192
Q166 OSSIM關聯分析引擎分為幾種類型?可靠性和風險值在里面起到了什么作用? 195
Q167 如何理解安全事件的交叉關聯分析? 196
Q168 風險評估三要素是什么?它們之間的關系如何? 196
Q169 為什么說可靠性的值是動態變化的? 197
Q170 如果內網一臺郵件服務器的資產值設定為5,而優先級和可靠性的默認值設置為3,那么這臺服務器的風險值為多少? 198
Q171 OSSIM關聯引擎有何作用,工作過程是怎樣的? 198
本章測試 200
第7章 資產管理 203
Q172 OSSIM平臺中需要對資產的哪些特征進行監控? 203
Q173 如何為資產賦值? 204
Q174 OSSIM中資產列表位于什么位置? 205
Q175 資產掃描有6個選項,各表示什么含義? 205
Q176 如何設置Nmap掃描周期? 206
Q177 為什么掃描192.168.1.0/24網段內的資產時,結果中卻包含其他網段的資產
信息? 206
Q178 如何通過CSV文件導入資產信息? 207
Q179 如何設置OCS,使其進行周期性檢測? 209
Q180 調節資產的可靠性值會對風險產生什么影響? 209
Q181 如何在OSSIM 5的Web UI中批量刪除資產? 211
Q182 在OSSIM中進行資產掃描時,如果定義網段不當則會出現“Scanning network
(172.16.0.0/12) with local Nmap,please wait...”提示,并且掃描停止。這一問題
如何解決? 212
Q183 OSSIM中Prads程序的作用是什么? 213
Q184 Prads啟動失敗如何解決? 213
Q185 當監控的資產過多時,OSSIM系統頁面的刷新為什么非常慢? 214
Q186 如何為資產啟用插件? 214
Q187 在OSSIM中安裝iTop的詳細步驟是什么? 216
Q188 如何將OSSIM產生的報警轉發到iTop的CMDB? 223
Q189 如何限制iTop上傳文件的大小? 225
Q190 如何在外網訪問iTop站點? 225
Q191 在iTop安裝過程中若出現“iTop is read-only iTop is temporarily frozen,please
wait…”系統提示,該如何處理? 225
本章測試 226
第8章 網絡流量與主機高可用監控 227
Q192 在OSSIM中Monit與Nagios服務有什么區別? 227
Q193 RRDTool代表什么含義,它在OSSIM中起到什么作用? 227
Q194 RRDTool繪圖流程包括哪些內容? 228
Q195 如何用Nagios監控MySQL? 229
Q196 如何在命令行下使用Nagios插件? 229
Q197 如何通過Nagios插件來檢測負載? 230
Q198 如何利用Nagios插件來檢查交換分區和內存? 230
Q199 添加Nagios來監控主機后,打開Web UI時報錯該如何處理? 231
Q200 Nagios中顯示的返回碼包括哪幾種,各表示什么含義? 232
Q201 Ntop流量采集方式有什么特點? 233
Q202 網絡中數據包大小變化的背后隱藏了哪些玄機?Ntop如何統計流量的變化? 233
Q203 用Ntop分析網絡數據時,需要在交換機上設置端口鏡像嗎? 235
Q204 如何重置Ntop的admin密碼? 236
Q205 當OSSIM系統中存在多個傳感器時,如何選擇Ntop的默認傳感器? 236
Q206 打開Ntop時出現“Sensor not available”提示,應如何處理? 237
Q207 打開Ntop主界面時速度緩慢,如何處理? 237
Q208 如何設置Ntop中的流向統計功能? 238
Q209 若在分布式系統中為傳感器設置多塊網卡,使用Ntop時提示“Sensor not available
please select for the above dropdown”,該如何處理? 239
Q210 在Ntop中設置Local Network Traffic Map時出現錯誤提示,應如何處理? 239
Q211 如何在OSSIM中安裝Ntopng? 239
Q212 蠕蟲爆發時,流量、協議以及數據包大小會發生哪些異常,Ntop如何感知這些
變化? 240
Q213 如何監控OSSIM服務器和傳感器中的磁盤、網絡、系統進程及Postfix? 242
Q214 如何通過Ntop顯示受控服務器的IP流量? 244
Q215 如何采用phpMyAdmin工具監控OSSIM服務器的流量? 245
本章測試 246
第9章 NetFlow流量分析 247
Q216 OSSIM服務器中的NetFlow模塊由幾部分組成,分別有什么作用? 247
Q217 nfdump模塊由哪些進程組成,各有什么功能? 247
Q218 NetFlow數據流存儲路徑定義在什么文件中?修改配置后若生效該如何處理? 248
Q219 如何在傳感器中啟用NetFlow功能? 248
Q220 在OSSIM分布式系統中,NetFlow數據存儲在服務器端還是傳感器端? 249
Q221 OSSIM系統中如何分析NetFlow數據包? 249
Q222 “LIST LAST 500 SESSIONS”“TOP 10 SRC IPS”“TOP 10 DST IPS”等參數
表示什么含義? 250
Q223 分布式環境下如何監測NetFlow數據流? 250
Q224 如何清理NetFlow采集的數據? 253
Q225 NetFlow采集的抽樣數據可保存多長時間? 254
Q226 如何通過命令行讀取NetFlow數據? 255
Q227 NetFlow數據集能在Web UI的儀表盤中顯示嗎? 255
Q228 在分布式部署的OSSIM環境中,傳感器如何區別來自不同傳感器的NetFlow
數據? 256
Q229 在OSSIM平臺上利用NetFlow采集路由器流量會對路由器的工作造成影響嗎? 257
Q230 在OSSIM平臺上將NetFlow數據與谷歌地圖結合有什么優點? 257
Q231 NetFlow能否檢測出SYN泛洪攻擊? 258
Q232 在nfsend進程中出現“Connection refused”報錯時該如何處理? 258
Q233 OSSIM如何分析網絡異常行為? 259
Q234 sFlow協議有什么功能?哪些軟件可以分析sFlow的數據包? 262
Q235 sFlow與NetFlow的協議有何區別? 262
Q236 NetFlow接收不到流數據該如何處理? 262
本章測試 266
第 10章 OSSIM前端漢化技巧 269
Q237 OSSIM 5.3中的Web UI菜單調用源碼位于何處? 269
Q238 locale參數的作用是什么?如何查詢和修改locale? 271
Q239 如何漢化OSSIM中的Web UI菜單? 271
Q240 在漢化OSSIM時需要修改源代碼嗎? 275
Q241 對于漢化后的Web UI界面,若使用IE 10瀏覽器應該如何選擇編碼方式才能
顯示中文? 276
Q242 在OSSIM終端界面上如何顯示和輸入中文字符? 276
Q243 Windows環境下使用什么工具編輯PHP文件?需要注意些什么? 277
Q244 用SecureCRT遠程連接到OSSIM系統,當直接修改漢化后的PHP代碼時,
瀏覽器中顯示都是亂碼,如何處理? 278
Q245 如何修改Favicon圖標? 278
Q246 如何修改Logo圖標? 278
Q247 如何修改Web UI中的Title標識? 279
Q248 如何修改選項卡名稱? 280
Q249 如何更換OSSIM系統的Web UI背景? 281
Q250 OSSIM系統中的ADOdb包有什么作用?它的配置文件在什么位置? 281
Q251 在OSSIM Web UI儀表盤中,雷達圖主要顯示傳感器收集事件的數量。在該
雷達圖中,可以描述多少個不同的傳感器的信息? 281
Q252 如何將Loading Widget修改成中文字符? 282
Q253 如何修改OSSIM的Web UI菜單? 283
Q254 如何修改Web UI儀表盤的名稱? 286
Q255 如何修改Alarm數據的300s刷新時間? 288
Q256 OSSIM中的Web UI如何實現動態加載頁面? 288
Q257 如何將UTC(世界標準時間)轉化為本地時間? 289
Q258 jQuery插件中的/usr/shre/ossim/www/js/geo_autocomplete.js腳本有什么作用? 289
Q259 腳本jquery.dynatree.js有什么作用?若發生故障會影響Web UI的哪些功能? 290
本章測試 290
第 11章 壓力測試及性能監控 293
Q260 如何利用Netperf測試網絡性能? 293
Q261 如何使用I/O分析工具dstat? 295
Q262 如何用sysbench測試數據庫? 296
Q263 如何用dd工具測試系統I/O性能? 297
Q264 如何使用OSSIM自帶的性能測試工具? 298
Q265 如何測試系統的IOPS? 299
Q266 當OSSIM服務器產生大量套接字連接時,如何查看全局統計信息? 300
Q267 OSSIM系統空間不足時如何查找大文件? 301
Q268 如何檢測OSSIM系統的整體狀態? 302
Q269 如何使用圖形化監控工具nmon? 303
Q270 如何用atop監控Linux系統資源和進程? 303
Q271 如何找出*消耗內存的進程? 304
Q272 如何測試OSSIM Web UI頁面的響應速度? 306
Q273 如何對OSSIM系統目錄的大小進行排序? 306
Q274 如何使用OSSIM的流量監控工具iftop? 307
Q275 如何利用Apache自帶的ab工具測試OSSIM的響應速度? 309
Q276 如何詳細了解OSSIM系統進程的網絡帶寬占用情況? 310
Q277 OSSIM下如何使用nload軟件監控流量? 310
Q278 如何對OSSIM系統進行壓力測試? 311
Q279 OSSIM中如何應用hping3進行測試? 312
Q280 OSSIM下如何安裝工具Knocker? 313
Q281 OSSIM下如何安裝sendip工具? 314
Q282 OSSIM中如何安裝Smokeping? 316
Q283 如何在OSSIM Server上安裝Cacti? 318
Q284 如何在OSSIM傳感器上安裝Zabbix? 320
Q285 如何利用Munin工具進行性能監控? 321
Q286 如何安裝Glances工具? 322
本章測試 324
第 12章 數據抓包分析技巧 326
Q287 如何預防網絡嗅探? 326
Q288 SPAN端口鏡像技術有何局限? 327
Q289 采集數據流分為幾類,各有什么特點? 328
Q290 通過Traffic Capture抓包的數據存放在什么位置? 328
Q291 若在千兆網絡環境中存儲30天的完整抓包數據,需要多大的硬盤空間? 328
Q292 協議分析包括哪些內容,常用的分析工具有哪些? 329
Q293 如何用tcpdump監聽由傳感器發送到端口的數據包? 329
Q294 如何用tcpdump獲取Syslog數據包? 330
Q295 如何將tcpdump抓包存入文件? 330
Q296 采用OSSIM監控千兆網絡環境會遇到哪些問題? 330
Q297 使用SecureCRT遠程連接到OSSIM進行抓包,如何顯示從網卡eth0獲取的
TCP 22端口之外的全部流量? 331
Q298 如何利用Traffic Capture遠程排除網絡故障? 331
Q299 在使用OSSIM Web UI的Traffic Capture時提示“This traffic capture is empty”,
應如何處理? 332
Q300 Traffic Capture分析數據包時如何對協議進行過濾? 332
Q301 Traffic Capture數據包捕獲的時間范圍是多少? 333
Q302 Traffic Capture數據包過濾技巧有哪些? 333
本章測試 333
附錄 Snort安裝包用途及安裝路線 335
Q001 Snort檢測規則存儲在何處?如果觸發規則Snort將會產生幾種動作類型? 1
Q002 Snort 2.9版本中主要有哪些預處理插件,各有什么功能? 2
Q003 如何利用Scapy測試Snort規則? 2
Q004 Snort有幾種工作模式,各有什么特點? 4
Q005 舉例說明Snort采用什么規則檢測可疑載荷? 9
Q006 Snort如何檢測Chargen/Echo DoS攻擊? 9
Q007 如何使用Snort的Packet logger模式將捕獲到的信息記錄到磁盤? 10
Q008 在同一個網段內如何部署多個IDS? 10
Q009 手動編譯安裝Snort時,需要做哪些準備工作? 10
Q010 如何在Linux下編譯安裝Snort? 11
Q011 如何將Snort報警存入MySQL數據庫? 15
Q012 如何搭建基于BASE的可視化入侵檢測系統? 19
Q013 OSSIM的PHP IDS組件采用什么方法來接收和分析數據? 25
Q014 IP碎片攻擊對Snort會產生哪些危害? 25
Q015 在Snort規則中,msg、content、threshold、reference選項有何含義? 26
Q016 OSSIM中如何管理引用類型? 28
Q017 外部引用在OSSIM安全事件管理中起到什么作用? 29
Q018 OSSIM5中的Suricata支持PF_RING嗎? 30
Q019 如何利用DARPA 2000數據集重構攻擊場景? 31
Q020 在Snort中如何使用參數查看數據鏈路層的包頭信息? 31
Q021 Snort的輸出插件分為幾類?各有什么作用? 32
Q022 sid-msg.map和gen-msg.map有什么區別? 38
Q023 在 OSSIM 4.12檢測器中Snort狀態為DOWN,而Suricata為UP,這種狀態正常嗎?
它們能同時為狀態UP嗎? 39
Q024 網絡主動探測與被動探測有什么區別? 39
Q025 如何找出/var/log/suricata目錄下24小時內訪問過的日志并且找到后立即刪除? 40
Q026 Snort傳感器部署在企業網的什么位置? 40
Q027 Suricata與Snort有何區別? 41
Q028 如何調整Suricata同時處理的數據包的數量? 42
Q029 如何設置Suricata的運行模式? 42
Q030 Suricata事件輸出分為哪幾種?如何記錄匹配的信息? 43
Q031 當Suricata檢測到可疑數據包時,以二進制格式將其存儲到什么文件?通過什么
程序讀取? 43
Q032 Suricata通過什么參數記錄真實客戶機的IP? 44
Q033 若讓Suricata記錄所有HTTP日志,則該如何修改配置文件? 44
Q034 如何保存經Suricata檢測的所有數據包? 44
Q035 如何啟用Suricata服務的Debug日志? 45
Q036 如何將Suricata的報警信息輸出到Syslog文件中? 45
Q037 數據包在Suricata檢測引擎中是如何匹配的? 45
Q038 Suricata檢測引擎的配置屬性分為幾種? 45
Q039 在多核心OSSIM服務器上如何改善Suricata處理性能? 46
Q040 在高速復雜的網絡環境中,如何提高Suricata規則檢測時的數據分片傳輸效率? 46
Q041 在Suricata的stream引擎中對數據包重組需要占用CPU資源,為了避免無限制地
重組數據包,應該修改什么參數對其進行限制? 47
Q042 Suricata的日志文件suricata.log保存在什么路徑中?該路徑由什么配置文件
定義? 48
Q043 OSSIM下Suricata的抓包方式采用AF_PACKET還是PF_RING? 48
Q044 如何定制Suricata規則? 49
Q045 如何更新AlienVault NIDS規則和簽名? 50
Q046 Snort可作為IPS使用嗎?如何部署? 51
Q047 在OSSIM 3中,PF_RING有哪幾種工作模式? 51
Q048 如何啟用新的ET規則? 52
Q049 如何在OSSIM系統中配置無線入侵系統? 52
Q050 OSSIM平臺上的iptables模塊在什么位置? 58
Q051 舉例說明OSSIM如何發現Nmap掃描行為。 58
Q052 AIDE有什么作用? 60
Q053 如何在CentOS Linux中安裝AIDE? 61
Q054 如何在OSSIM中安裝AIDE? 62
本章測試 64
第 2章 基于主機的入侵檢測——OSSEC 69
Q055 OSSEC Agent主要由哪些進程組成,各有什么作用? 69
Q056 簡述OSSEC Server/Agent工作流程及其關鍵進程的作用。 70
Q057 什么是Agent和Agentless監控? 70
Q058 如何測試OSSEC規則? 71
Q059 當因磁盤空間不足而造成OSSEC服務故障時,該如何處理? 71
Q060 分布式環境下OSSEC和Agent是如何通信的? 73
Q061 在Linux環境中如何安裝OSSEC Agent? 73
Q062 Linux下安裝OSSEC Agent報錯時應如何解決? 76
Q063 Nmap掃描和OpenVAS掃描有什么區別? 77
Q064 OSSEC事件報警處理流程是什么? 77
Q065 如何在Windows 8環境下安裝OSSEC Agent? 78
Q066 用于配置OSSEC Agent的文件位于何處? 82
Q067 當OSSEC Agent無法連接服務器時,該如何處理? 82
Q068 在Windows Server 2012中如何安裝OSSEC Agent? 83
Q069 如何在Web中查看OSSEC Agent狀態? 88
Q070 OSSEC日志存儲在什么位置? 89
Q071 Web UI中OSSEC調用規則的后臺文件位于何處? 90
Q072 如何監聽OSSEC Server和Agent之間的數據通信? 91
Q073 Windows平臺中已安裝了OSSEC Agent,但在OSSIM服務器中沒有接收到
日志,這怎么解決? 92
Q074 OSSEC客戶端無法連接到OSSEC服務器時,該如何處理? 92
Q075 /var/log/suricata/目錄下 JSON 文件中的各個字段表示什么含義? 92
Q076 在OSSEC輸出插件中的特定字符表示什么含義? 93
本章測試 94
第3章 漏洞掃描OpenVAS 98
Q077 OpenVAS的掃描日志存放在何處? 98
Q078 CVE、NVD、OSVDB、BugTraq、SecurityFocus、CNCVE表示什么含義? 98
Q079 OpenVAS主要進程和配置文件有哪些? 100
Q080 OpenVAS腳本采用什么語言編寫?請描述腳本加載過程。 101
Q081 OpenVAS掃描初期如何加載腳本? 102
Q082 漏洞掃描器中的腳本如何對目標進行安全檢測? 102
Q083 OpenVAS的掃描器openvas-scanner調用的私鑰證書文件位于何處,證書由什么
程序創建? 102
Q084 OpenVAS掃描過程分為幾個階段,服務器端有幾個主要模塊,它們之間工作
流程如何? 103
Q085 OpenVAS掃描器工作狀態出現Failed提示,表示什么含義? 104
Q086 用OpenVAS進行掃描時出現故障如何排除? 104
Q087 在什么情況下應終止漏洞掃描任務? 107
Q088 Nessus與OpenVAS的掃描效果有什么區別? 108
Q089 OSSIM使用OpenVAS掃描系統時,為何還保留Nessus規則? 109
Q090 使用alienvault-update命令對系統升級之后出現OpenVAS無法正常工作的情況,
如何解決? 110
Q091 操作過程中無法連接到漏洞掃描器,這種故障該如何解決? 110
Q092 漏洞掃描時間過短會發生哪些問題? 111
Q093 掃描資源池之外的機器會出現什么情況,如何處理? 111
Q094 如何手動更新CVE庫? 112
Q095 OSSIM系統中設置多長時間的漏洞掃描周期合適? 112
Q096 OpenVAS導出報告中針對漏洞分類使用了幾種顏色?各表示什么含義? 113
Q097 X-Scan、Fluxay、Nessus及OpenVAS這幾款掃描軟件有何區別? 114
本章測試 115
第4章 Memcache、RabbitMQ與Redis協同工作 117
Q098 為何單線程的Redis速度還能這么快? 117
Q099 Memcache的作用是什么? 117
Q100 如何增大Redis運行內存? 118
Q101 如何安裝MemCached監控探針? 119
Q102 OSSIM為什么采用消息中間件? 120
Q103 RabbitMQ在OSSIM系統中起到什么作用? 122
Q104 如何查詢OSSIM服務器上的消息隊列以及連接信息? 122
Q105 如何重置RabbitMQ節點? 122
Q106 如何查看已啟用的RabbitMQ插件? 123
Q107 OSSIM中的RabbitMQ如何打開Web管理后臺? 123
Q108 OSSIM為何要引入Redis內存數據庫,采用key/value存儲? 125
Q109 OSSIM服務器使用RabbitMQ有何優勢? 126
Q110 如何查看Redis服務器實時轉儲收到的請求? 127
Q111 如何進入或退出Erlang Shell界面? 127
本章測試 128
第5章 日志采集與分析 130
Q112 在OSSIM平臺上日志可視化體現在何處? 130
Q113 iptables日志有幾種記錄形式?各有什么區別? 131
Q114 如何將iptables日志轉發到指定文件中? 132
Q115 如何在Web界面中查看iptables事件? 134
Q116 如何發現日志時間被篡改? 136
Q117 為什么使用GNS3? 137
Q118 在實驗環境中使用GNS3有哪些短板? 137
Q119 GNS3如何模擬3層交換機? 138
Q120 如何將GNS3與本地網卡橋接? 138
Q121 如何用OSSIM采集Squid日志? 139
Q122 如何通過Snare將Windows事件轉發至Linux日志采集服務器? 140
Q123 如何用Syslog-Slogger測試Syslog服務器? 143
Q124 如何使用logger發送測試日志? 144
Q125 如何模擬Syslog流量? 144
Q126 WMI與Snare有什么區別? 146
Q127 OSSIM日志處理流程是什么? 146
Q128 原始安全事件需要具備哪些屬性? 147
Q129 原始日志和歸一化事件有什么不同? 149
Q130 將Windows日志轉換為Syslog日志的工具有哪些? 149
Q131 如何選擇合適的日志級別? 150
Q132 有哪些工具可以將Windows日志轉換為Syslog? 151
Q133 如何利用Evtsys工具采集Windows日志并轉發到Syslog服務器? 152
Q134 如何收集Apache日志? 153
Q135 為什么在Zabbix服務器上啟用Syslog消息轉發后,服務器會出現卡頓的現象? 154
Q136 如何利用Rsyslog協議采集日志? 154
Q137 如何用Rsyslog將日志發送到不同的日志收集器中? 155
Q138 如何在OSSIM中啟用SNMP服務? 155
Q139 如何讓Linux客戶機通過Syslog將日志發送到OSSIM服務器? 156
Q140 alerts.log文件中突然產生大量日志,應如何處理? 157
Q141 Syslog中每條消息的*大長度是多少? 157
Q142 在OSSIM企業版中如何從Web UI中導出日志? 157
Q143 安全審計要求日志保存時間是多久? 158
Q144 如何通過WMI方式接收日志? 158
Q145 如何將VsFTP日志發送到OSSIM? 159
Q146 如何將客戶端的sudo日志重定向到服務器端指定的文件中? 161
本章測試 162
第6章 關聯分析技術 164
Q147 OSSIM的關聯分析如何工作? 164
Q148 安全事件關聯分析的目的是什么? 165
Q149 安全事件歸一化處理的步驟是什么? 166
Q150 如何通過關聯分析來判斷攻擊? 167
Q151 OSSIM如何將網絡安全事件進行分類? 167
Q152 舉例說明OSSIM關聯分析指令的結構? 171
Q153 如何新建關聯指令? 172
Q154 如何查看交叉關聯規則? 176
Q155 在交叉關聯規則中顯示數據源及插件信息時為什么比較慢? 176
Q156 RISK、PRIORITY、RELIABILITY這3個參數在關聯分析時有何關聯? 177
Q157 在儀表盤中,Risk顯示的Risk Metric中C、A值表示什么含義? 178
Q158 在評估主機風險時,事件屬性Risk的C、A值會發生哪些變化?這些變化
反映出什么問題? 181
Q159 OSSEC與Snort事件能合并嗎? 182
Q160 如何聚合OSSEC報警信息? 183
Q161 如何判斷OSSEC產生的同類報警? 184
Q162 如何在Web UI中配置關聯指令? 185
Q163 OSSIM中關聯規則的基本屬性是什么,各有何含義? 189
Q164 SIEM控制臺如何將不同數據源的事件進行聚合處理? 191
Q165 OSSIM關聯規則樹由什么構成?含義如何? 192
Q166 OSSIM關聯分析引擎分為幾種類型?可靠性和風險值在里面起到了什么作用? 195
Q167 如何理解安全事件的交叉關聯分析? 196
Q168 風險評估三要素是什么?它們之間的關系如何? 196
Q169 為什么說可靠性的值是動態變化的? 197
Q170 如果內網一臺郵件服務器的資產值設定為5,而優先級和可靠性的默認值設置為3,那么這臺服務器的風險值為多少? 198
Q171 OSSIM關聯引擎有何作用,工作過程是怎樣的? 198
本章測試 200
第7章 資產管理 203
Q172 OSSIM平臺中需要對資產的哪些特征進行監控? 203
Q173 如何為資產賦值? 204
Q174 OSSIM中資產列表位于什么位置? 205
Q175 資產掃描有6個選項,各表示什么含義? 205
Q176 如何設置Nmap掃描周期? 206
Q177 為什么掃描192.168.1.0/24網段內的資產時,結果中卻包含其他網段的資產
信息? 206
Q178 如何通過CSV文件導入資產信息? 207
Q179 如何設置OCS,使其進行周期性檢測? 209
Q180 調節資產的可靠性值會對風險產生什么影響? 209
Q181 如何在OSSIM 5的Web UI中批量刪除資產? 211
Q182 在OSSIM中進行資產掃描時,如果定義網段不當則會出現“Scanning network
(172.16.0.0/12) with local Nmap,please wait...”提示,并且掃描停止。這一問題
如何解決? 212
Q183 OSSIM中Prads程序的作用是什么? 213
Q184 Prads啟動失敗如何解決? 213
Q185 當監控的資產過多時,OSSIM系統頁面的刷新為什么非常慢? 214
Q186 如何為資產啟用插件? 214
Q187 在OSSIM中安裝iTop的詳細步驟是什么? 216
Q188 如何將OSSIM產生的報警轉發到iTop的CMDB? 223
Q189 如何限制iTop上傳文件的大小? 225
Q190 如何在外網訪問iTop站點? 225
Q191 在iTop安裝過程中若出現“iTop is read-only iTop is temporarily frozen,please
wait…”系統提示,該如何處理? 225
本章測試 226
第8章 網絡流量與主機高可用監控 227
Q192 在OSSIM中Monit與Nagios服務有什么區別? 227
Q193 RRDTool代表什么含義,它在OSSIM中起到什么作用? 227
Q194 RRDTool繪圖流程包括哪些內容? 228
Q195 如何用Nagios監控MySQL? 229
Q196 如何在命令行下使用Nagios插件? 229
Q197 如何通過Nagios插件來檢測負載? 230
Q198 如何利用Nagios插件來檢查交換分區和內存? 230
Q199 添加Nagios來監控主機后,打開Web UI時報錯該如何處理? 231
Q200 Nagios中顯示的返回碼包括哪幾種,各表示什么含義? 232
Q201 Ntop流量采集方式有什么特點? 233
Q202 網絡中數據包大小變化的背后隱藏了哪些玄機?Ntop如何統計流量的變化? 233
Q203 用Ntop分析網絡數據時,需要在交換機上設置端口鏡像嗎? 235
Q204 如何重置Ntop的admin密碼? 236
Q205 當OSSIM系統中存在多個傳感器時,如何選擇Ntop的默認傳感器? 236
Q206 打開Ntop時出現“Sensor not available”提示,應如何處理? 237
Q207 打開Ntop主界面時速度緩慢,如何處理? 237
Q208 如何設置Ntop中的流向統計功能? 238
Q209 若在分布式系統中為傳感器設置多塊網卡,使用Ntop時提示“Sensor not available
please select for the above dropdown”,該如何處理? 239
Q210 在Ntop中設置Local Network Traffic Map時出現錯誤提示,應如何處理? 239
Q211 如何在OSSIM中安裝Ntopng? 239
Q212 蠕蟲爆發時,流量、協議以及數據包大小會發生哪些異常,Ntop如何感知這些
變化? 240
Q213 如何監控OSSIM服務器和傳感器中的磁盤、網絡、系統進程及Postfix? 242
Q214 如何通過Ntop顯示受控服務器的IP流量? 244
Q215 如何采用phpMyAdmin工具監控OSSIM服務器的流量? 245
本章測試 246
第9章 NetFlow流量分析 247
Q216 OSSIM服務器中的NetFlow模塊由幾部分組成,分別有什么作用? 247
Q217 nfdump模塊由哪些進程組成,各有什么功能? 247
Q218 NetFlow數據流存儲路徑定義在什么文件中?修改配置后若生效該如何處理? 248
Q219 如何在傳感器中啟用NetFlow功能? 248
Q220 在OSSIM分布式系統中,NetFlow數據存儲在服務器端還是傳感器端? 249
Q221 OSSIM系統中如何分析NetFlow數據包? 249
Q222 “LIST LAST 500 SESSIONS”“TOP 10 SRC IPS”“TOP 10 DST IPS”等參數
表示什么含義? 250
Q223 分布式環境下如何監測NetFlow數據流? 250
Q224 如何清理NetFlow采集的數據? 253
Q225 NetFlow采集的抽樣數據可保存多長時間? 254
Q226 如何通過命令行讀取NetFlow數據? 255
Q227 NetFlow數據集能在Web UI的儀表盤中顯示嗎? 255
Q228 在分布式部署的OSSIM環境中,傳感器如何區別來自不同傳感器的NetFlow
數據? 256
Q229 在OSSIM平臺上利用NetFlow采集路由器流量會對路由器的工作造成影響嗎? 257
Q230 在OSSIM平臺上將NetFlow數據與谷歌地圖結合有什么優點? 257
Q231 NetFlow能否檢測出SYN泛洪攻擊? 258
Q232 在nfsend進程中出現“Connection refused”報錯時該如何處理? 258
Q233 OSSIM如何分析網絡異常行為? 259
Q234 sFlow協議有什么功能?哪些軟件可以分析sFlow的數據包? 262
Q235 sFlow與NetFlow的協議有何區別? 262
Q236 NetFlow接收不到流數據該如何處理? 262
本章測試 266
第 10章 OSSIM前端漢化技巧 269
Q237 OSSIM 5.3中的Web UI菜單調用源碼位于何處? 269
Q238 locale參數的作用是什么?如何查詢和修改locale? 271
Q239 如何漢化OSSIM中的Web UI菜單? 271
Q240 在漢化OSSIM時需要修改源代碼嗎? 275
Q241 對于漢化后的Web UI界面,若使用IE 10瀏覽器應該如何選擇編碼方式才能
顯示中文? 276
Q242 在OSSIM終端界面上如何顯示和輸入中文字符? 276
Q243 Windows環境下使用什么工具編輯PHP文件?需要注意些什么? 277
Q244 用SecureCRT遠程連接到OSSIM系統,當直接修改漢化后的PHP代碼時,
瀏覽器中顯示都是亂碼,如何處理? 278
Q245 如何修改Favicon圖標? 278
Q246 如何修改Logo圖標? 278
Q247 如何修改Web UI中的Title標識? 279
Q248 如何修改選項卡名稱? 280
Q249 如何更換OSSIM系統的Web UI背景? 281
Q250 OSSIM系統中的ADOdb包有什么作用?它的配置文件在什么位置? 281
Q251 在OSSIM Web UI儀表盤中,雷達圖主要顯示傳感器收集事件的數量。在該
雷達圖中,可以描述多少個不同的傳感器的信息? 281
Q252 如何將Loading Widget修改成中文字符? 282
Q253 如何修改OSSIM的Web UI菜單? 283
Q254 如何修改Web UI儀表盤的名稱? 286
Q255 如何修改Alarm數據的300s刷新時間? 288
Q256 OSSIM中的Web UI如何實現動態加載頁面? 288
Q257 如何將UTC(世界標準時間)轉化為本地時間? 289
Q258 jQuery插件中的/usr/shre/ossim/www/js/geo_autocomplete.js腳本有什么作用? 289
Q259 腳本jquery.dynatree.js有什么作用?若發生故障會影響Web UI的哪些功能? 290
本章測試 290
第 11章 壓力測試及性能監控 293
Q260 如何利用Netperf測試網絡性能? 293
Q261 如何使用I/O分析工具dstat? 295
Q262 如何用sysbench測試數據庫? 296
Q263 如何用dd工具測試系統I/O性能? 297
Q264 如何使用OSSIM自帶的性能測試工具? 298
Q265 如何測試系統的IOPS? 299
Q266 當OSSIM服務器產生大量套接字連接時,如何查看全局統計信息? 300
Q267 OSSIM系統空間不足時如何查找大文件? 301
Q268 如何檢測OSSIM系統的整體狀態? 302
Q269 如何使用圖形化監控工具nmon? 303
Q270 如何用atop監控Linux系統資源和進程? 303
Q271 如何找出*消耗內存的進程? 304
Q272 如何測試OSSIM Web UI頁面的響應速度? 306
Q273 如何對OSSIM系統目錄的大小進行排序? 306
Q274 如何使用OSSIM的流量監控工具iftop? 307
Q275 如何利用Apache自帶的ab工具測試OSSIM的響應速度? 309
Q276 如何詳細了解OSSIM系統進程的網絡帶寬占用情況? 310
Q277 OSSIM下如何使用nload軟件監控流量? 310
Q278 如何對OSSIM系統進行壓力測試? 311
Q279 OSSIM中如何應用hping3進行測試? 312
Q280 OSSIM下如何安裝工具Knocker? 313
Q281 OSSIM下如何安裝sendip工具? 314
Q282 OSSIM中如何安裝Smokeping? 316
Q283 如何在OSSIM Server上安裝Cacti? 318
Q284 如何在OSSIM傳感器上安裝Zabbix? 320
Q285 如何利用Munin工具進行性能監控? 321
Q286 如何安裝Glances工具? 322
本章測試 324
第 12章 數據抓包分析技巧 326
Q287 如何預防網絡嗅探? 326
Q288 SPAN端口鏡像技術有何局限? 327
Q289 采集數據流分為幾類,各有什么特點? 328
Q290 通過Traffic Capture抓包的數據存放在什么位置? 328
Q291 若在千兆網絡環境中存儲30天的完整抓包數據,需要多大的硬盤空間? 328
Q292 協議分析包括哪些內容,常用的分析工具有哪些? 329
Q293 如何用tcpdump監聽由傳感器發送到端口的數據包? 329
Q294 如何用tcpdump獲取Syslog數據包? 330
Q295 如何將tcpdump抓包存入文件? 330
Q296 采用OSSIM監控千兆網絡環境會遇到哪些問題? 330
Q297 使用SecureCRT遠程連接到OSSIM進行抓包,如何顯示從網卡eth0獲取的
TCP 22端口之外的全部流量? 331
Q298 如何利用Traffic Capture遠程排除網絡故障? 331
Q299 在使用OSSIM Web UI的Traffic Capture時提示“This traffic capture is empty”,
應如何處理? 332
Q300 Traffic Capture分析數據包時如何對協議進行過濾? 332
Q301 Traffic Capture數據包捕獲的時間范圍是多少? 333
Q302 Traffic Capture數據包過濾技巧有哪些? 333
本章測試 333
附錄 Snort安裝包用途及安裝路線 335
展開全部
開源安全運維平臺OSSIM疑難解析(提高篇) 作者簡介
李晨光,OSSIM布道師、資深網絡架構師、UNIX/Linux系統安全專家、中國計算機學會高級會員。寫作的《Linux企業應用案例精解》、《UNIX/Linux網絡日志分析與流量監控》、《開源安全運維平臺OSSIM最佳實踐》在圖書市場上具有相當搶眼的表現與口碑,且中文繁體字版本也被輸出到中國臺灣地區。 李晨光先生還是51CTO、ChinaUnix、OSchina等社區的專家博主,撰寫的技術博文被國內各大IT技術社區廣泛轉載;還曾多次受邀在國內系統架構師大會和網絡信息安全大會上發表技術演講。
書友推薦
- >
伊索寓言-世界文學名著典藏-全譯本
- >
山海經
- >
姑媽的寶刀
- >
我從未如此眷戀人間
- >
二體千字文
- >
羅庸西南聯大授課錄
- >
上帝之肋:男人的真實旅程
- >
詩經-先民的歌唱
本類暢銷
