从海量安全事件中挖掘有用的威胁信息与情报是当今讨论的热门话题，同时这也是一个难点？怎么实现呢？这里用到一种技术叫做关联分析，他也是SIEM（Security Information Event Management安全信息和事件管理）系统中最常见的事件检测手段，这并不是什么新鲜事物，20年前就已经有人提出来了。通常基于时序来对相同数据源或...

开始阅读此文之前请安装好OSSIM v4.15OpenVAS釆用渗透测试原理，利用Scanner模块中的脚本引擎对目标进行安全检测。Openvas的Scanner的扫描性能依赖于同时进行扫描的并发进程数，不同的硬件环境上可设置的最有效并发扫描数各不相同，Openvas的扫描引擎设备可在保证系统稳定的前提下达到最佳的扫描性能，对于大型网络使用...

OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台将Nagiso,Ntop,Snort,Nmap等开源工具集成在一起提供综合的安全保护功能，而不必在各个系统中来回切换比较麻烦，而且统一了数据存储，人们能得到一站式的服务，这就是OSSIM给我们带来的好处。当Ossim系统安装完毕后，我们在输入Web地即可打开主...

OSSIM4系统启动时为什么显示”apache2 [warn] NameVirtualHost *:80 has no VirtualHosts“？对于OSSIM存在这一问题，当你手工停止Apache后再启动也会遇到这一问题，其实这个问题的本质是在没有定义域名是一个端口只能对应一个虚拟主机，将NameVirtualHost *:80改为其它端口也可以解决，如果有多个不同的域名的话，用同样...

防火墙的主要功能除了其本身能进行有效控制网络访问之外，还有一个很重要的功能就是能清晰地记录网络上的访问，并自动生成日志进行保存。虽然日志格式会因防火墙厂商的不同而形态各异，但被记录下的主要信息大体上却是一致的。无论是后面我们谈到的PIX、ASA或是CheckPoint放火墙其产生的日志内容均类似。这就表明，任何...

Linux的内核是由www.kernel.org这个组织负责开发维护，下面我们要讨论的Netfilter/iptables是www.netfilter.org组织为Linux开发的防火墙软件。由于Linux是非常模块化的，很多功能都是以模块加载扩充系统功能，Netfilter同样采用这种方式存在于Linux中。如果你理解了Linux模块加载也就能够理解Netfilter的模块加载方式。...

软件下载： Alienvault Ossim v3.1 （32位）下载地址 Alienvault Ossim v3.1 (64位)下载地址 Alienvault Ossim 4.3 （64位）下载地址

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是一种有效的IP 地址分配手段，现已经被广泛地应用在各种局域网管理。它能动态地向网络中每台计算机分配唯一的IP 地址，并提供安全、可靠、简单和统一的TCP/IP网络配置，确保不发生IP地址冲突。当在服务器上启用DHCP后，我们希望了解服务的运行情况，希望...

1.多Web服务共享SESSION数据 最初我们在开发OSSIM时，为了让用户登录多个集成工具的Web界面，比如在OSSIM下有四个应用都是B/S架构：[链接] https/1.2.3.4/ocs[链接][链接] 登录OSSIM系统的用户是统一的、即一套用户名、密码在整个网站的各个模块中都是可以登录使用的，各个服务器共享用户数据比较容易实现，只需要在后端...

一、分析背景 网络取证技术通过技术手段，提取网络犯罪过程中在多个数据源遗留下来的日志等电子证据，形成证据链，根据证据链对网络犯罪行为进行调查、分析、识别，是解决网络安全问题的有效途径之一。目前，传统的计算机取证模型和方法比较成熟，而应用于大数据时代则需要OSSIM等集成分析平台对海量数据尽心网络取证分析。

《Unix/Linux网络日志分析与流量监控》一书中告诉大家如何通过Alienvault-center 方式修改，另外有关OSSIM中设置网卡过程中还需要注意3个问题：

OSSIM经历十多年发展，目前已经成为最优秀的开源安全事件信息管理平台，它在我国的应用才刚刚起步。多年前，在国外考查时我意外发现了这款优秀的软件系统，并不断改进之后开始在国内开始推广应用OSSIM，在我撰写的《Unix/Linux网络日志与流量监控》一书中花费30%的笔墨，讲述了OSSIM部署及应用技巧。但初学者往往多这种...