在传统的异构网络环境中，运维人员往往利用各种复杂的监管工具来管理网络，由于缺乏一种集成安全运维平台，当遇到故障时总是处于被动“救火”状态，如何将资产管理、流量监控、漏洞管理、入侵监测、合规管理等重要环节，通过开源软件集成到统一的平台中，以实现安全事件关联分析，可从本书介绍的OSSIM平台中找到答案。本书借助作者在OSSIM领域长达10年开发应用实践经验之上，以大量生动实例阐述了基于插件收集日志并实现标准化，安全事件规范化分类，关联分析的精髓，书中为读者展示的所有知识和实例均来自大型企业中复杂的生产环境，并针对各种难题给出解决方案。
　　全书共分三篇，10章：第一篇（第1~2章）主要介绍OSSIM架构与工作原理、系统规划、实施关键要素和过滤分析SIEM事件的要领。第二篇（第3~6章）主要介绍OSSIM所涉及的几个后台数据库，重点强调安全事件分类聚合、提取流程、关联分析算法、Snort规则分析等技巧。第三篇（第7~10章）主要介绍日志收集方法和标准化实现思路以及在OSSIM中用HIDS/NIDS、NetFlow抓包分析异常流量的方法，深入分析了OpenVAS架构和脚本分析方法。
　　本书可以作为开源安全技术研究人员、网络安全管理人员以及高校计算机专业师生学习参考使用。

　　李晨光，毕业于中国科学院研究生院，目前就职于世界500强企业，资深网络架构师、51CTO学院讲师、IBM精英讲师、UNIX/Linux系统链专家，现任中国计算机学会（CCF)高级会员，独著畅销书《Linux企用案例精解》、《Linux企业应用案例精解(第2版）》和《Unix/Linux网络日志分析与流量监控》，均被国内200多家图书馆收藏，经常在国内系统架构师大会、互联网运维与开发者大会和网络信息安全大会上发表技术演讲。

内容简介
媒体推荐
前言
第一篇　基础篇
第1章　OSSIM架构与原理
1.1　OSSIM概况
1.2　OSSIM架构与组成
1.3　基于插件的日志采集
1.4　Agent事件类型
1.5　RRDTool绘图引擎
1.6　OSSIM工作流程
1.7　缓存与消息队列
1.8　OSSIM 高可用架构
1.9　OSSIM防火墙
1.10　OSSIM的计划任务
1.11　小结
第2章　OSSIM部署与安装
2.1　OSSIM安装策略
2.2　分布式OSSIM体系
2.3　安装前的准备工作
2.4　混合服务器/传感器安装模式
2.5　初始化系统
2.6　VMware ESXi下安装OSSIM注意事项
2.7　OSSIM分布式安装实践
2.8　添加VPN连接
2.9　安装最后阶段
2.10　OSSIM安装后续工作
2.11　OSSIM启动与停止
2.12　安装远程管理工具
2.13　分布式系统查看传感器状态
2.14　安装桌面环境
2.15　自动化配置管理工具Ansible
2.16　SIEM控制台基础
2.17　可视化网络攻击报警Alarm分析
2.18　小结
第二篇　提高篇
第3章　OSSIM数据库概述
3.1　OSSIM数据库组成
3.2　OSSIM数据库分析工具
3.3　查看OSSIM数据库表结构
3.4　MySQL基本操作
3.5　OSSIM系统迁移
3.6　OSSIM数据库常见问题解答
3.7　小结
第4章　OSSIM关联分析技术
4.1　关联分析技术背景
4.2　关联分析基础
4.3　报警聚合
4.4　风险评估方法
4.5　OSSIM系统风险度量方法
4.6　OSSIM中的关联分类
4.7　新建关联指令
4.8　OSSIM的关联规则
4.9　深入关联规则
4.10　自定义策略实现SSH登录失败告警
4.11　小结
第5章　OSSIM系统监测工具
5.1　Linux性能评估
5.2　OSSIM压力测试
5.3　性能分析工具实例
5.4　OSSIM平台中MySQL运行状况
5.5　Syslog压力测试工具——Mustsyslog使用
5.6　常见问题解答
5.7　小结
第6章　Snort规则分析
6.1　预处理程序
6.2　Snort日志分析利器
6.3　Snort日志分析
6.4　Snort 规则编写
6.5　可疑流量检测技术
6.6　Snort规则进阶
6.7　高速网络环境的应用
6.8　网络异常行为分析
6.10　小结
第三篇　实战篇
第7章　OSSIM日志收集与分析
7.1　日志分析现状
7.2　日志消息格式与存储
7.3　日志协议Syslog
7.4　原始日志格式对比
7.5　插件配置步骤
7.6　插件导入
7.7　插件注册操作实例
7.8　Agent插件处理日志举例
7.9　Rsyslog配置
7.10　网络设备日志分析与举例
7.11　Apache日志分析
7.12　Nginx日志分析
7.13　FTP日志分析
7.14　iptables 日志分析
7.15　Squid服务日志分析
7.16　DHCP 服务器日志
7.17　收集Windows日志
7.18　小结
第8章　OSSIM流量分析与监控
8.1　用NetFlow分析异常流量
8.2　NetFlow在监测恶意代码中的优势
8.3　OSSIM下NetFlow实战
8.4　OSSIM流量监控工具综合应用
8.5　故障排除
8.6　用Nagios监视
8.7　Nagios配置文件
8.8　第三方监控工具集成
8.9　硬件监控
8.10　小结
第9章　OSSIM应用实战
9.1使用OSSIM系统
9.2　OSSIM的Web UI菜单结构
9.3　OSSEC架构与配置
9.4　资产Assets管理
9.5　OpenVAS扫描模块分析
9.6　OpenVAS脚本分析
9.7　漏洞扫描实践
9.8　OpenVAS扫描故障排除
9.9　配置OSSIM报警
9.10　OSSIM在蠕虫预防中的应用
9.11　时间线分析方法
9.12　利用OSSIM进行高级攻击检测
9.13　合规管理及统一报表输出
9.14　小结
第10章　基于B/S架构的数据包捕获分析
10.1　数据包捕获
10.2　数据包过滤种类
10.3　过滤匹配表达式实例
10.4　命令行工具tshark和dumpcap
10.5　使用tcpdump过滤器
10.6　针对IE浏览器漏洞的攻击分析
10.7　小结
参考文献
附录：参看CD链接