OSSIM

OSSIM让网络攻击无所遁形

北城余情 提交于 2019-11-26 21:05:30
OSSIM让网络攻击无所遁形 如今网络安全事件的复杂程度不断攀升,从传统的病毒到蠕虫、木马的过程,这是一种网络威胁进化的过程,你再用传统的监控工具就OUT了。要想对抗攻击,首先需要发现攻击,通过抓包的常规做法比较滞后,而且也只能发现局部问题,已不满足我们对可视化网络安全运维的需要,你选择的多数软件都无法满足对网络攻击可视化的需求。若想更佳方便的发现网络异常,这里我们还是使用 OSSIM 平台,下面看几个网络常见的攻击类型和OSSIM对策: 1. ICMP攻击 主要包括利用大量ICMP Redirect包修改系统路由表的攻击和使用ICMP协议实施的拒绝服务攻击. 2.扫描攻击 - nmap 扫描 聚合后的事件 3.特洛伊木马攻击 最早的 Zeusbot 通过直接与它的 C&C 服务器进行通信来下载配置数据和上传窃取的信息。 4. 蠕虫攻击,例如 Win32.Koobface.AC Win32.Koobface.AC 是一种通过 Facebook 社交网站进行传播的蠕虫 . 它通过发送信息到被感染用户社交网站上的联系列表进行传播。如您看不懂这些也可先查询 恶意代码知识百科 5. 检查出感染恶意软件 6.发现挂马攻击 EK是ExploitKit的缩写,表示Angler钓鱼工具套件或工具包 7.发现用指令控制服务器C&C(控制僵尸网络) 8.发觉疑似MySQL攻击 9. 实现手法

哪种监控工具才是运维人的最爱?

感情迁移 提交于 2019-11-26 21:05:10
哪种监控工具才是运维人的最爱? 那些指标需要监控?我能监控到什么?能监控到何种程度?或许这些问题连你自己都难说清楚。先看看运维兄弟们的现状。 1 .运维现状 传统企业的计算机运维是在用户使用计算机过程中发现故障之后,通知运维人员,再由运维人员采取相应的补救措施。运维人员日常大部分时间和精力都花在处理简单且重复的问题上,而且由于故障预警机制不完善,往往是故障发生后才会进行处理, 这种情况 使运维人员的工作经常处于被动“救火”状态,这种被动的运维模式让 IT 部门疲惫不堪。运维质量如何提高?生 产 部门能对运维部有满意的评价吗? 目前我们在运维管理过程中缺少明确的角色定义和责任划分,以及自动化的集成运维管理平台,以至于问题出现后很难快速、准确地找到原因,而且在处理故障之后也缺乏必要的跟踪 与 记录。 2 .隐藏在流量背后的秘密 网络接口的通端,流量的大小,已满足不了目前运维故障排除的需要。我们需要将流量分析的更深入,更细致。 图 1 传统流量监控工具看表象 很多漏洞利用攻击、 ShellCode 攻击都混杂着正常流量进入企业网层层防护关卡。要想知道每个数据包中携带了什么内容,普通的摄像头已经失效,需要更强大的 X 透视相机-进行协议分析,只有准确理解事物的本质,才能对症下药,Shellcode攻击(下图是shellcode和botnet的实例)和各种蠕虫也是如此。 3.

《开源安全运维平台OSSIM最佳实践》

别说谁变了你拦得住时间么 提交于 2019-11-26 11:39:56
《开源安全运维平台-OSSIM最佳实践》2016年元月出版 经多年潜心研究开源技术,历时三年创作的《开源安全运维平台OSSIM最佳实践》一书即将出版。该书用100多万字记录了作者10多年的OSSIM研究应用成果,重点展示了开源安全管理平台OSSIM在大型企业网运维管理中的实践。国内目前也有各式各样的运维系统,经过笔者对比分析得出这些工具无论在功能上、性能上还是在安全和稳定性易用性上都无法跟OSSIM系统想媲美,而且很多国内的开源安全运维项目在发布几年后就逐步淡出了舞台,而OSSIM持续发展了十多年。 内容提要 全书共分三篇,10章:第一篇(1~2章)分主要介绍OSSIM架构与工作原理、系统规划、实施关键要素和过滤分析SIEM事件的要领。第二篇(3~6章)主要介绍OSSIM所涉及的几个后台数据库,重点强调安全事件分类聚合、提取流程、关联分析算法、Snort规则分析等技巧。第三篇(7~10章)主要介绍日志收集方法和标准化实现思路以及在OSSIM中用HIDS/NIDS、Netflow抓包分析异常流量的方法,深入分析了Openvas架构和脚本分析方法。 全书装帧精美,反映了国内信息安全领域的前沿问题,为安全事件关联分析提供了切实可行的实现方法,解决了企业中安全事件可视化分析的难题,可以作为开源技术研究人员、网络安全管理人员以及高校计算机专业师生学习参考使用。 前 言 一、为什么要写作本书

10大开源安全信息和事件管理SIEM工具

我怕爱的太早我们不能终老 提交于 2019-11-25 21:06:55
企业应该投资并部署开源SIEM(安全信息和事件管理)工具吗?SIEM是现代企业网络安全的重要组成部分。实际上,SIEM解决方案提供了关键的IT环境保护和合规性标准实现。只有通过日志管理,安全分析和关联以及报告模板,企业才能抵御现代网络攻击。      但是,SIEM也会给你的企业IT部门带来严重问题。通常,SIEM的部署和维护成本高昂;其解决方案在资源和时间方面都需要运营成本。此外,SIEM在部署时需要不断进行调整和评估,以确保最佳性能。所有这些都可能让企业放弃部署SIEM解决方案。   然而,你的企业可能有获得所需重要安全分析的途径:开源SIEM。   什么是开源SIEM?   开源SIEM工具从字面上向公众开放他们的网络安全设计。这使IT专业人员可以更自由地修改和共享工具代码,提供重要的可定制性和适应性。   通常,企业可以免费获得这些开源InfoSec工具;因此,与完整的企业级解决方案相比,企业在部署和维护时所面临的成本负担较小。虽然免费的SIEM工具无法提供企业级解决方案的全面性,但开源SIEM确实以合理的成本提供可靠的功能。值得注意的是,一些免费的SIEM工具不会对其使用或保留的数据施加限制,这使其吸引了很多中小型企业(SMB)。   为了帮助你企业找到理想的免费安全分析工具,以下提供了10种最佳开源SIEM工具列表,供你参考和选择!   SIEMonster  
订阅 OSSIM