《开源安全运维平台：OSSIM最佳实践》内容简介

《开源安全运维平台：OSSIM最佳实践 》李晨光 著  清华大学出版社出版

内 容 简 介
在传统的异构网络环境中，运维人员往往利用各种复杂的监管工具来管理网络，由于缺乏一种集成安
全运维平台，当遇到故障时总是处于被动“救火”状态，如何将资产管理、流量监控、漏洞管理、入侵监
测、合规管理等重要环节，通过开源软件集成到统一的平台中，以实现安全事件关联分析，可从本书介绍
的OSSIM 平台中找到答案。本书借助作者在OSSIM 领域长达10 年开发应用实践经验之上，以大量生动
实例阐述了基于插件收集日志并实现标准化，安全事件规范化分类，关联分析的精髓，书中为读者展示的
所有知识和实例均来自大型企业中复杂的生产环境，并针对各种难题给出解决方案。

全书共分三篇，10 章：第一篇（第1~2 章）主要介绍OSSIM 架构与工作原理、系统规划、实施关键
要素和过滤分析SIEM 事件的要领。第二篇（第3~6 章）主要介绍OSSIM 所涉及的几个后台数据库，重
点强调安全事件分类聚合、提取流程、关联分析算法、Snort 规则分析等技巧。第三篇（第7~10 章）主要
介绍日志收集方法和标准化实现思路以及在OSSIM 中用HIDS/NIDS、NetFlow 抓包分析异常流量的方法，
深入分析了OpenVAS 架构和脚本分析方法。

本书可以作为开源安全技术研究人员、网络安全管理人员以及高校计算机专业师生学习参考使用。

本书的篇章结构

书的结构好比框架，而内容则是具体组成元素，本书采用了文字、图表和范例等形式，
将OSSIM复杂的结构和工作流程直观地展现给读者。全书分为三部分，共10 章。

1. 基础篇

第1章：本章从OSSIM 起源讲起，介绍了目前运维人员现状，逐步谈到应用SIEM的必
要性，进而介绍OSSIM 架构与组成原理，另外还介绍了基于插件的日志采集思路，提出标
准化安全事件的全新理念，详细分析了OSSIM的高可用架构与实现方法。
第2章：本章从OSSIM实施关键要素、安装策略、硬件选型开始，深入分析单机部署，
分布式体系、传感器设置等重要安装工作。分析安装过程以图文并茂的方式，指出了系统配
置过程，包括实体机、虚拟机不同环境中的安装方法及注意事项。最后重点分析了SIEM 事
件控制台的使用和事件过滤方法。

2. 提高篇

第3章：本章对于OSSIM 开发人员很有帮助，除了介绍OSSIM 数据库组成、表结构，
以及系统迁移备份等技巧以外，还包括各种常见MySQL故障等内容。
第4 章：本章从关联分析基础讲起，逐步深入到OSSIM 安全事件提取过程，介绍了常
用的关联分析算法。还对报警事件的聚合原理做了详细分析，并结合OSSIM 现状采用多个
实例讲解关联规则和自定义策略的使用方法。
第5 章：本章主要介绍各种OSSIM 系统中的监控调试工具的使用，以及系统瓶颈的诊
断方法。
第6 章：本章重点介绍Snort 原理和预处理程序发挥的作用，包括Snort 报警方法。深
入分析Snort 规则编写在OSSIM中的应用技巧以及网络异常行为分析方法。

3. 实战篇

第7 章：本章从日志标准化和收集分析方法讲起，详细分析各种服务、网络设备所产生
的日志，包括Apache、FTP、Squid、DHCP等，并通过实例详细介绍OSSIM插件开发过程。
第8 章：本章讲解NetFlow 进行异常流量分析的方法，包括NetFlow数据采集和过滤方
法，介绍了分布式环境中，利用NetFlow 监测异常流量的技巧，同时针对OSSIM 中Ntop、
Nagios、NetFlow 三种检测工具的使用方法进行了对比。最后还介绍了Cacti 和Zabbix 第三
方开源监控软件集成的方法。
第9章：本章从OSSIM控制管理中心角色权限控制讲起，全面介绍了OSSIM Web UI的
结构，讲解了OSSEC日志分析工具的配置使用和Ａgent的安装方法。介绍了OSSIM中管理网
络资产的实例，并对OpenVAS扫描模块、脚本以及规则做了深入分析。展示了多个利用OSSIM
进行高级攻击检测的实例，以及利用OSSIM进行合规管理和系统统一报表输出的方法。
第10 章：本章主要讲解基于Web 方式下的抓包及数据包过滤方法，并采用该工具远程
解决网络故障的方法，重点介绍了tshark、tcpdump 等抓包工具的高级使用方法，最后以一个
典型IE 浏览器的0 day漏洞攻击的实例来检验这种工具所发挥的作用。