李晨光，UNIX／Linux系统安全专家、中国计算机学会高级会员，写作了多本畅销的计算机图书，同时还是51CTO、ChinaUnix、OSChina等社区的专家博主，撰写的技术博文被国内各大IT技术社区广泛转载，还曾多次受邀在国内系统架构师大会和网络信息安全大会上发表技术演讲。

第1章 入侵检测Snort与Suricata
Q001 Snort检测规则存储在何处？如果触发规则Snort将会产生几种动作类型？
Q002 Snort 2．9版本中主要有哪些预处理插件，各有什么功能？
Q003 如何利用Scapy测试Snort规则？
Q004 Snort有几种工作模式，各有什么特点？
Q005 举例说明Snort采用什么规则检测可疑载荷？
Q006 Snort如何检测Chargen/Echo DoS攻击？
Q007 如何使用Snort的Packet logger模式将捕获到的信息记录到磁盘？
Q008 在同一个网段内如何部署多个IDS？
Q009 手动编译安装Snort时，需要做哪些准备工作？
Q010 如何在Linux下编译安装Snort？
Q011 如何将Snort报警存入MySQL数据库？
Q012 如何搭建基于BASE的可视化入侵检测系统？
Q013 OSSIM的PHP IDS组件采用什么方法来接收和分析数据？
Q014 IP碎片攻击对Snort会产生哪些危害？
Q015 在Snort规则中，msg、content、threshold、reference选项有何含义？
Q016 OSSIM中如何管理引用类型？
Q017 外部引用在OSSIM安全事件管理中起到什么作用？
Q018 OSSIM5中的Suricata支持PF_RING吗？
Q019 如何利用DARPA 2000数据集重构攻击场景？
Q020 在Snort中如何使用参数查看数据链路层的包头信息？
Q021 Snort的输出插件分为几类？各有什么作用？
Q022 sid-msg．map和gen-msg．map有什么区别？
Q023 在 OSSIM 4．12检测器中Snort状态为DOWN，而Suricata为UP，这种状态正常吗？
它们能同时为状态UP吗？
Q024 网络主动探测与被动探测有什么区别？
Q025 如何找出/var/log/suricata目录下24小时内访问过的日志并且找到后立即删除？
Q026 Snort传感器部署在企业网的什么位置？
Q027 Suricata与Snort有何区别？
Q028 如何调整Suricata同时处理的数据包的数量？
Q029 如何设置Suricata的运行模式？
Q030 Suricata事件输出分为哪几种？如何记录匹配的信息？
Q031 当Suricata检测到可疑数据包时，以二进制格式将其存储到什么文件？通过什么
程序读取？
Q032 Suricata通过什么参数记录真实客户机的IP？
Q033 若让Suricata记录所有HTTP日志，则该如何修改配置文件？
Q034 如何保存经Suricata检测的所有数据包？
Q035 如何启用Suricata服务的Debug日志？
Q036 如何将Suricata的报警信息输出到Syslog文件中？
Q037 数据包在Suricata检测引擎中是如何匹配的？
Q038 Suricata检测引擎的配置属性分为几种？
Q039 在多核心OSSIM服务器上如何改善Suricata处理性能？
Q040 在高速复杂的网络环境中，如何提高Suricata规则检测时的数据分片传输效率？
Q041 在Suricata的stream引擎中对数据包重组需要占用CPU资源，为了避免无限制地
重组数据包，应该修改什么参数对其进行限制？
Q042 Suricata的日志文件suricata．log保存在什么路径中？该路径由什么配置文件
定义？
Q043 OSSIM下Suricata的抓包方式采用AF_PACKET还是PF_RING？
Q044 如何定制Suricata规则？
Q045 如何更新AlienVault NIDS规则和签名？
Q046 Snort可作为IPS使用吗？如何部署？
Q047 在OSSIM 3中，PF_RING有哪几种工作模式？
Q048 如何启用新的ET规则？
Q049 如何在OSSIM系统中配置无线入侵系统？
Q050 OSSIM平台上的iptables模块在什么位置？
Q051 举例说明OSSIM如何发现Nmap扫描行为。
Q052 AIDE有什么作用？
Q053 如何在CentOS Linux中安装AIDE？
Q054 如何在OSSIM中安装AIDE？
本章测试
第2章 基于主机的入侵检测——OSSEC
Q055 OSSEC Agent主要由哪些进程组成，各有什么作用？
Q056 简述OSSEC Server/Agent工作流程及其关键进程的作用。
Q057 什么是Agent和Agentless监控？
Q058 如何测试OSSEC规则？
Q059 当因磁盘空间不足而造成OSSEC服务故障时，该如何处理？
Q060 分布式环境下OSSEC和Agent是如何通信的？
Q061 在Linux环境中如何安装OSSEC Agent？
Q062 Linux下安装OSSEC Agent报错时应如何解决？
Q063 Nmap扫描和OpenVAS扫描有什么区别？
Q064 OSSEC事件报警处理流程是什么？
Q065 如何在Windows 8环境下安装OSSEC Agent？
Q066 用于配置OSSEC Agent的文件位于何处？
Q067 当OSSEC Agent无法连接服务器时，该如何处理？
Q068 在Windows Server 2012中如何安装OSSEC Agent？
Q069 如何在Web中查看OSSEC Agent状态？
Q070 OSSEC日志存储在什么位置？
Q071 Web UI中OSSEC调用规则的后台文件位于何处？
Q072 如何监听OSSEC Server和Agent之间的数据通信？
Q073 Windows平台中已安装了OSSEC Agent，但在OSSIM服务器中没有接收到
日志，这怎么解决？
Q074 OSSEC客户端无法连接到OSSEC服务器时，该如何处理？
Q075 /var/log/suricata/目录下 JSON 文件中的各个字段表示什么含义？
Q076 在OSSEC输出插件中的特定字符表示什么含义？
本章测试
第3章 漏

OSSIM（Open Source Security Information Management，开源安全信息管理）系统是一个非常流行和完整的开源安全架构体系，通过将开源产品进行集成，从而提供一种能实现安全监控功能的基础平台。
本书精选了作者在OSSIM日常运维操作中遇到的许多疑难杂症，并给出了相应的解决方案。本书共分为12章，内容包括入侵检测Snort与Suricata，基于主机的入侵检测—OSSEC，漏洞扫描OpenVAS，Memcache、RabbitMQ与Redis协同工作，日志采集与分析，关联分析技术，资产管理，网络流量与主机高可用监控，NetFlow流量分析，OSSIM前端汉化技巧，压力测试及性能监控，数据包抓包分析技巧等。
本书精选了作者在非常适合具有一定SIEM（Security Information and Event Management，安全信息和事件管理）系统实施经验的技术经理或中高级运维工程师阅读，还可以作为开源技术研究人员、网络安全管理人员的参考资料。