在現代企業組織的網絡安全建設中，安全運營團隊無疑發揮著非常重要的作用。他們始終站在網絡安全防護的第一線：部署防護工具、監控系統運行狀態，并在威脅發生時進行應急響應。然而，要做好網絡安全運營工作并不容易，只有借助大量先進的安全運營工具，組織才能不斷提升安全運營的能力和效率。

本文收集匯總了目前最受安全運營人員歡迎的60種安全工具，它們較完整地覆蓋了企業網絡安全運營工作的各個方面，包括事件信息收集、漏洞掃描、漏洞管理和威脅檢測等，能夠有效幫助安全運營人員發現更多潛在的安全風險。

一、掃描/滲透測試工具(7款)

1、Vulnerability Manager Plus

這是一款集成的威脅和漏洞管理解決方案，可以通過即時檢測來發現并修復漏洞，保護企業網絡免受攻擊。

2、OpenVAS

OpenVAS是一種包括多種威脅測試服務和工具的框架，提供了較全面且高效的漏洞掃描和漏洞管理解決方案。

3、Metasploit框架

這是一款主要用于針對遠程目標設備開發和執行漏洞利用代碼的常用網絡安全工具，還包含了其他類型的重要子功能，主要包括Opcode數據庫、shellcode歸檔及相關威脅研究資料。

4、Kali

Kali Linux是一個由Debian派生的Linux發行版，主要為數字取證和滲透測試而設計。Kali Linux預裝許多安全性滲透測試程序，包括nmap(端口掃描器)、Wireshark(數據包分析器)、John the Ripper(密碼破解器)以及Aircrack-ng(對無線局域網執行滲透測試的軟件套件)等。

5、Scapy

這款工具基于Python的交互式數據包處理程序和庫，提供了一個強大而靈活的工具集，可用于構建、發送和解析網絡數據包。Scapy允許用戶通過編寫Python代碼來創建和操作各種類型的網絡數據包，例如TCP、UDP、ICMP等。

6、Pompen

這款開源網絡安全工具是用Python開發，有一個高級搜索系統，能夠自動搜索各大數據庫中的安全漏洞，非常方便滲透測試工程師開展日常工作。其最新版本還可以執行數據庫內的威脅搜索。

7、Nmap

這是一款用于網絡發現和安全審計的免費開源工具，目前被廣泛用于評估網絡主機的安全性，識別網絡上的開放端口和服務，以及執行網絡掃描和主機發現操作。

二、安全監控/日志記錄工具(8款)

8、Justniffer

這是一款網絡協議分析器，可以捕獲網絡流量、以定制的方式生成日志、模擬Apache Web服務器日志文件、跟蹤響應時間，并從HTTP流量中提取所有被截獲的文件。

9、Httpry

這是一款專門用于顯示和記錄HTTP流量的數據包嗅探器，其目的不是執行分析本身，而是捕獲、解析和記錄流量，供后續的安全分析使用。它可以實時運行，顯示解析的流量，也可以作為將結果錄入到輸出文件的守護進程來運行。這款產品具有輕量靈活的優點，可輕松適應不同的應用環境。

10、Ngrep

可以提供GNU grep的大多數常見功能，并將它們運用到網絡層。Ngrep還支持pcap工具，允許用戶指定擴展的正則或十六進制表達式，對照數據包的數據載荷進行匹配。

11、PassiveDNS

是目前應用最廣泛的網絡安全工具之一，可以被動地收集DNS記錄，以幫助事件處理、網絡安全監控和一般的數字取證。PassiveDNS還可以在內存中緩存/聚合重復的DNS應答，從而限制日志文件中的數據量，又不丟失DNS應答中的實質內容。

12、Sagan

該工具主要使用類似Snort的引擎和規則來分析日志(syslog/事件日志/snmptrap/netflow/等)，它可以處理多種日志格式，包括syslog、事件日志、SNMP Trap、NetFlow等。

13、Node安全平臺

該產品專注于提供Node.js應用程序的安全性分析和漏洞檢測。它旨在幫助開發人員識別和修復Node.js應用程序中的安全漏洞，并提供一種簡單而經濟的方式來確保應用程序的安全性。

14、Ntopng

是一款網絡流量探測器，它可以顯示實時的網絡使用情況，類似于流行的Unix命令"top"用于監視系統資源使用情況。

15、Fibratus

這是一款用于探索和跟蹤Windows內核的工具。它能夠捕獲大多數Windows內核活動。Fibratus有非常簡單的CLI，提供了啟動內核事件流收集器、設置內核事件過濾器或運行名為filaments的輕量級Python模塊。

三、網絡(主機)入侵檢測工具(12款)

16、Snort

Snort是一款免費開源網絡入侵防御系統(NIPS)和網絡入侵檢測系統(NIDS)，現在由Sourcefire開發維護。早在2009年，Snort就作為有史以來最出色的開源安全軟件之一，躋身IT外媒《InfoWorld》的優秀開源產品目錄。

17、Bro /Zeek

Bro現在更名為Zeek，是一個功能強大的網絡分析框架，與傳統的入侵檢測系統(IDS)有很大的區別。

18、OSSEC

OSSEC是一個全面的開源HIDS工具，可執行日志分析、文件完整性檢查、策略監控、rootkit檢測、實時警報和主動響應，并可以在大多數操作系統上運行，包括Linux、MacOS、Solaris、HP-UX、AIX和Windows。該工具的文檔完備，適合部署到中小企業。

19、Suricata

這是一款高性能的開源網絡IDS、IPS和網絡安全監控引擎，歸社區運營的非盈利基金會開放信息安全基金會(OISF)所有。

20、Security Onion

這是用于Linux發行版的入侵檢測、網絡安全監控和日志管理的工具，主要基于Ubuntu，含有Snort、Suricata、Bro、OSSEC、Sguil、Squert、Snorby、ELSA、Xplico、NetworkMiner及其他許多安全工具?？赏ㄟ^快捷的安裝向導為企業構建批量化的分布式傳感器。

21、sshwatch

這是一個類似DenyHosts的安全工具，用Python編寫，可以在日志中收集攻擊者在攻擊過程中的各種遺留信息。

22、Stealth

這是一款幾乎不留下殘余的文件完整性檢查器，可以通過控制器從另一臺機器上運行，攻擊者很難知道文件系統在SSH上以定義的偽隨機間隔進行檢查。適合部署在中小企業。

23、AIEngine

這是新一代交互式/可編程Python/Ruby/Java/Lua數據包檢測引擎，具有自動化學習、NIDS、DNS域分類、網絡收集器和網絡取證等功能。

24、Denyhosts

這是一個用于防止基于字典的SSH攻擊和蠻力攻擊的工具。它可以通過監視SSH登錄嘗試，并根據預先定義的規則和配置來阻止惡意的登錄嘗試。

25、Fail2Ban

這是一個非常受歡迎安全工具，它通過掃描日志文件來檢測惡意行為，并采取相應措施來保護服務器免受攻擊。

26、SSHGuard

這是一個用C語言編寫的威脅檢測軟件，除了保護SSH服務外，它還可以保護其他服務免受惡意行為和暴力攻擊。

27、Lynis

是一個面向Linux和Unix系統的開源安全審計工具，旨在幫助管理員評估和提高系統的安全性，并提供有關系統配置錯誤、漏洞和潛在風險的詳細報告。

四、蜜罐/蜜網工具(11款)

28、HoneyPy

這是一個中低交互性的蜜罐，具有易于部署、使用插件擴展功能和采用自定義配置等特點。

29、Dionaea

該產品嵌入了Python腳本語言，可以使用libemu來檢測shellcodes，并支持IPv6和TLS。

30、Conpot

這是一個ICS/SCADA蜜罐(Honeypot)工具，可以模擬和模仿工控系統(Industrial Control Systems)和SCADA(Supervisory Control and Data Acquisition)環境，以吸引潛在的攻擊者并收集關于攻擊行為的信息。

31、Amun

這是一個基于Python的低交互蜜罐(Honeypot)框架，用于模擬和捕獲各種網絡攻擊行為，它能夠吸引攻擊者并記錄他們的活動，以便分析和研究攻擊手段。

32、Glastopf

這個蜜罐可以真實模擬出數千個漏洞，并從針對Web應用程序的攻擊中收集數據。其背后的原理非常簡單，主要是向利用web應用程序發起攻擊的人員轉發正確的響應。

33、Kippo

這是一個中等交互的SSH蜜罐(Honeypot)，可專門用于記錄蠻力攻擊和模擬SSH登錄過程。它的一個重要特點是能夠全面記錄攻擊者執行的整個shell交互過程。

34、Kojoney

這是一個低交互的蜜罐，可以專門模擬SSH服務器。它是使用Python編寫的，并使用Twisted Conch庫作為守護進程。

35、HonSSH

這是一款高度交互的蜜罐解決方案，介于攻擊者和蜜罐之間，創建兩個獨立的SSH連接。

36、Bifrozt

這是一個帶DHCP服務器的NAT設備，可以會通過一塊網卡直連到互聯網，而另一塊網卡連到內部網絡。Bifrozt與其他標準NAT設備的區別在于，它能夠在攻擊者和蜜罐之間充當透明的SSHv2代理。

37、HoneyDrive

這是一個非常流行的Linux發行版蜜罐。它是一個虛擬設備(OVA)，安裝了Xubuntu Desktop 12.04.4 LTS版本。它含有10多個預安裝預配置的蜜罐軟件包，比如Kippo SSH蜜罐、Dionaea和Amun惡意軟件蜜罐等。

38、Cuckoo Sandbox

這款開源軟件可用于自動分析可疑文件，并使用自定義組件在隔離環境中運行時監測惡意進程的行為。

五、數據包捕獲/取證工具(6款)

39、Tcpflow

這個工具可以捕獲作為TCP連接流上的部分傳輸數據，并以方便協議分析和調試的方式存儲這些數據。

40、Xplico

這是一個旨在從互聯網流量中提取并捕獲應用程序數據的工具。比如說，Xplico可以從pcap文件中提取電子郵件(POP、IMAP和SMTP協議)、所有HTTP內容、每個VoIP呼叫(SIP)、FTP和TFTP等。Xplico并不是網絡協議分析器，而是開源的網絡取證分析工具(NFAT)。

41、Moloch

這是一個開源的大規模IPv4數據包捕獲(PCAP)、索引和數據庫系統，可以為PCAP瀏覽、搜索和導出提供一個簡單的web界面，并提供了允許直接下載PCAP數據和JSON格式的會話數據的API。Moloch無意取代IDS引擎，而是與它們一起以標準PCAP格式存儲和索引所有網絡流量，提供快速訪問。Moloch可以部署在多種版本的系統上，并在擴展后可以處理每秒數千兆位的流量。

42、OpenFPC

這是一套由多種工具組合起來的輕量級完整數據包網絡流量記錄和緩沖系統，旨在幫助非專業用戶在商用硬件上部署分布式網絡流量記錄器，同時將其整合到現有的警報和日志管理工具中。

43、Dshell

這是是一個網絡取證分析框架，它能夠支持插件的快速開發，以便進行對捕獲的網絡數據包的分析和解析。

44、Stenographer

這個數據包捕獲解決方案旨在將所有數據包快速轉到磁盤，然后提供對這些數據包子集的簡單快速訪問。

六、網絡安全嗅探器工具(3款)

45、Wireshark

這個免費開源的流量包分析工具，主要用于網絡故障排除、分析、通信協議開發以及用戶教育。Wireshark與tcpdump非常相似，但有圖形化前端，外加一些集成的排序和過濾選項。

46、Netsniff-ng

這是一個免費的Linux網絡工具包，堪稱瑞士軍刀，可處理日常Linux網絡任務，同時零復制機制也提升了其性能，因此在收發數據包時，內核不需要將數據包從內核空間復制到用戶空間，反之亦然。

47、Live HTTP headers

這個免費的Firefox插件可以實時查看瀏覽器請求，它能夠完整顯示請求的整個標頭，可用于查找實際的安全漏洞。

七、日志分析工具(3款)

48、Prelude

這是一個通用型的無代理安全信息和事件管理(SIEM)系統，可以獨立收集、規范、分類、聚合、關聯和報告與網絡安全相關的各種類型事件，而不依賴觸發這些事件的產品品牌或許可證。

49、OSSIM

這是一個開源的安全信息和事件管理系統，提供了安全專業人經常用到的安全日志分析與管理功能，包括事件收集、規范和關聯等。

50、FIR

這是一個非常流行的網絡安全事件管理平臺，能夠幫助企業組織快速進行安全事件響應和處理。

八、快速數據包處理(6款)

51、DPDK

這是一組用于快速處理數據包的庫和驅動程序，它是一個開源項目，旨在提供高性能的數據包處理和網絡功能虛擬化。

52、PFQ

這是一個為Linux操作系統設計的實用網絡框架，能夠支持高效的數據包捕獲/傳輸(10G及以上)、內核中功能處理以及跨套接字/端點的數據包轉向。

53、PF_RING

這是一種新型的網絡套接字(socket)技術，旨在顯著提高數據包捕獲速度。它是一個開源項目，可以為高速數據包處理提供了一種有效的解決方案。

54、PF_RING ZC

這個靈活的數據包處理框架可以針對不同大小的數據包，支持實現1/10 Gbit的線路速率數據包處理(RX和TX)。它實現了零拷貝操作，包括進程間通信和虛擬機間(KVM)通信的模式。

55、PACKET_MMAP

這款工具可以在Linux環境中提升對數據包捕獲和傳輸過程的性能。

56、netmap

這是一個面向高速數據包I/O處理的框架工具，它可以作為單一的內核模塊使用，同時適用于FreeBSD、Linux和Windows系統。

九、其他網絡安全工具(4款)

57、pfSense

這是一個基于FreeBSD的防火墻和路由器發行版，它提供了豐富的功能和靈活性，適用于各種網絡安全和路由需求。

58、OPNsense

這是一個易于使用、易于構建、基于FreeBSD的開源防火墻和路由平臺。OPNsense包括了商業版防火墻系統擁有的大多數功能。

59、SpamAssassin

這是一個功能強大且廣泛使用的垃圾郵件過濾器，它采用多種檢測技術來識別和過濾垃圾郵件。

60、OpenVPN

這個開源軟件應用程序實現了虛擬專用網(VPN)技術，可用于在路由設備或遠程訪問設施中創建安全的點對點連接，它使用的自定義安全協議采用了SSL/TLS密鑰交換。