OSSIM安全信息管理系统介绍

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2014/12/9,#,OSSIM,安全信息管理系统简介,1.,OSSIM,概述,OSSIM,即安全,信息管理系统（,OPEN SOURCE SECURITY INFORMATION MANAGEMENT,）是目前一个非常流行和完整,的安全,架构体系。,OSSIM,通过,将安全产品,进行集成，从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的，能够更好地进行监测和显示的框架式系统。,开放的框架,集成解决方案,监测,软件,2.,OSSIM,框架,OSSIM,其实并不是一个,SIM,（,Security Information Management system,）而是一个,SEM,（,Security Event Management system,）。,SIM,和,SEM,的区别在于，,SIM,偏重于收集和长期保存大量原始日志，支持审计和计算机犯罪法证，通常为满足客户合规性管理的需求；而,SEM,偏重于实时安全监控，实时风险评估、报警与处理。,OSSIM,从功能上看并不具备大规模日志采集与存储能力，功能实际上是接近,SEM,。,3.,OSSIM,主体结构分析,OSSIM,更多的是一个开放的框架而不是一个单纯的产品，它的核心价值在于集各个优秀安全组件之长，使这些组件产品的功用成为一个可管理、可互通的整体。,OSSIM,主体采用,B/S,结构。,Web,服务器使用,Apache,；数据库采用,Mysql,；开发语言采用,php,、,perl,、,c,等。,1),定义数据结构,2),提供与不同产品交互的接口,3),主要工作在于后期处理,4),提供首层管理的框架，这个管理层将各个组件的控制权集中起来,5),实现了控制面板,4.,OSSIM,集成程序分析,集成安全程序,Snort,：入侵,检测系统,Rrdtool,：系统监控,Nmap,：网络扫描和嗅探工具包,Nessus,：被认为是目前全世界最多人使用的系统漏洞扫描与分析软件,Ntop,：网络流量监控,Nagios,：监控系统和网络的应用,Pads,：被动的网络服务发现工具,Tcptrack,：显示特定端口上有关,TCP,连接的嗅探器,P0f,：被动的操作系统辨识工具,Arpwatch,：监听广播域内的,ARP,通信,5.1,OSSIM,检测流程,OSSIM,最重要的目标：增进检测能力。,Detectors,（探头）,detector,的定义为所有可以实时处理底层数据信息（包括流量和系统事件）的程序，同时,detector,应该在以下情况发生时发出告警：,1,）符合用户定义的模式或规则,2,）符合异常级别,探头包括：,Snort,、,Nmap,、,Unix syslog,，,windows Event,等,检测能力指标,1),灵敏度：从复杂日志中识别可能攻击的灵敏度,2),实时性,检测缺陷指标,1),假肯定,2),漏报,5.2,OSSIM,检测流程,OSSIM,的检测流程包含三个完整的阶段：,预处理,各个探头将检测或获取到的信息做归一化处理。,收集,管理中心统一收集各个探头发送来的信息或告警。,后期处理,对集中收集到管理中心的数据进行关联分析等操作。,OSSIM,系统的价值主要体现在后期处理上，预处理和收集是由开源组件完成的，当所有的信息集中收集后，,OSSIM,系统通过这样的后期处理，主要是关联分析，提高检测的灵敏度和实时性，减少误报、漏报。,后期处理的主要方法：,交叉关联、资产关联、逻辑关联,6,OSSIM,功能模块,OSSIM,的功能一共可以划分为,9,个层次，各个层次之间是无逢连接的，底层的数据为上层的处理提供信息来源,。,模式匹配,预置进攻模式，无法未知攻击。,异常监测,可以发现未知攻击，但误报率高,集中化和规范化,报警信息进行统一类型规范处理,优先级,优先处理对于系统威胁较大的事件,危险评估,给出安全事件的危险评估值,关联分析,监视器,控制台,提供用户一个系统收集到的所有事件信息的访问接口,7,OSSIM,数据流,探头检测事件,事件归一化处理,通过不同协议收集事件,将事件存入,EDB,事件分类及区分优先级,各类事件风险评估,关联分析后的事件循环处理,控制台显示风险评估信息,7.1,OSSIM,数据流,OSSIM,中的三个策略数据库，是,OSSIM,事件分析和策略调整的信息来源，分别为以下三种数据库,:,EDB,（事件数据库）,:,在三个数据库中，,EDB,无疑是最大的，它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。,KDB,（知识数据库）,:,在知识数据库中，将系统的状态进行了参数化的定义，这些参数将为系统的安全管理提供详细的数据说明和定义。,UDB,（用户数据库）,:,在用户数据库中，存储的是用户的行为和其他与用户相关的事件。,8,OSSIM,关联分析,OSSIM,关联分析的特点是：基于数据库通过操作静态数据表来实现关联。这种关联分析的模式类似于,Leadsec-Manager,的审计分析模式：审计系统定时对所有基本的日志进行分析，抽取特征，形成专门的审计表。,一般常用关联分析是日志在线关联分析。,OSSIM,采用这种关联分析的主要原因是探头采用开源组件，不易进行复杂的控制。,OSSIM,的关联主要分为以下几类：,交叉关联（,Cross Correlation,）,：是指事件与目标漏洞之间的关联。,资产清单关联（,Inventory Correlation,）,：事件与目标特性之间的关联（包括,OS,关联，,Port,关联，协议关联，,Service name,关联，,Service version,关联,.,）。前提条件是资产清单中要包含有资产的特征信息（操作系统信息、端口信息、协议、服务、服务版本等），比如,snort,报了某个机器出现,windows,漏洞的攻击的警报，但是这台机器实际上是个,linux,的机器，那么,ossim,就可以通过关联资产清单中的操作系统特征来鉴定这条,snort,的报警是误报，当然策略是管理员来制定的。,逻辑关联（,Logical Correlation,）,：异源事件间的关联（比如：,if A and B, but not C, and A stays connected to D, generate an Alarm,）。,8.1,OSSIM,关联分析,关联引擎：,Esper,Esper,是一个事件流处理（,Event Stream Processing,，,ESP,）和复杂事件处理（,Complex Event Processing,，,CEP,）的系统，它可以监测事件流并当特定事件发生时触发某些行动,可看作是把数据库反过来，语句是固定的，而数据流进进出出。其常有的应用例子包括系统自动交易、,BAM,、,RFID,、高级监测系统、欺诈检测等。,CEP,：是一种实时事件处理并从大量事件数据流中挖掘复杂模式的技术。,ESP,：是一种从大量事件数据流中过滤，分析有意义的事件，并能够实时取得这些有意义的信息的技术。,性能测试结果：,Esper,在双,2GHz CPU,的,Intel,系统测试环境下，处理超过,500 000,个事件,/,秒。,事件驱动应用服务器,事件驱动应用服务器（,Event Driven Application Server,）是一种新型的服务器，为每秒需要处理超过,100,000,个事件的服务器提供一个运行时和多种支撑基础设施服务（如传输、安全、事件日志、高可靠性和连接器等）。除了事件处理以外，事件驱动服务器还可以将事件信息和长时间存在的数据（通常从关系数据库查询中获取）结合起来，以及在事件流上执行临时的关联关系和匹配操作。,8.2,对,OSSIM,的思考,增加,事件流处理和复杂事件处理，提高,Leadsec-Manager,的核心价值,目前,Leadsec-Manager,对事件的处理仅仅是接收、存入数据库，提供查询和报表界面，对于各种安全管理产品，这些功能是非常基本的，很难让用户体会到产品带来的价值。接收日志，并从日志中挖掘出关于资产和业务的安全态势，这是,SIM,系统的价值。,专注于,SEM,或,SIM,概念的产品,OSSIM,的成功在于合理的定位，并针对目标做不断的完善。,更加智能化的交互方式,OSSIM,安装后，不需要任何配置就能自动发现网络，自动接受并处理日志，这些功能的技术实现难度不高，但是带来的用户体验却很强。,更能突出核心价值的用户操作界面,Leadsec-Manager,的日志审计界面打开后是一些查询框，而,OSSIM,的首页就是通过安全事件分析出的一系列图表和数据，这样的设计更容易体现产品的价值。,开放式的体系结构,开放的体系，关键在于开放的数据结构设计和数据库设计，,OSSIM,将数据库设计为,EDB,、,KDB,、,UDB,，值得借鉴。,9,OSSIM,的界面,