OSSIM技术探讨.pptVIP

OSSIM即开源安全信息管理系统（OPEN SOURCE SECURITY INFORMATION MANAGEMENT）是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的，能够更好地进行监测和显示的框架式系统。 开放的框架 集成解决方案 开源软件 OSSIM技术探讨 1.OSSIM概述 2.OSSIM框架 OSSIM其实并不是一个SIM（Security Information Management system）而是一个SEM（Security Event Management system）。SIM和SEM的区别在于，SIM偏重于收集和长期保存大量原始日志，支持审计和计算机犯罪法证，通常为满足客户合规性管理的需求；而SEM偏重于实时安全监控，实时风险评估、报警与处理。OSSIM从功能上看并不具备大规模日志采集与存储能力，功能实际上是接近SEM 。 3.OSSIM主体结构分析 OSSIM更多的是一个开放的框架而不是一个单纯的产品，它的核心价值在于集各个优秀安全组件之长，使这些组件产品的功用成为一个可管理、可互通的整体。 OSSIM主体采用B/S结构。Web服务器使用Apache；数据库采用Mysql；开发语言采用php、perl、c等。 1) 定义数据结构 2) 提供与不同产品交互的接口 3) 主要工作在于后期处理 4)提供首层管理的框架，这个管理层将各个组件的控制权集中起来 5)实现了控制面板 4.OSSIM集成程序分析 集成安全程序 Snort：开源入侵检测系统 Rrdtool：系统监控 Nmap：网络扫描和嗅探工具包 Nessus：被认为是目前全世界最多人使用的系统漏洞扫描与分析软件 Ntop ：网络流量监控 Nagios ：监控系统和网络的应用 Pads：被动的网络服务发现工具 Tcptrack ：显示特定端口上有关TCP连接的嗅探器 P0f：被动的操作系统辨识工具 Arpwatch：监听广播域内的ARP通信 5.1 OSSIM检测流程 OSSIM最重要的目标：增进检测能力。 Detectors（探头） detector的定义为所有可以实时处理底层数据信息（包括流量和系统事件）的程序，同时detector应该在以下情况发生时发出告警： 1）符合用户定义的模式或规则 2）符合异常级别 探头包括：Snort、 Nmap、Unix syslog，windows Event等 检测能力指标 1)灵敏度：从复杂日志中识别可能攻击的灵敏度 2)实时性 检测缺陷指标 1)假肯定 2)漏报 5.2 OSSIM检测流程 OSSIM的检测流程包含三个完整的阶段： 预处理 各个探头将检测或获取到的信息做归一化处理。 收集 管理中心统一收集各个探头发送来的信息或告警。 后期处理 对集中收集到管理中心的数据进行关联分析等操作。 OSSIM系统的价值主要体现在后期处理上，预处理和收集是由开源组件完成的，当所有的信息集中收集后，OSSIM系统通过这样的后期处理，主要是关联分析，提高检测的灵敏度和实时性，减少误报、漏报。 后期处理的主要方法：交叉关联、资产关联、逻辑关联 6 OSSIM功能模块 OSSIM的功能一共可以划分为9个层次，各个层次之间是无逢连接的，底层的数据为上层的处理提供信息来源 。 模式匹配 预置进攻模式，无法未知攻击。 异常监测 可以发现未知攻击，但误报率高 集中化和规范化 报警信息进行统一类型规范处理 优先级 优先处理对于系统威胁较大的事件 危险评估 给出安全事件的危险评估值 关联分析 监视器 控制台 提供用户一个系统收集到的所有事件信息的访问接口 7 OSSIM数据流 探头检测事件 事件归一化处理 通过不同协议收集事件 将事件存入EDB 事件分类及区分优先级 各类事件风险评估 关联分析后的事件循环处理 控制台显示风险评估信息 7.1 OSSIM数据流 OSSIM中的三个策略数据库，是OSSIM事件分析和策略调整的信息来源，分别为以下三种数据库: ◆EDB（事件数据库）:在三个数据库中，EDB无疑是最大的，它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。 ◆KDB（知识数据库）:在知识数据库中，将系统的状态进行了参数化的定义，这些参数将为系统的安全管理提供详细的数据说明和定义。 ◆UDB（用户数据库）:在用户数据库中，存储的是用户的行为和其他与用户相关的事件。 8 OSSIM关联分析 OSSIM关联分析的特点是：基