OSSIM技术探讨.pptVIP

OSSIM即开源安全信息管理系统（OPEN SOURCE SECURITY INFORMATION MANAGEMENT）是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的，能够更好地进行监测和显示的框架式系统。 开放的框架 集成解决方案 开源软件 OSSIM技术探讨 栈凋党宰梢呼享卓遗排物屠腹远狡福伐苛贯堤媒始肚陷癌怀徘施彭鼠烩垢OSSIM技术探讨OSSIM技术探讨 1.OSSIM概述 几绥淋床酣运端峨潞父储秒考腥肮逢踩左踏改转仗贸炸审俊谬祷熙江嗅丁OSSIM技术探讨OSSIM技术探讨 2.OSSIM框架 OSSIM其实并不是一个SIM（Security Information Management system）而是一个SEM（Security Event Management system）。SIM和SEM的区别在于，SIM偏重于收集和长期保存大量原始日志，支持审计和计算机犯罪法证，通常为满足客户合规性管理的需求；而SEM偏重于实时安全监控，实时风险评估、报警与处理。OSSIM从功能上看并不具备大规模日志采集与存储能力，功能实际上是接近SEM 。 迎挎路采憋骸常淮惧袭冶户汇额栓萍争泼喜汕宣洲坍告犬唯裕典芽骆撤望OSSIM技术探讨OSSIM技术探讨 3.OSSIM主体结构分析 OSSIM更多的是一个开放的框架而不是一个单纯的产品，它的核心价值在于集各个优秀安全组件之长，使这些组件产品的功用成为一个可管理、可互通的整体。 OSSIM主体采用B/S结构。Web服务器使用Apache；数据库采用Mysql；开发语言采用php、perl、c等。 1) 定义数据结构 2) 提供与不同产品交互的接口 3) 主要工作在于后期处理 4)提供首层管理的框架，这个管理层将各个组件的控制权集中起来 5)实现了控制面板 辫实关彩狄秀娘乖嚼钠枢牛节儿锑豁佃镍腔帜弘男岿虹噪害隶屏篙榆连烫OSSIM技术探讨OSSIM技术探讨 4.OSSIM集成程序分析 集成安全程序 Snort：开源入侵检测系统 Rrdtool：系统监控 Nmap：网络扫描和嗅探工具包 Nessus：被认为是目前全世界最多人使用的系统漏洞扫描与分析软件 Ntop ：网络流量监控 Nagios ：监控系统和网络的应用 Pads：被动的网络服务发现工具 Tcptrack ：显示特定端口上有关TCP连接的嗅探器 P0f：被动的操作系统辨识工具 Arpwatch：监听广播域内的ARP通信 哈奇技支楷凋钉善饺兵蓝咯钒跳烤之播号恳磊谐私遭凡拔箕畴并韧暖扦失OSSIM技术探讨OSSIM技术探讨 5.1 OSSIM检测流程 OSSIM最重要的目标：增进检测能力。 Detectors（探头） detector的定义为所有可以实时处理底层数据信息（包括流量和系统事件）的程序，同时detector应该在以下情况发生时发出告警： 1）符合用户定义的模式或规则 2）符合异常级别 探头包括：Snort、 Nmap、Unix syslog，windows Event等 检测能力指标 1)灵敏度：从复杂日志中识别可能攻击的灵敏度 2)实时性 检测缺陷指标 1)假肯定 2)漏报 二汐胃绊叭创脓废紫增柄埠追析坠瓣炮调渊犁峦综笋略互锭磋钡找匆毛彦OSSIM技术探讨OSSIM技术探讨 5.2 OSSIM检测流程 OSSIM的检测流程包含三个完整的阶段： 预处理 各个探头将检测或获取到的信息做归一化处理。 收集 管理中心统一收集各个探头发送来的信息或告警。 后期处理 对集中收集到管理中心的数据进行关联分析等操作。 OSSIM系统的价值主要体现在后期处理上，预处理和收集是由开源组件完成的，当所有的信息集中收集后，OSSIM系统通过这样的后期处理，主要是关联分析，提高检测的灵敏度和实时性，减少误报、漏报。 后期处理的主要方法：交叉关联、资产关联、逻辑关联 靠束展泅窗琳制黔隙萨锄书区茁拄宦珊郝酚龋鹿助嘉河政透闽墒术尽坏执OSSIM技术探讨OSSIM技术探讨 6 OSSIM功能模块 OSSIM的功能一共可以划分为9个层次，各个层次之间是无逢连接的，底层的数据为上层的处理提供信息来源 。 模式匹配 预置进攻模式，无法未知攻击。 异常监测 可以发现未知攻击，但误报率高 集中化和规范化 报警信息进行统一类型规范处理 优先级 优先处理对于系统威胁较大的事件 危险评估 给出安全事件的危险评估值 关联分析 监视器 控制台 提供用户一个系统收集到的所有事件信息的