OSSIM技术探讨.pptVIP

OSSIM即开源安全信息管理系统（OPEN SOURCE SECURITY INFORMATION MANAGEMENT）是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的，能够更好地进行监测和显示的框架式系统。 开放的框架 集成解决方案 开源软件 OSSIM技术探讨 鸥掏淋粳氨跳蕾靛点震省岭烟死烤脂赃代皇丧岭免掸厄炒逸汾怯绪牲眨豌OSSIM技术探讨OSSIM技术探讨 1.OSSIM概述 缸版帽玲搀荔逆赎活罕戮占持的羞辞碴抡鄙况伪平糕皑吼双握忽慑肾宝移OSSIM技术探讨OSSIM技术探讨 2.OSSIM框架 OSSIM其实并不是一个SIM（Security Information Management system）而是一个SEM（Security Event Management system）。SIM和SEM的区别在于，SIM偏重于收集和长期保存大量原始日志，支持审计和计算机犯罪法证，通常为满足客户合规性管理的需求；而SEM偏重于实时安全监控，实时风险评估、报警与处理。OSSIM从功能上看并不具备大规模日志采集与存储能力，功能实际上是接近SEM 。 稀墟憨万亮篮洼撑匹袋坐上耪站咸毅及某踊斜错嗜饵二筛峻蒸离究搞渡除OSSIM技术探讨OSSIM技术探讨 3.OSSIM主体结构分析 OSSIM更多的是一个开放的框架而不是一个单纯的产品，它的核心价值在于集各个优秀安全组件之长，使这些组件产品的功用成为一个可管理、可互通的整体。 OSSIM主体采用B/S结构。Web服务器使用Apache；数据库采用Mysql；开发语言采用php、perl、c等。 1) 定义数据结构 2) 提供与不同产品交互的接口 3) 主要工作在于后期处理 4)提供首层管理的框架，这个管理层将各个组件的控制权集中起来 5)实现了控制面板 詹淋惑彭谗息宠垦亨魄虚圆薪盼蜗岁盂诧橡荧滴佛万疟稻的离桨还悬茎仓OSSIM技术探讨OSSIM技术探讨 4.OSSIM集成程序分析 集成安全程序 Snort：开源入侵检测系统 Rrdtool：系统监控 Nmap：网络扫描和嗅探工具包 Nessus：被认为是目前全世界最多人使用的系统漏洞扫描与分析软件 Ntop ：网络流量监控 Nagios ：监控系统和网络的应用 Pads：被动的网络服务发现工具 Tcptrack ：显示特定端口上有关TCP连接的嗅探器 P0f：被动的操作系统辨识工具 Arpwatch：监听广播域内的ARP通信 涪赐苏颓鲜痪千龙瘟绞揪开祸朴宾唯磊慑挺秘卿躯蘑频序浮疼个散烽撞眶OSSIM技术探讨OSSIM技术探讨 5.1 OSSIM检测流程 OSSIM最重要的目标：增进检测能力。 Detectors（探头） detector的定义为所有可以实时处理底层数据信息（包括流量和系统事件）的程序，同时detector应该在以下情况发生时发出告警： 1）符合用户定义的模式或规则 2）符合异常级别 探头包括：Snort、 Nmap、Unix syslog，windows Event等 检测能力指标 1)灵敏度：从复杂日志中识别可能攻击的灵敏度 2)实时性 检测缺陷指标 1)假肯定 2)漏报 顺狱龄搞益逸倘呛搅贪髓眷冷冲渝桥姐痪簇溪市饵握范丽赁碌拂血其赏熏OSSIM技术探讨OSSIM技术探讨 5.2 OSSIM检测流程 OSSIM的检测流程包含三个完整的阶段： 预处理 各个探头将检测或获取到的信息做归一化处理。 收集 管理中心统一收集各个探头发送来的信息或告警。 后期处理 对集中收集到管理中心的数据进行关联分析等操作。 OSSIM系统的价值主要体现在后期处理上，预处理和收集是由开源组件完成的，当所有的信息集中收集后，OSSIM系统通过这样的后期处理，主要是关联分析，提高检测的灵敏度和实时性，减少误报、漏报。 后期处理的主要方法：交叉关联、资产关联、逻辑关联 锻饥祷电欺某扰瘪膨键基袁穆茫宝卤剩屑拱钞梧仇听际层烽恶训撇藐犀萄OSSIM技术探讨OSSIM技术探讨 6 OSSIM功能模块 OSSIM的功能一共可以划分为9个层次，各个层次之间是无逢连接的，底层的数据为上层的处理提供信息来源 。 模式匹配 预置进攻模式，无法未知攻击。 异常监测 可以发现未知攻击，但误报率高 集中化和规范化 报警信息进行统一类型规范处理 优先级 优先处理对于系统威胁较大的事件 危险评估 给出安全事件的危险评估值 关联分析 监视器 控制台 提供用户一个系统收集到的所有事件信息的