ossim原理初步总结精编.docx

Lele was written in 2021
ossim原理初步总结精编
OSSIM总结

一、概要
当今的网络威胁攻击复杂程度越来越高，已不再局限于传统病毒，盗号木马、僵尸网络、间谍软件、流氓软件、网络诈骗、垃圾邮件、蠕虫、网络钓鱼等严重威胁。网络攻击经常是融合了病毒、蠕虫、木马、间谍、扫描技术于一身的混合式攻击。拒绝服务攻击（DOS）已成为黑客及蠕虫的主要攻击方式之一。黑客利用蠕虫制造僵尸网络，整合更多的攻击源，对目标集中展开猛烈的拒绝服务攻击。并且攻击工具也越来越先进，例如扫描工具不仅可以快速扫描网络中存在漏洞的目标系统，还可以快速植入攻击程序。
因此，网络安全管理的重要性和管理困难的矛盾日益突出。只有从与网络安全相关的海量数据中实时、准确地获取有用信息并加以分析，及时地调整各安全子系统的相关策略，才能应对目前日益严峻的网络安全威胁。
此外，IDS安全工具存在的错报、漏报也是促成安全集成思想的原因之一。以IDS为例，总的来说，入侵检测的方案有基于预定义规则的检测和基于异常的检测，判断检测能力的2个指标为灵敏度和可靠性。但不论是基于预定义规则的检测还是基于异常的检测，由于防范总是滞后于攻击，其必然会遇到漏报、错报的问题。而安全集成则由于其集成联动分析了多个安全工具，使得检测能力即灵敏度和可靠性都得到大幅提升。综上所述，我们需要将各网络安全子系统，包括防火墙
(Mod-Security)、防病毒系统、入侵检测系统(Snort)、***系统（OpenVas）等整合起来，在信息共享的基础上，建立起集中的监管平台，使各子系统既各司其职，又密切合作，从而形成统一的、有机的网络防御体系，来共同抵御日益增长的网络安全威胁。
然而令人愉悦的是OSSIM(open source SIM)监控平台就能给实现这一点，OSSIM是各种安装软件集成在Dedian系统下的监控平台，本文就是将它的主要功能展示出来。OSSIM把Nagios、Ntop、OpenVas、Snort、Nmap、Ossec等这些工具集成在一起提供综合的安全保护措施，而不必在各个系统中来回切换，且统一了数据存储，使得监控得到一站式的统一服务。
OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台。它的目标是提供一种集中式、有组织的，能够更好地进行监测和显示的框架式系统。OSSIM明确定位为一个集成解决方案，其目标并不是要开发一个新的功能，而是利用丰富的、强大的各种程序。在一个保留它们原有功能和作用的开放式架构体系环境下
将它们集成起来。OSSIM平台的核心工作在于负责集成和关联各种产品提供的信息，同时进行相关功能的整合，如图1所示。由于开源项目的优点，这些工具已经久经考验，同时也经过全方位测试，更加可靠。
图1 OSSIM提供功能的层次结构图
二、OSSIM系统工作流程
OSSIM主体采用B/S结构。Web服务器使用Apache，数据库采用Mysql，开发语言为Php、perl、c等，其工作流程如下：
（1）作为整个系统的安全插件的探测器（Sensor）执行各自的任务，当发现问题时给予报警。
（2）各探测器的报警信息将被集中采集。
（3）将各个报警记录解析并存入事件数据库（EDB）。
（4）根据设置的策略（Policy）给每个事件赋予一个优先级（Priority）。
（5）对事件进行风险评估，给每个警报计算出一个风险系数。
（6）将设置了优先级的各事件发送至关联引擎，关联引擎将对事件进行关联。注意：关联引擎就是指在各入侵检测传感器（入侵检测系统、防火墙等）上报的告警事件基础上，经过关联分析形成入侵行为判定，并将关联分析结果报送控制台。
（7）对一个或多个事件进行关联分析后，关联引擎生成新的报警记录，将其也赋予优先级，并进行风险评估，存入数据库。
（8）用户监控监视器将根据每个事件产生实时的风险图。
（9）在控制面板中给出最近的关联报警记录，在底层控制台中提供全部的事件记录。
图2 OSSIM工作流程图
OSSIM安全信息集成管理系统（如图2所示）的设计可由以下几部分构成：安全插件（Plugins）、代理进程（Agent）、传感器（Sensor）、关联引擎（Server）、数据仓库（Database）、Web框架（Framework），其逻辑结构图如下：
图3?信息安全集成管理系统逻辑结构图
安全插件（plugin）
安全插件即各类安全产品和设施。如防火墙、IDS等。OSSIM系统引入的都是Linux下的开源安全工具：Arpwatch、P0f、Snort、Nessus、S