OSSIM安全信息管理系统介绍

OSSIM安全信息管理系统简介1.OSSIM概述OSSIM即安全信息管理系统（OPENSOURCESECURITYINFORMATIONMANAGEMENT）是目前一个非常流行和完整的安全架构体系。OSSIM通过将安全产品进行集成，从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的，能够更好地进行监测和显示的框架式系统。开放的框架集成解决方案监测软件2.OSSIM框架OSSIM其实并不是一个SIM（SecurityInformationManagementsystem）而是一个SEM（SecurityEventManagementsystem）。SIM和SEM的区别在于，SIM偏重于收集和长期保存大量原始日志，支持审计和计算机犯罪法证，通常为满足客户合规性管理的需求；而SEM偏重于实时安全监控，实时风险评估、报警与处理。OSSIM从功能上看并不具备大规模日志采集与存储能力，功能实际上是接近SEM。3.OSSIM主体结构分析OSSIM更多的是一个开放的框架而不是一个单纯的产品，它的核心价值在于集各个优秀安全组件之长，使这些组件产品的功用成为一个可管理、可互通的整体。OSSIM主体采用B/S结构。Web服务器使用Apache；数据库采用Mysql；开发语言采用php、perl、c等。1)定义数据结构2)提供与不同产品交互的接口3)主要工作在于后期处理4)提供首层管理的框架，这个管理层将各个组件的控制权集中起来5)实现了控制面板4.OSSIM集成程序分析集成安全程序Snort：入侵检测系统Rrdtool：系统监控Nmap：网络扫描和嗅探工具包Nessus：被认为是目前全世界最多人使用的系统漏洞扫描与分析软件Ntop：网络流量监控Nagios：监控系统和网络的应用Pads：被动的网络服务发现工具Tcptrack：显示特定端口上有关TCP连接的嗅探器P0f：被动的操作系统辨识工具Arpwatch：监听广播域内的ARP通信5.1OSSIM检测流程OSSIM最重要的目标：增进检测能力。Detectors（探头）detector的定义为所有可以实时处理底层数据信息（包括流量和系统事件）的程序，同时detector应该在以下情况发生时发出告警：1）符合用户定义的模式或规则2）符合异常级别探头包括：Snort、Nmap、Unixsyslog，windowsEvent等检测能力指标1)灵敏度：从复杂日志中识别可能攻击的灵敏度2)实时性检测缺陷指标1)假肯定2)漏报5.2OSSIM检测流程OSSIM的检测流程包含三个完整的阶段：预处理各个探头将检测或获取到的信息做归一化处理。收集管理中心统一收集各个探头发送来的信息或告警。后期处理对集中收集到管理中心的数据进行关联分析等操作。OSSIM系统的价值主要体现在后期处理上，预处理和收集是由开源组件完成的，当所有的信息集中收集后，OSSIM系统通过这样的后期处理，主要是关联分析，提高检测的灵敏度和实时性，减少误报、漏报。后期处理的主要方法：交叉关联、资产关联、逻辑关联6OSSIM功能模块OSSIM的功能一共可以划分为9个层次，各个层次之间是无逢连接的，底层的数据为上层的处理提供信息来源。模式匹配预置进攻模式，无法未知攻击。异常监测可以发现未知攻击，但误报率高集中化和规范化报警信息进行统一类型规范处理优先级优先处理对于系统威胁较大的事件危险评估给出安全事件的危险评估值关联分析监视器控制台提供用户一个系统收集到的所有事件信息的访问接口7OSSIM数据流①探头检测事件②事件归一化处理③通过不同协议收集事件④将事件存入EDB⑤事件分类及区分优先级⑥各类事件风险评估⑦关联分析后的事件循环处理⑧控制台显示风险评估信息7.1OSSIM数据流OSSIM中的三个策略数据库，是OSSIM事件分析和策略调整的信息来源，分别为以下三种数据库:◆EDB（事件数据库）:在三个数据库中，EDB无疑是最大的，它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。◆KDB（知识数据库）:在知识数据库中，将系统的状态进行了参数化的定义，这些参数将为系统的安全管理提供详细的数据说明和定义。◆UDB（用户数据库）:在用户数据库中，存储的是用户的行为和其他与用户相关的事件。8OSSIM关联分析OSSIM关联分析的特点是：基于数据库通过操作静态数据表来实现关联。这种关联分析的模式类似于Leadsec-Manager的审计分析模式：审计系统定时对所有基本的日志进行分析，抽取特征，形成专门的审计表。一般常用关联分析是日志在线关联分析。OSSIM采用这种关联分析的主要原因是探头采用开源组件，不易进行复杂的控制。OSSIM的关联主要分为以下几类：交叉关联（CrossCorrelation）：是指事件与目标漏洞之间的关联。资产清单关联（InventoryCorrelation）：事件与目标特性之间的关联（包括OS关联，Port关联，协议关联，Servicename关联，Serviceversion关联.）。前提条件是资产清单中要包含有资产的特征信息（操作系统信息、端口信息、协议、服务、服务版本等），比如snort报了某个机器出现windows漏洞的攻击的警报，但是这台机器实际上是个linux的机器，那么ossim就可以通过关联资产清单中的操作系统特征来鉴定这条snort的报警是误报，当然策略是管理员来制定的。逻辑关联（LogicalCorrelation）：异源事件间的关联（比如：ifAandB,butnotC,andAstaysconnectedtoD,generateanAlarm）。8.1OSSIM关联分析关联引擎：EsperEsper是一个事件流处理（EventStreamProcessing，ESP）和复杂事件处理（ComplexEventProcessing，CEP）的系统，它可以监测事件流并当特定事件发生时触发某些行动——可看作是把数据库反过来，语句是固定的，而数据流进进出出。其常有的应用例子包括系统自动交易、BAM、RFID、高级监测系统、欺诈检测等。•CEP：是一种实时事件处理并从大量事件数据流中挖掘复杂模式的技术。•ESP：是一种从大量事件数据流中过滤，分析有意义的事件，并能够实时取得这些有意义的信息的技术。性能测试结果：Esper在双2GHzCPU的Intel系统测试环境下，处理超过500000个事件/秒。事件驱动应用服务器事件驱动应用服务器（EventDrivenApplicationServer）是一种新型的服务器，为每秒需要处理超过100,000个事件的服务器提供一个运行时和多种支撑基础设施服务（如传输、安全、事件日志、高可靠性和连接器等）。除了事件处理以外，事件驱动服务器还可以将事件信息和长时间存在的数据（通常从关系数据库查询中获取）结合起来，以及在事件流上执行临时的关联关系和匹配操作。8.2对OSSIM的思考增加事件流处理和复杂事件处理，提高Leadsec-Manager的核心价值目前Leadsec-Manager对事件的处理仅仅是接收、存入数据库，提供查询和报表界面，对于各种安全管理产品，这些功能是非常基本的，很难让用户体会到产品带来的价值。接收日志，并从日志中挖掘出关于资产和业务的安全态势，这是SIM系统的价值。专注于SEM或SIM概念的产品OSSIM的成功在于合理的定位，并针对目标做不断的完善。更加智能化的交互方式OSSIM安装后，不需要任何配置就能自动发现网络，自动接受并处理日志，这些功能的技术实现难度不高，但是带来的用户体验却很强。更能突出核心价值的用户操作界面Leadsec-Manager的日志审计界面打开后是一些查询框，而OSSIM的首页就是通过安全事件分析出的一系列图表和数据，这样的设计更容易体现产品的价值。开放式的体系结构开放的体系，关键在于开放的数据结构设计和数据库设计，OSSIM将数据库设计为EDB、KDB、UDB，值得借鉴。9OSSIM的界面