OSSIM技术探讨

8.1 对OSSIM的思考
增加事件流处理和复杂事件处理，提高Leadsec-Manager的核心价值 目前Leadsec-Manager对事件的处理仅仅是接收、存入数据库，提供 查询和报表界面，对于各种安全管理产品，这些功能是非常基本的，很难让 用户体会到产品带来的价值。接收日志，并从日志中挖掘出关于资产和业务 的安全态势，这是SIM系统的价值。 专注于SEM或SIM概念的产品 OSSIM的成功在于合理的定位，并针对目标做不断的完善。 更加智能化的交互方式 OSSIM安装后，不需要任何配置就能自动发现网络，自动接受并处理 日志，这些功能的技术实现难度不高，但是带来的用户体验却很强。 更能突出核心价值的用户操作界面 Leadsec-Manager的日志审计界面打开后是一些查询框，而OSSIM的 首页就是通过安全事件分析出的一系列图表和数据，这样的设计更容易体现 产品的价值。 开放式的体系结构 开放的体系，关键在于开放的数据结构设计和数据库设计，OSSIM将 数据库设计为EDB、KDB、UDB，值得借鉴。
危险评估
给出安全事件的危险评估值
关联分析 监视器 控制台
提供用户一个系统收集到的所有事件信息的访问接口
7 OSSIM数据流
① ② ③ ④ ⑤ ⑥ ⑦
探头检测事件 事件归一化处理 通过不同协议收集事件 将事件存入EDB 事件分类及区分优先级 各类事件风险评估 关联分析后的事件循环处 理 ⑧ 控制台显示风险评估信息
5.1 OSSIM检测流程
OSSIM最重要的目标：增进检测能力。 Detectors（探头） detector的定义为所有可以实时处理底层数据信息（包括流量和系统事 件）的程序，同时detector应该在以下情况发生时发出告警： 1）符合用户定义的模式或规则 2）符合异常级别 探头包括：Snort、 Nmap、Unix syslog，windows Event等 检测能力指标 1)灵敏度：从复杂日志中识别可能攻击的灵敏度 2)实时性 检测缺陷指标 1)假肯定 2)漏报
8.1 OSSIM关联分析
关联引擎： Esper Esper是一个事件流处理（Event Stream Processing，ESP）和复杂 事件处理（Complex Event Processing，CEP）的系统，它可以监测事件流 并当特定事件发生时触发某些行动——可看作是把数据库反过来，语句是固 定的，而数据流进进出出。其常有的应用例子包括系统自动交易、BAM、 RFID、高级监测系统、欺诈检测等。 • CEP：是一种实时事件处理并从大量事件数据流中挖掘复杂模式的技术。 • ESP：是一种从大量事件数据流中过滤，分析有意义的事件，并能够实时取 得这些有意义的信息的技术。 性能测试结果： Esper在双2GHz CPU的Intel系统测试环境下，处理超过500 000个事 件/秒。 事件驱动应用服务器 事件驱动应用服务器（Event Driven Application Server）是一种新型 的服务器，为每秒需要处理超过100,000个事件的服务器提供一个运行时和 多种支撑基础设施服务（如传输、安全、事件日志、高可靠性和连接器等）。 除了事件处理以外，事件驱动服务器还可以将事件信息和长时间存在的数据 （通常从关系数据库查询中获取）结合起来，以及在事件流上执行临时的关 联关系和匹配操作。
3.OSSIM主体结构分析
OSSIM更多的是一个开放的框架而不是一个单纯的产品，它的核心价 值在于集各个优秀安全组件之长，使这些组件产品的功用成为一个可管理、 可互通的整体。 OSSIM主体采用B/S结构。Web服务器使用Apache；数据库采用 Mysql；开发语言采用php、perl、c等。
1) 定义数据结构 2) 提供与不同产品交互的接口 3) 主要工作在于后期处理 4)提供首层管理的框架，这个管理层将各个组件的控制权集中起来 5)实现了控制面板
8 OSSIM关联分析
OSSIM关联分析的特点是：基于数据库通过操作静态数据表来实现关联。 这种关联分析的模式类似于Leadsec-Manager的审计分析模式：审计系统 定时对所有基本的日志进行分析，抽取特征，形成专门的审计表。 一般常用关联分析是日志在线关联分析。OSSIM采用这种关联分析的主要 原因是探头采用开源组件，不易进行复杂的控制。 OSSIM的关联主要分为以下几类： 交叉关联（Cross Correlation）：是指事件与目标漏洞之间的关联。 资产清单关联（Inventory Correlation）：事件与目标特性之间的关联（包 括 OS 关联，Port关联，协议关联，Service name关联，Service version关 联.）。前提条件是资产清单中要包含有资产的特征信息（操作系统信息、 端口信息、协议、服务、服务版本等），比如snort报了某个机器出现 windows漏洞的攻击的警报，但是这台机器实际上是个linux的机器，那么 ossim就可以通过关联资产清单中的操作系统特征来鉴定这条snort的报警是 误报，当然策略是管理员来制定的。 逻辑关联（Logical Correlation）：异源事件间的关联（比如： if A and B, but not C, and A stays connected to D, generate an Alarm ）。
开放的框架 集成解决方案 开源软件
2.OSSIM框架
OSSIM其实并不是一个SIM（Security Information Management system）而是 一个SEM（Security Event Management system）。SIM和SEM的区别在于，SIM偏重于 收集和长期保存大量原始日志，支持审计和计算机犯罪法证，通常为满足客户合规性管理 的需求；而SEM偏重于实时安全监控，实时风险评估、报警与处理。OSSIM从功能上看 并不具备大规模日志采集与存储能力，功能实际上是接近SEM 。
5.2 OSSIM检测流程
OSSIM的检测流程包含三个完整的阶段： 预处理 各个探头将检测或获取到的信息做归一化处理。 收集 管理中心统一收集各个探头发送来的信息或告警。 后期处理 对集中收集到管理中心的数据进行关联分析等操作。 OSSIM系统的价值主要体现在后期处理上，预处理和收集是由开源组 件完成的，当所有的信息集中收集后，OSSIM系统通过这样的后期处 理，主要是关联分析，提高检测的灵敏度和实时性，减少误报、漏报。 后期处理的主要方法：交叉关联、资产关联、逻辑关联
Baidu Nhomakorabea
6 OSSIM功能模块
OSSIM的功能一共可以划分为9个层次，各个层次之间是无逢连接的 ，底层的数据为上层的处理提供信息来源 。 模式匹配
预置进攻模式，无法未知攻击。
异常监测
可以发现未知攻击，但误报率高
集中化和规范化
报警信息进行统一类型规范处理
优先级
优先处理对于系统威胁较大的事件
OSSIM技术探讨
1.OSSIM概述
OSSIM即开源安全信息管理系统（OPEN SOURCE SECURITY INFORMATION MANAGEMENT）是目前一个非常流行和完整的开源安全架 构体系。OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控 功能的基础平台。它的目的是提供一种集中式、有组织的，能够更好地进行 监测和显示的框架式系统。
7.1 OSSIM数据流
OSSIM中的三个策略数据库，是OSSIM事件分析和策略调整的信息来源， 分别为以下三种数据库: ◆EDB（事件数据库）:在三个数据库中，EDB无疑是最大的，它存储的是所有 底层的探测器和监视器所捕捉到的所有的事件。 ◆KDB（知识数据库）:在知识数据库中，将系统的状态进行了参数化的定义， 这些参数将为系统的安全管理提供详细的数据说明和定义。 ◆UDB（用户数据库）:在用户数据库中，存储的是用户的行为和其他与用户相 关的事件。
4.OSSIM集成程序分析
集成安全程序 Snort：开源入侵检测系统 Rrdtool：系统监控 Nmap：网络扫描和嗅探工具包 Nessus：被认为是目前全世界最多人使用的系统漏洞扫描与分析软件 Ntop ：网络流量监控 Nagios ：监控系统和网络的应用 Pads：被动的网络服务发现工具 Tcptrack ：显示特定端口上有关TCP连接的嗅探器 P0f：被动的操作系统辨识工具 Arpwatch：监听广播域内的ARP通信