OSSIM技术探讨
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.1 对OSSIM的思考
增加事件流处理和复杂事件处理,提高Leadsec-Manager的核心价值 目前Leadsec-Manager对事件的处理仅仅是接收、存入数据库,提供 查询和报表界面,对于各种安全管理产品,这些功能是非常基本的,很难让 用户体会到产品带来的价值。接收日志,并从日志中挖掘出关于资产和业务 的安全态势,这是SIM系统的价值。 专注于SEM或SIM概念的产品 OSSIM的成功在于合理的定位,并针对目标做不断的完善。 更加智能化的交互方式 OSSIM安装后,不需要任何配置就能自动发现网络,自动接受并处理 日志,这些功能的技术实现难度不高,但是带来的用户体验却很强。 更能突出核心价值的用户操作界面 Leadsec-Manager的日志审计界面打开后是一些查询框,而OSSIM的 首页就是通过安全事件分析出的一系列图表和数据,这样的设计更容易体现 产品的价值。 开放式的体系结构 开放的体系,关键在于开放的数据结构设计和数据库设计,OSSIM将 数据库设计为EDB、KDB、UDB,值得借鉴。
危险评估
给出安全事件的危险评估值
关联分析 监视器 控制台
提供用户一个系统收集到的所有事件信息的访问接口
7 OSSIM数据流
① ② ③ ④ ⑤ ⑥ ⑦
探头检测事件 事件归一化处理 通过不同协议收集事件 将事件存入EDB 事件分类及区分优先级 各类事件风险评估 关联分析后的事件循环处 理 ⑧ 控制台显示风险评估信息
5.1 OSSIM检测流程
OSSIM最重要的目标:增进检测能力。 Detectors(探头) detector的定义为所有可以实时处理底层数据信息(包括流量和系统事 件)的程序,同时detector应该在以下情况发生时发出告警: 1)符合用户定义的模式或规则 2)符合异常级别 探头包括:Snort、 Nmap、Unix syslog,windows Event等 检测能力指标 1)灵敏度:从复杂日志中识别可能攻击的灵敏度 2)实时性 检测缺陷指标 1)假肯定 2)漏报
8.1 OSSIM关联分析
关联引擎: Esper Esper是一个事件流处理(Event Stream Processing,ESP)和复杂 事件处理(Complex Event Processing,CEP)的系统,它可以监测事件流 并当特定事件发生时触发某些行动——可看作是把数据库反过来,语句是固 定的,而数据流进进出出。其常有的应用例子包括系统自动交易、BAM、 RFID、高级监测系统、欺诈检测等。 • CEP:是一种实时事件处理并从大量事件数据流中挖掘复杂模式的技术。 • ESP:是一种从大量事件数据流中过滤,分析有意义的事件,并能够实时取 得这些有意义的信息的技术。 性能测试结果: Esper在双2GHz CPU的Intel系统测试环境下,处理超过500 000个事 件/秒。 事件驱动应用服务器 事件驱动应用服务器(Event Driven Application Server)是一种新型 的服务器,为每秒需要处理超过100,000个事件的服务器提供一个运行时和 多种支撑基础设施服务(如传输、安全、事件日志、高可靠性和连接器等)。 除了事件处理以外,事件驱动服务器还可以将事件信息和长时间存在的数据 (通常从关系数据库查询中获取)结合起来,以及在事件流上执行临时的关 联关系和匹配操作。
3.OSSIM主体结构分析
OSSIM更多的是一个开放的框架而不是一个单纯的产品,它的核心价 值在于集各个优秀安全组件之长,使这些组件产品的功用成为一个可管理、 可互通的整体。 OSSIM主体采用B/S结构。Web服务器使用Apache;数据库采用 Mysql;开发语言采用php、perl、c等。
1) 定义数据结构 2) 提供与不同产品交互的接口 3) 主要工作在于后期处理 4)提供首层管理的框架,这个管理层将各个组件的控制权集中起来 5)实现了控制面板
8 OSSIM关联分析
OSSIM关联分析的特点是:基于数据库通过操作静态数据表来实现关联。 这种关联分析的模式类似于Leadsec-Manager的审计分析模式:审计系统 定时对所有基本的日志进行分析,抽取特征,形成专门的审计表。 一般常用关联分析是日志在线关联分析。OSSIM采用这种关联分析的主要 原因是探头采用开源组件,不易进行复杂的控制。 OSSIM的关联主要分为以下几类: 交叉关联(Cross Correlation):是指事件与目标漏洞之间的关联。 资产清单关联(Inventory Correlation):事件与目标特性之间的关联(包 括 OS 关联,Port关联,协议关联,Service name关联,Service version关 联.)。前提条件是资产清单中要包含有资产的特征信息(操作系统信息、 端口信息、协议、服务、服务版本等),比如snort报了某个机器出现 windows漏洞的攻击的警报,但是这台机器实际上是个linux的机器,那么 ossim就可以通过关联资产清单中的操作系统特征来鉴定这条snort的报警是 误报,当然策略是管理员来制定的。 逻辑关联(Logical Correlation):异源事件间的关联(比如: if A and B, but not C, and A stays connected to D, generate an Alarm )。
开放的框架 集成解决方案 开源软件
2.OSSIM框架
OSSIM其实并不是一个SIM(Security Information Management system)而是 一个SEM(Security Event Management system)。SIM和SEM的区别在于,SIM偏重于 收集和长期保存大量原始日志,支持审计和计算机犯罪法证,通常为满足客户合规性管理 的需求;而SEM偏重于实时安全监控,实时风险评估、报警与处理。OSSIM从功能上看 并不具备大规模日志采集与存储能力,功能实际上是接近SEM 。
5.2 OSSIM检测流程
OSSIM的检测流程包含三个完整的阶段: 预处理 各个探头将检测或获取到的信息做归一化处理。 收集 管理中心统一收集各个探头发送来的信息或告警。 后期处理 对集中收集到管理中心的数据进行关联分析等操作。 OSSIM系统的价值主要体现在后期处理上,预处理和收集是由开源组 件完成的,当所有的信息集中收集后,OSSIM系统通过这样的后期处 理,主要是关联分析,提高检测的灵敏度和实时性,减少误报、漏报。 后期处理的主要方法:交叉关联、资产关联、逻辑关联
Baidu Nhomakorabea
6 OSSIM功能模块
OSSIM的功能一共可以划分为9个层次,各个层次之间是无逢连接的 ,底层的数据为上层的处理提供信息来源 。 模式匹配
预置进攻模式,无法未知攻击。
异常监测
可以发现未知攻击,但误报率高
集中化和规范化
报警信息进行统一类型规范处理
优先级
优先处理对于系统威胁较大的事件
OSSIM技术探讨
1.OSSIM概述
OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架 构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控 功能的基础平台。它的目的是提供一种集中式、有组织的,能够更好地进行 监测和显示的框架式系统。
7.1 OSSIM数据流
OSSIM中的三个策略数据库,是OSSIM事件分析和策略调整的信息来源, 分别为以下三种数据库: ◆EDB(事件数据库):在三个数据库中,EDB无疑是最大的,它存储的是所有 底层的探测器和监视器所捕捉到的所有的事件。 ◆KDB(知识数据库):在知识数据库中,将系统的状态进行了参数化的定义, 这些参数将为系统的安全管理提供详细的数据说明和定义。 ◆UDB(用户数据库):在用户数据库中,存储的是用户的行为和其他与用户相 关的事件。
4.OSSIM集成程序分析
集成安全程序 Snort:开源入侵检测系统 Rrdtool:系统监控 Nmap:网络扫描和嗅探工具包 Nessus:被认为是目前全世界最多人使用的系统漏洞扫描与分析软件 Ntop :网络流量监控 Nagios :监控系统和网络的应用 Pads:被动的网络服务发现工具 Tcptrack :显示特定端口上有关TCP连接的嗅探器 P0f:被动的操作系统辨识工具 Arpwatch:监听广播域内的ARP通信