（一）OSSIM 介绍：

    OSSIM (OPEN Source Sevurity Informatiion System)：开源安全信息管理系统，由美国的Alien Vault公司开发，是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台，能够实现收集分类日志，识别并解决重大安全事件（优先级，标识出有问题的日志），满足在安全监控和日志存储方面的审计和合规需求。

   （二）网络安全面临的问题

    目前来讲，网络管理员在维护网络安全的时候，他往往会需要架设各种各样的安全系统，包括它的防病毒系统，包括它的抓包系统系统，日志采集系统，漏洞扫描系统，入侵检测系统，以及资产管理系统。这么多的安全系统，耗资比较多，效率比较低，没法进行统一的管理。

（三）集中化安全管理趋势：

    作为一个企业的网络，希望我们的网络能够达到一个什么样的要求呢，就说它所有的安全子系统，它的安全技术可以联动，而且它能实时查看各种信息，各种报表，能够实时监测网络的各个事件，能够有一个统一的策略的管理。以前的防火墙也好，IDS也好，除非你是采购一家的，如果你采购不同家的，它的查看界面是不一样的，它的策略部署也是不一样的，尽管说原理是一样的，但有些细节是不一样的，给管理员设置系统造成一些不方便，包括我们希望它的安全设备，它的配备管理是越简单越好，能够减轻我们管理员的负担。

接下来解释管理所有的安全产品，以及产生的所有的数据。OSSIM能够收集安全数据，并对收集的安全数据进行关联分析，另外一个就是分析安全数据，最后能够产生相应的报告。

最后一个是难度最大的，构建企业内部的网络信息安全库。这个知识库实际上就是收集到针对企业各种服务器的进行的网络攻击的这么一个特征库。有人会说，IDS不就是做这个用的么，实际上并不仅仅是这些，网络信息的知识库，包括你的漏洞库，安全库，以及各种知识库的规则的信息。

（四）感知技术：

    下面就要介绍感知技术，感知技术到底有什么作用，为什么会用到感知技术，我们归根结底就是用感知技术，能够发现异常的行为，能够通过异常预测网络的攻击。什么叫异常行为，大家都在这开会，有一个人一直打电话，如果发现了信息泄露的话，那个人的行为就叫异常行为。通过异常行为就有可能发现即将发生的网络攻击，比如说对某种服务的暴力破解，对FTP，对SSH登录 的暴力破解，我们发现大量的连接测试，用户失败的日志，这种对于管理员来讲，就能预测出即将发生的网络攻击。

（五）网络感知威胁流程

    首先是通过对日志收集，然后对这些日志收集进行封包来进行分析，这种功能我们可以交给Snort，这种开源的IDS来做，由Agent，部署在各个网段的Agent以及部署在各个主机的Agent来收集各个主机的信息，发送到Server里面来进行分析，我们可以根据收集到的信息，根据时间，来源，地址类型等方式进行预处理，归一化处理，生成统一的标准格式，让后将这些信息送到OSSIM里面的Server进行关联分析。

（六）OSSIM解决的问题：

    开源安全信息管理平台OSSIM解决了如下的问题：

    1，将nagios、Snort、OSSEC、Ntop、OpenVAS等开源软件无缝的结合在一起。

    2、OSSIM系统安装部署极为方便

    3、实现了多平台，多架构的的日志统一收集分析

（七）OSSIM工具集：

 

OSSIM定位于一个集成解决方案，其目标并不是要开发一个新的系统，而是利用丰富的，强大的各种程序，包括：

常见的安全软件类的：

入侵检测模块：

  Snort，Snare，OSSEC，等入侵检测系统

扫描和渗透模块：

  Nessus：系统漏洞扫描和分析软件

  NMap：最早是Linux下的网络扫描和嗅探工具包。

  还用像P0f,Pads等。

监控模块：

  Tcptrack（TCP会话实时监控）

  Nagios（主机及服务可用性监控）

  Ntop

还有像Spade（异常检测引擎），OpenVAS（漏洞扫描）,Arpwatch（MAC异常检测）等开源软件

  OSSIM虽然名字中含有SIM，其实它并不是一个SIM，因为它不具备大规模日志采集和存储能力，而是一个SEM，更偏重于实时的安全监控，实时风险评估，报警与处理。

它具有入侵检测，漏洞扫描，资产管理，安全监控，日志分析，流量分析等功能。

（八）OSSIM架构

第一层，数据采集层：使用各种采集技术采集流量信息、日志、各种资产信息，经过归一化处理后传入核心层。

第二层，属于核心处理层，主要实现对各种数据的深入加工处理，包括运行监控、安全分析、风险评估、关联分析、资产管理、脆弱性管理、事件管理、报表管理等。

第三层，属于数据展现层，主要负责完成与用户之间的交互，达到安全预警和事件监控、安全运行监控、综合分析的统一展示，形式上以图形化方式展示给用户。

（九）各个模块之间的关系：

  OSSIM系统主要使用了PHP、Python、Perl和C等四种编程语言，从软件层面上看OSSIM框架系统包括五大模块：Agent模块、Server模块、Database数据库模块、Frameworkd模块以及Framework模块。

看一下这几个模块的流程。

①Agent至Server：来自各个传感器的安全事件被对应Agent格式化后，以加密字符串传给Server。

②Server至Agent：发送有关请求命令（request command），以字符串方式向Agent传送，主要是要求Agent完成插件的启动停止及获取信息等。

③Server至Frameworkd:发送请求命令，要求Frameworkd针对Alarm采取相应操作，例如执行外部程序或发出Email来通知管理员。

④Frameworkd至Server：发送请求命令至Server。要求Server通知Agent对插件（Plugins）进行启动、停止等操作。

⑤Framework至Frameworkd:发送请求命令，要求Frameworkd启动OpenVas扫描进程。

⑥Frameworkd至Framework:传送OpenVas扫描结果在前端页面中显示。

⑦Database至Agent和Server：向Agent和Server提供数据。

⑧Server至Database：Server需要将Events、Alarms等数据存入数据库并建立索引或更新操作。

⑨Database至Frameworkd:在Frameworkd中的Openvas扫描和动作需要调用数据库里的数据。

⑩Frameworkd至Database：在Frameworkd执行过程中将Openvas扫描结果存入数据库。

⑾Database至Framework  :前端页面显示需要调用数据库的告警事件。

⑿Framework至Database：用户参数设置信息需要存入数据库。

（十）关联引擎：

关联引擎（Server）是OSSIM安全集成管理系统的核心部分，它支持分布式运行，负责将Agents传送来的归一化安全事件进行关联分析，并对网络资产进行安全评估。工作流程如下：

 

Ossim使用了两种关联引擎进行安全行为的关联分析，分别是基于事件序列的关联方法和启发式的关联方法。

事件关联是将大量的安全事件过滤，压缩，归一化处理后，在提取最重要的的安全事件。

  有了好的事件处理机制，还要有好的关联方法，而且不止一种关联方法。从这个图可以看到，大量标准化处理的事件被送入关联引擎之后，它们会经历事件分类处理，聚合，交叉关联，启发关联等多种关联方法，系统会根据数据库中的安全事件进行统计分类，找出经常导致安全事件的发源地和经常被攻击的端口，在这些阶段都会产生事件告警。

 交叉关联：它是最常见的数据关联方式，是指事件与目标漏洞之间的关联。通过将入侵检测系统snort产生的告警信息与漏洞扫描工具nessus规则进行交叉关联。综合评估威胁程度的方法。可以将安全事件与网络拓扑、系统开放的服务、设备存在的漏洞进行关联匹配，以分析攻击成功的可能性。利用这种关联方法可以在OSSIM系统中关联规则检测到某些威胁，并实现自动响应（比如发出告警等）。

（十一）OSSIM部署：

采用分布式的方式：

  有一个服务器service将所有传感器传输过来的数据进行处理，以及展示。

  需要在每一个需要监视的部分放置sensor探针，进行数据的收集，以及归一化处理，将处理好的数据发送个服务器service。

参考：开源安全运维平台李晨光著