1、OSSIM技術(shù)探討,1.OSSIM概述,OSSIM即開源安全信息管理系統(tǒng)（OPEN SOURCE SECURITY INFORMATION MANAGEMENT）是目前一個(gè)非常流行和完整的開源安全架構(gòu)體系。OSSIM通過將開源產(chǎn)品進(jìn)行集成，從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺(tái)。它的目的是提供一種集中式、有組織的，能夠更好地進(jìn)行監(jiān)測(cè)和顯示的框架式系統(tǒng)。 開放的框架 集成解決方案 開源軟件,2.OSSIM框架,OSSIM其實(shí)并不是一個(gè)SIM（Security Information Management system）而是一個(gè)SEM（Security Event Management sys

2、tem）。SIM和SEM的區(qū)別在于，SIM偏重于收集和長(zhǎng)期保存大量原始日志，支持審計(jì)和計(jì)算機(jī)犯罪法證，通常為滿足客戶合規(guī)性管理的需求；而SEM偏重于實(shí)時(shí)安全監(jiān)控，實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估、報(bào)警與處理。OSSIM從功能上看并不具備大規(guī)模日志采集與存儲(chǔ)能力，功能實(shí)際上是接近SEM 。,3.OSSIM主體結(jié)構(gòu)分析,OSSIM更多的是一個(gè)開放的框架而不是一個(gè)單純的產(chǎn)品，它的核心價(jià)值在于集各個(gè)優(yōu)秀安全組件之長(zhǎng)，使這些組件產(chǎn)品的功用成為一個(gè)可管理、可互通的整體。 OSSIM主體采用B/S結(jié)構(gòu)。Web服務(wù)器使用Apache；數(shù)據(jù)庫(kù)采用Mysql；開發(fā)語(yǔ)言采用php、perl、c等。 1) 定義數(shù)據(jù)結(jié)構(gòu) 2) 提供與不同

3、產(chǎn)品交互的接口 3) 主要工作在于后期處理 4)提供首層管理的框架，這個(gè)管理層將各個(gè)組件的控制權(quán)集中起來(lái) 5)實(shí)現(xiàn)了控制面板,4.OSSIM集成程序分析,集成安全程序 Snort：開源入侵檢測(cè)系統(tǒng) Rrdtool：系統(tǒng)監(jiān)控 Nmap：網(wǎng)絡(luò)掃描和嗅探工具包 Nessus：被認(rèn)為是目前全世界最多人使用的系統(tǒng)漏洞掃描與分析軟件 Ntop ：網(wǎng)絡(luò)流量監(jiān)控 Nagios ：監(jiān)控系統(tǒng)和網(wǎng)絡(luò)的應(yīng)用 Pads：被動(dòng)的網(wǎng)絡(luò)服務(wù)發(fā)現(xiàn)工具 Tcptrack ：顯示特定端口上有關(guān)TCP連接的嗅探器 P0f：被動(dòng)的操作系統(tǒng)辨識(shí)工具 Arpwatch：監(jiān)聽廣播域內(nèi)的ARP通信,5.1 OSSIM檢測(cè)流程,OSSIM最重要

4、的目標(biāo)：增進(jìn)檢測(cè)能力。 Detectors（探頭） detector的定義為所有可以實(shí)時(shí)處理底層數(shù)據(jù)信息（包括流量和系統(tǒng)事件）的程序，同時(shí)detector應(yīng)該在以下情況發(fā)生時(shí)發(fā)出告警： 1）符合用戶定義的模式或規(guī)則 2）符合異常級(jí)別 探頭包括：Snort、 Nmap、Unix syslog，windows Event等 檢測(cè)能力指標(biāo) 1)靈敏度：從復(fù)雜日志中識(shí)別可能攻擊的靈敏度 2)實(shí)時(shí)性 檢測(cè)缺陷指標(biāo) 1)假肯定 2)漏報(bào),5.2 OSSIM檢測(cè)流程,OSSIM的檢測(cè)流程包含三個(gè)完整的階段： 預(yù)處理 各個(gè)探頭將檢測(cè)或獲取到的信息做歸一化處理。 收集 管理中心統(tǒng)一收集各個(gè)探頭發(fā)送來(lái)的信息或告警

5、。 后期處理 對(duì)集中收集到管理中心的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析等操作。 OSSIM系統(tǒng)的價(jià)值主要體現(xiàn)在后期處理上，預(yù)處理和收集是由開源組件完成的，當(dāng)所有的信息集中收集后，OSSIM系統(tǒng)通過這樣的后期處理，主要是關(guān)聯(lián)分析，提高檢測(cè)的靈敏度和實(shí)時(shí)性，減少誤報(bào)、漏報(bào)。 后期處理的主要方法：交叉關(guān)聯(lián)、資產(chǎn)關(guān)聯(lián)、邏輯關(guān)聯(lián),6 OSSIM功能模塊,OSSIM的功能一共可以劃分為9個(gè)層次，各個(gè)層次之間是無(wú)逢連接的，底層的數(shù)據(jù)為上層的處理提供信息來(lái)源 。 模式匹配 預(yù)置進(jìn)攻模式，無(wú)法未知攻擊。 異常監(jiān)測(cè) 可以發(fā)現(xiàn)未知攻擊，但誤報(bào)率高 集中化和規(guī)范化 報(bào)警信息進(jìn)行統(tǒng)一類型規(guī)范處理 優(yōu)先級(jí) 優(yōu)先處理對(duì)于系統(tǒng)威脅較大的事件

6、危險(xiǎn)評(píng)估 給出安全事件的危險(xiǎn)評(píng)估值 關(guān)聯(lián)分析 監(jiān)視器 控制臺(tái) 提供用戶一個(gè)系統(tǒng)收集到的所有事件信息的訪問接口,7 OSSIM數(shù)據(jù)流,探頭檢測(cè)事件 事件歸一化處理 通過不同協(xié)議收集事件 將事件存入EDB 事件分類及區(qū)分優(yōu)先級(jí) 各類事件風(fēng)險(xiǎn)評(píng)估 關(guān)聯(lián)分析后的事件循環(huán)處理 控制臺(tái)顯示風(fēng)險(xiǎn)評(píng)估信息,7.1 OSSIM數(shù)據(jù)流,OSSIM中的三個(gè)策略數(shù)據(jù)庫(kù)，是OSSIM事件分析和策略調(diào)整的信息來(lái)源，分別為以下三種數(shù)據(jù)庫(kù): EDB（事件數(shù)據(jù)庫(kù)）:在三個(gè)數(shù)據(jù)庫(kù)中，EDB無(wú)疑是最大的，它存儲(chǔ)的是所有底層的探測(cè)器和監(jiān)視器所捕捉到的所有的事件。 KDB（知識(shí)數(shù)據(jù)庫(kù)）:在知識(shí)數(shù)據(jù)庫(kù)中，將系統(tǒng)的狀態(tài)進(jìn)行了參數(shù)化的定義，

7、這些參數(shù)將為系統(tǒng)的安全管理提供詳細(xì)的數(shù)據(jù)說明和定義。 UDB（用戶數(shù)據(jù)庫(kù)）:在用戶數(shù)據(jù)庫(kù)中，存儲(chǔ)的是用戶的行為和其他與用戶相關(guān)的事件。,8 OSSIM關(guān)聯(lián)分析,OSSIM關(guān)聯(lián)分析的特點(diǎn)是：基于數(shù)據(jù)庫(kù)通過操作靜態(tài)數(shù)據(jù)表來(lái)實(shí)現(xiàn)關(guān)聯(lián)。這種關(guān)聯(lián)分析的模式類似于Leadsec-Manager的審計(jì)分析模式：審計(jì)系統(tǒng)定時(shí)對(duì)所有基本的日志進(jìn)行分析，抽取特征，形成專門的審計(jì)表。 一般常用關(guān)聯(lián)分析是日志在線關(guān)聯(lián)分析。OSSIM采用這種關(guān)聯(lián)分析的主要原因是探頭采用開源組件，不易進(jìn)行復(fù)雜的控制。 OSSIM的關(guān)聯(lián)主要分為以下幾類： 交叉關(guān)聯(lián)（Cross Correlation）：是指事件與目標(biāo)漏洞之間的關(guān)聯(lián)。 資產(chǎn)

8、清單關(guān)聯(lián)（Inventory Correlation）：事件與目標(biāo)特性之間的關(guān)聯(lián)（包括 OS 關(guān)聯(lián)，Port關(guān)聯(lián)，協(xié)議關(guān)聯(lián)，Service name關(guān)聯(lián)，Service version關(guān)聯(lián).）。前提條件是資產(chǎn)清單中要包含有資產(chǎn)的特征信息（操作系統(tǒng)信息、端口信息、協(xié)議、服務(wù)、服務(wù)版本等），比如snort報(bào)了某個(gè)機(jī)器出現(xiàn)windows漏洞的攻擊的警報(bào)，但是這臺(tái)機(jī)器實(shí)際上是個(gè)linux的機(jī)器，那么ossim就可以通過關(guān)聯(lián)資產(chǎn)清單中的操作系統(tǒng)特征來(lái)鑒定這條snort的報(bào)警是誤報(bào)，當(dāng)然策略是管理員來(lái)制定的。 邏輯關(guān)聯(lián)（Logical Correlation）：異源事件間的關(guān)聯(lián)（比如： if A and

9、B, but not C, and A stays connected to D, generate an Alarm ）。,8.1 OSSIM關(guān)聯(lián)分析,關(guān)聯(lián)引擎： Esper Esper是一個(gè)事件流處理（Event Stream Processing，ESP）和復(fù)雜事件處理（Complex Event Processing，CEP）的系統(tǒng)，它可以監(jiān)測(cè)事件流并當(dāng)特定事件發(fā)生時(shí)觸發(fā)某些行動(dòng)可看作是把數(shù)據(jù)庫(kù)反過來(lái)，語(yǔ)句是固定的，而數(shù)據(jù)流進(jìn)進(jìn)出出。其常有的應(yīng)用例子包括系統(tǒng)自動(dòng)交易、BAM、RFID、高級(jí)監(jiān)測(cè)系統(tǒng)、欺詐檢測(cè)等。 CEP：是一種實(shí)時(shí)事件處理并從大量事件數(shù)據(jù)流中挖掘復(fù)雜模式的技術(shù)。 ESP

10、：是一種從大量事件數(shù)據(jù)流中過濾，分析有意義的事件，并能夠?qū)崟r(shí)取得這些有意義的信息的技術(shù)。 性能測(cè)試結(jié)果： Esper在雙2GHz CPU的Intel系統(tǒng)測(cè)試環(huán)境下，處理超過500 000個(gè)事件/秒。 事件驅(qū)動(dòng)應(yīng)用服務(wù)器 事件驅(qū)動(dòng)應(yīng)用服務(wù)器（Event Driven Application Server）是一種新型的服務(wù)器，為每秒需要處理超過100,000個(gè)事件的服務(wù)器提供一個(gè)運(yùn)行時(shí)和多種支撐基礎(chǔ)設(shè)施服務(wù)（如傳輸、安全、事件日志、高可靠性和連接器等）。除了事件處理以外，事件驅(qū)動(dòng)服務(wù)器還可以將事件信息和長(zhǎng)時(shí)間存在的數(shù)據(jù)（通常從關(guān)系數(shù)據(jù)庫(kù)查詢中獲?。┙Y(jié)合起來(lái)，以及在事件流上執(zhí)行臨時(shí)的關(guān)聯(lián)關(guān)系和匹配操

11、作。,8.1 對(duì)OSSIM的思考,增加事件流處理和復(fù)雜事件處理，提高Leadsec-Manager的核心價(jià)值 目前Leadsec-Manager對(duì)事件的處理僅僅是接收、存入數(shù)據(jù)庫(kù)，提供查詢和報(bào)表界面，對(duì)于各種安全管理產(chǎn)品，這些功能是非?；镜?，很難讓用戶體會(huì)到產(chǎn)品帶來(lái)的價(jià)值。接收日志，并從日志中挖掘出關(guān)于資產(chǎn)和業(yè)務(wù)的安全態(tài)勢(shì)，這是SIM系統(tǒng)的價(jià)值。 專注于SEM或SIM概念的產(chǎn)品 OSSIM的成功在于合理的定位，并針對(duì)目標(biāo)做不斷的完善。 更加智能化的交互方式 OSSIM安裝后，不需要任何配置就能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)，自動(dòng)接受并處理日志，這些功能的技術(shù)實(shí)現(xiàn)難度不高，但是帶來(lái)的用戶體驗(yàn)卻很強(qiáng)。 更能突出核