OSSIM解决方案

大多数主流安全产品针对的是计算机单一安全缺陷，他们更多的是提供某一单独的安全保护功能。目前安全领域内还没有一套相对完整系统安全解决方案，而且由于主流商业安全软件的闭源特性，让我们对其自身的安全特性也不能够完全信服。 随着软件开源趋势的不断推进，现在出现了很多甚至可以说性能毫不逊色于任何商业软件的安全工具（如Nessus、Netfilter、Snort等），那么有没有一种可能将这些工具进行整合并形成一整套系统安全的解决方案或者架构呢？答案是肯定的，这就是OSSIM。 OSSIM（OPEN SOURCE SECUR ITYINFORMATION MANAGEMENT）即开源安全信息管理系统是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成，从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的，能够更好地进行监测和显示的框架式系统。 OSSIM明确定位为一个集成解决方案，其目标并不是要开发一个新的功能，而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、Nessus以及Ntop等开源系统安全软件)。在一个保留他们原有功能和作用的开放式架构体系环境下，将他们集成起来。而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息，同时进行相关功能的整合。由于开源项目的优点，这些工具已经是久经考验，同时也经过全方位测试、可靠的工具。 OSSIM结构体系     实际上，从过程上考虑，安全可以分为评估、防护、检测、响应这四个步骤，现在已经有了不少优秀的开源软件与这四个步骤相对应。但是问题在于这四个步骤属于一个动态、无缝过程，而所有的开源工具只是针对单一安全问题，如何将现有的安全工具进行综合利用并将他们无缝综合，OSSIM给出了很好的答案，那就是——集成。     OSSIM由数据收集、监视、检测、审计以及控制台这五个模块构成。这5个模块包含了目前安全领域从事件预防到事件处理一个完整的过程，在目前的安全架构中，OSSIM是最为完备的。这五个功能模块又被划分为三个层次，分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控，各个层次提供不同功能，共同保证系统的安全运转。     在OSSIM中，整个过程处理被划分为两个阶段，这两个阶段反映的是一个事件从发生到处理的不同的历史时期，这两个阶段分别为预处理阶段，这一阶段的处理主要有监视器和探测器来共同完成，它们主要是为系统提供初步的安全控制;另一个事后处理阶段，这一阶段的处理更加集中，更多的是反映在事件发生之后系统安全策略的调整和整个系统的安全配置的改进。     在OSSIM的架构体系中，有三个部件比较引人注意，这是OSSIM中的三个策略数据库，是OSSIM事件分析和策略调整的信息来源，分别为以下三种数据库:     ◆EDB（事件数据库）:在三个数据库中，EDB无疑是最大的，它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。     ◆KDB（知识数据库）:在知识数据库中，将系统的状态进行了参数化的定义，这些参数将为系统的安全管理提供详细的数据说明和定义。     ◆UDB（用户数据库）:在用户数据库中，存储的是用户的行为和其他与用户相关的事件。       OSSIM功能架构       OSSIM的功能一共可以划分为9个层次，各个层次之间是无逢连接的，底层的数据为上层的处理提供信息来源。     模式匹配       大部分传统的探测器都使用模式探测，一个比较常见的例子就是IDS（入侵检测系统）。模式探测就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，来发现违背安全策略的入侵行为。该过程可以很简单，也可以很复杂。       一种进攻模式可以利用一个过程或一个输出表示。这种检测方法只需收集相关的数据集合就能进行判断，能减少系统占用，并且技术已相当成熟，检测准确率和效率也相当高。但是，该技术需要不断进行升级以对付不断出现的攻击手法，并且不能检测未知攻击手段。     异常监测       异常检测首先给系统创建一个统计描述，包括统计正常使用时的测量属性，如访问次数、操作失败次数和延时等。测量属性的平均值被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，IDS就会判断有入侵发生。 异常检测一个突出的优点就是它的自学习能力，用户不用告诉系统哪些是正常行为哪些是非正常行为，异常检测根据已经定义好的行为描述，当检测到的行为违背了这个正常行为的描述时，会自动发出警报。 异常检测的优点是可以检测到未知入侵和复杂的入侵，缺点是误报、漏报率高。误报是可以容受的，但是漏报就是应该避免的。但是由于网络入侵行为的多样性和复杂性，现在还不能给出一个相对精确的正常行为和非正常性行为的确切描述。     集中化和规范化       集中化和规范化的目标是通过某些协议将安全事件的处理进行统一管理。目前几乎所有的安全产品都倾向于采用标准的协议进行集中化的管理，这种管理在某种程度上将会更加有利于全局控制并且清晰，但是由于各种开源安全产品之间存在各种差异，如何在他们的基础上提供一种有效的集中化和正规化的管理方式，是OSSIM必须要解决的问题。       规范化需要一种翻译机制，这种机制能够将来自于不同监测器所捕捉的事件信息或者报警信息进行统一类型规范处理，处理之后形成一种能够被系统接纳的信息。OSSIM中采用事件数据库同时利用控制台进行相关事件的处理和显示。     优先级       一个系统的优先级取决于系统的拓扑结构及系统的运行状态，总而言之，一个事件的安全级完全根据系统的实际情况和安全策略来决定。 优先级制定是在系统收到报警信息之后一个非常重要的步骤，这个步骤完成的是对这些信息的过滤，同时也把收到的报警信息进行排队，优先处理对于系统威胁较大的事件。     危险评估       系统中一个事件重要与否主要取决于三个因素，分别为与事件相关的安全评估值;事件对系统所能造成的危险程度;事件能够发生的可能性。危险评估通过综合上述三个事件要素给出每个系统安全事件的危险评估值并让相应组件完成处理。     交互       在OSSIM中，交互指的是对于输入数据和输出数据的操作。由于网络事件的复杂性，多数情况下一个探测器收到的信息并非一个事件的完整输入，只是其中的一个组成部分，如何将这些部分的信息进行组合形成完整的系统需要的信息来源就是交互所要完成的事情。     监视器       监视器有一系列的探测工具组合而成，完成五个方面的功能,分别为危险监视、使用Profile监视、路径监视、硬连接分析和软连接分析。     控制台       控制台提供用户一个系统收集到的所有事件信息的访问接口。控制台也是一个基于事件数据库的搜索引擎，能够让管理人员从一种更加集中的方式针对整个系统的安全状态分析每一个安全事件。同时，控制台的存在也给我们提供了关于一个安全事件最为详细的相关信息，这为事件的处理提供依据和来源。       虽然目前OSSIM更多地停留在研究和探索阶段，但是其本身的优势确是显而易见的，OSSIM的开源特性和透明性，以及它所能提供的整体的安全解决方案是目前其他商业安全软件所无法比拟的。       目前OSSIM还是存在着不足和缺陷，主要体现在本身架构的不成熟和相关组件存在安全缺陷，但随着研究的不断深入和更多优秀开源安全工具的加入，OSSIM的应用将得到更大的普及。