OSSIM开源安全信息管理系统(三)

已于 2022-02-15 12:04:51 修改
阅读量521 收藏 3
点赞数 1
分类专栏: 2021SC@SDUSC 文章标签: 安全 运维
于 2021-10-10 15:57:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47470899/article/details/120687515
版权

2021SC@SDUSC

1、本周任务

上周对OSSIM系统进行了安装和部署,并分析了OSSIM系统所具备的相关功能,目前已经对OSSIM系统具有了一个初步的了解,想要深入了解OSSIM系统,必须要分析其组成架构、关键功能部分源代码。

所以本周的任务主要是:

  1. 分析OSSIM系统架构,了解其组成结构
  2. 找出关键功能部分对应的源代码
  3. 对部分源代码进行初步分析

2、OSSIM架构分析

2.1、OSSIM基本组成

在这里插入图片描述

2.2、OSSIM系统结构

在这里插入图片描述

第1层,属于数据采集层,使用各种采集技术采集流量信息、日志、各种资产信息,经过归一化处理后传入核心层。改层体现安全事件来源,入侵检测、防火墙、重要主机发出的日志都是安全事件来源,它们按发出机制分为两类:模式侦查器和异常监控(两者都采集警告信息,功能互补)由它们采集的安全事件,再被Agent转换为统一的格式发到OSSIM服务器,这一层就是Sensor要完成的内容。

第2层,属于核心处理层,主要实现对各种数据的深入加工处理,包括运行监控、安全分析、策略管理、风险评估、关联分析、安全对象管理、脆弱性管理、事件管理、报表管理等。该层中OSSIM Server是主角,OSSIM服务器,主要功能是安全事件的集中并对集中后的事件进行关联分析、风险评估及严重性标注等。所谓的集中就是以一种统一格式组织所有系统产生的安全事件告警信息(Alarms)并将所有的网络安全事件告警存储到数据库,这样就完成了对网络中所产生事件的一个庞大视图。系统通过事件序列关联和启发式算法关联来更好的识别误报和侦查攻击的能力。

OSSIM本质上通过对各种探测器和监控产生的告警进行格式化处理,再进行关联分析,通过后期这些处理能提高检测性能,即减少告警数量,减小关联引擎的压力,从整体上提高告警质量。

第3层,属于数据展现层,主要负责完成与用户之间的交互,达到安全预警和事件监控、安全运行监控、综合分析的统一展示,形式上以图形化方式展示给用户。Web框架(Framework)控制台界面即OSSIM的Web UI(Web User Interface,Web用户界面),其实就是OSSIM系统对外的门户站点,它主要由仪表盘、SIEM控制台、Alarm控制台、资产漏洞扫描管理、可靠性监控、报表及系统策略等部分组成。

OSSIM系统主要使用了PHP、Python、Perl和C等四种编程语言,从软件层面上看OSSIM框架系统包括五大模块:Agent模块、Server模块、Database数据库模块、Frameworkd模块以及Framework模块,逻辑结构如下图所示

在这里插入图片描述

五个模块之间的数据流向如图所示

在这里插入图片描述

五大模块的数据流向

① Agent至Server:来自各个传感器的安全事件被对应Agent格式化后,以加密字符串传给Server。

② Server至Agent:发送有关请求命令(request command),以字符串方式向Agent传送,主要是要求Agent完成插件的启动停止及获取信息等。

③ Server至Frameworkd:发送请求命令,要求Frameworkd针对Alarm采取相应操作,例如执行外部程序或发出Email来通知管理员。

④ Framework至Server:发送请求命令至Server。要求Server通知Agent对插件(Plugins)进行启动、停止等操作。

⑤ Framework至Frameworkd:发送请求命令,要求Frameworkd启动OpenVas扫描进程。

⑥ Frameworkd至Framework:传送OpenVas扫描结果在前端页面中显示。

⑦ Database至Agent和Server:向Agent和Server提供数据。

⑧ Server至Database:Server需要将Events、Alarms等数据存入数据库并索引或更新操作。

⑨ Database至Frameworkd:在Frameworkd中的Openvas扫描和动作需要用调用数据库里的数据。

⑩ Frameworkd至Database:在Frameworkd执行过程中将Openvas扫描结果存入数据库。

⑪Database至Framework:PHP页面显示需要调用数据库的告警事件。

⑫Framework至Database:用户参数设置信息需要存入数据库。



本篇文章部分内容参考或转载自下列文章及书籍。侵权即删。

参考书籍:

  • 《开源安全运维平台OSSIM疑难解析(入门篇)》——李晨光著
  • 《开源安全运维平台OSSIM疑难解析(提高篇)》——李晨光著
  • 《开源安全运维平台:OSSIM最佳实践》——李晨光著

参考文章:

  • https://blog.51cto.com/chenguang/2426473
  • https://blog.csdn.net/lcgweb/article/details/101284949
  • https://blog.51cto.com/chenguang/1665012
  • https://www.cnblogs.com/lsdb/p/10000061.html
  • https://blog.51cto.com/chenguang/1691090
  • https://blog.51cto.com/chenguang/category10.html
  • https://blog.51cto.com/topic/ossim.html
  • https://blog.csdn.net/isinstance/article/details/53694361
  • https://blog.51cto.com/chenguang/1332329
  • https://www.cnblogs.com/airoot/p/8072727.html
  • https://blog.51cto.com/chenguang/1738731
  • https://blog.csdn.net/security_yj/article/details/120153992

上一篇(功能介绍):OSSIM开源安全信息管理系统(二)
下一篇(代码分析):OSSIM开源安全信息管理系统(四)

陌兮_
关注
专栏目录
OSSIM介绍
Alan Zhuang的博客
02-01 1万+
(一)OSSIM 介绍:     OSSIM (OPEN Source Sevurity Informatiion System):开源安全信息管理系统,由美国的Alien Vault公司开发,是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台,能够实现收集分类日志,识别并解决重大安全事件(优先级,标识出有问题的日
ossim
security_yj的博客
09-07 667
AlienVault® OSSIM™, Open Source Security Information and Event Management (SIEM), provides you with a feature-rich open source SIEM complete with event collection, normalization and correlation.
VMware下OSSIM 5.2.0的下载、安装和初步使用(图文详解)
weixin_33768481的博客
01-29 812
  入门阶段不建议选用最新的版本。 采用OSSIM 4.11 到 OSSIM5.0.3 之间任何版本做实验,sensor的状态都会是“V”。   建议,入门,采用OSSIM5.0.0   下载: 链接:https://pan.baidu.com/s/1eSsVXvG 密码:ukyk   疑问:那我现在入门若安装OSSIM5...
开源安全信息和事件管理(SIEM)平台OSSIM
最新发布
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-24 700
OSSIM开源安全信息和事件管理(SIEM)产品,提供了经过验证的核心SIEM功能,包括事件收集、标准化和关联。OSSIM作为一个开源平台,具有灵活性和可定制性高的优点,允许用户根据自己的特定需求进行配置和扩展。它能够从各种来源收集安全事件,并通过标准化的过程使这些事件变得易于理解和分析。此外,OSSIM还能够自动关联这些事件,帮助安全团队识别潜在的安全威胁和攻击模式。更多OSSIM相关的信息可以参考官方网站。
OSSIM 安全信息管理系统
ITSM/ITIL/网络安全/IT运维
10-09 272
管理和监控安全相关 OSSIM开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。 OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、 Nessu...
开源摄影测量与遥感处理软件OSSIM简介
weixin_34310785的博客
10-18 572
OSSIM简介 收藏自LiangXu Wang的博客 http://wlx.westgis.ac.cn/311/ 前一段作遥感影像几何经纠正的模块,尝试过多种实现途径,最终放弃自己写多项式以及重采样而用了GDAL库做了。这几天听同学说起OSSIM,相见恨晚了。找到这个中文的介绍转贴过来备用。没有深入研究,粗粗的感觉就是其强大相当于GRASS在开源矢量GIS中的地位吧。 什么是O...
OSSIM开源安全信息管理系统实践-视频教程网盘链接提取码下载.txt
10-05
### OSSIM开源安全信息管理系统实践 #### 一、OSSIM概述 OSSIM(Open Source Security Information Management System)是一款全面且功能强大的开源安全信息与事件管理系统(SIEM)。它能够帮助企业有效地监控网络...
ossim:开源安全信息和事件管理
05-06
集成多个开源安全性/网络监视产品以获得个网络/主机可见性级别: 低级日志/警报/异常信息 中级网络风险级别信息 高级决策支持信息 组件 Spade:网络异常检测 Snort:模式匹配入侵检测系统 Acid:日志查看器...
OSSIM技术研究
12-01
OSSIM开源安全信息管理系统)是一个成熟、稳定且开源的信息安全管理系统,由美国Alienvault公司开源并提供免费使用。其设计思想强调以资产为核心,并定位为一个集成解决方案,旨在集成而非重新开发安全功能。OSSIM...
OSSIM中文汉化版
03-06
OSSIM(Open Source Security Information Management)是一款开源安全信息和事件管理系统,它集成了各种开源安全工具,如Snort入侵检测系统、Nmap网络扫描工具、Logwatch日志分析工具等,提供了一站式的安全监控...
OSSIM开源安全信息管理系统(十七)
m0_47470899的博客
12-22 810
2021SC@SDUSC 七、Agent部分源代码分析 1、Agent 简介 OSSIM Agent中所有脚本采用 Python 编写,负责从安全设备采集相关信息(比如报警日志等),并将采集到的各类信息统一格式,最后将这些数据传至 Server。从采集方式上看,Agent 属于主动采集,可以形象理解为由OSSIM Server 安插在各个监控网段的“耳目”,由它们收集数据,并主动推送到 Collector 中,然后 Collector 又连接着消息队列系统、缓存系统及存储系统。 Agent 相关目录在
OSSIM开源安全信息管理系统(二)
m0_47470899的博客
09-29 1981
一、OSSIM功能分析(Web UI)
OSSIM开源安全信息管理系统(一)
m0_47470899的博客
09-27 4464
2021SC@SDUSC 一、OSSIM简介 OSSIM开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),由美国的Alien Vault公司开发,是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。 OSSIM定位于一个集成解决方案,其目标并不是要开发一个新的系统,而是利用丰富的,强大的各种程序,包括:
OSSIM 介绍
Alan Zhuang的博客
12-06 5709
(一)介绍    OSSIM (Open Source Security Information Management)翻译为开源安全信息管理系统,它是一个开源安全信息和事件的管理系统,集成了一系列的能够帮助管理员更好的进行计算机安全,入侵检测和预防的工具。   该项目开始于2003 Dominique Kar,Julio Casa,以及后来的Alberto Román之间的合作。2008成为
OSSIM开源安全信息管理系统(十四)
m0_47470899的博客
12-07 1048
2021SC@SDUSC 从本周开始,进入一个全新的模块,开始对 OSSIM 的关联分析机制进行分析。首先对管理分析机制进行简介。 关联分析 在 OSSIM 中,关联分析这部分应该算是这个系统的较为关键的一部分,相比于其他功能相近的安全防护系统来说,OSSIM 的关联分析做的非常好,其后台关联规则较为完全,可以识别出大部分攻击事件,准确率也比较高。在本次课程的最后一段时间里,我的任务就是对 OSSIM 系统的关联分析部分进行功能分析、实现分析、源代码分析等。 下面首先简单讲述一下关于 OSSIM 中的
VMware下OSSIM 4.1.0的下载、安装和初步使用(图文详解)
ITSM/ITIL/网络安全/IT运维
10-26 600
  为什么,我写了一篇OSSIM 5.2.0的,还要再来写OSSIM 4.1.0呢,是因为,OSSIM 5.2.0所需内存较大,8G甚至16G,但是,肯定性能和里面集成组件越高级。也是博主我推荐大家去用5.2.0的,但是呢,由于很多从事网络安全的博友们,肯定也是想必跟现在的我一样,是刚入门不久。所以,由于自身机器硬件所限。所以只能在虚拟机里来安装入门。所以,我这里写下OSSIM 4.1.0 下载: 链接:https://pan.baidu.com/s/1eSsVXvG 密码:ukyk ...
OSSIM开源安全信息管理系统(十六)
m0_47470899的博客
12-21 299
2021SC@SDUSC 本周继续对OSSIM系统中,关联分析部分进行源码分析。 关联分析部分源码目录:\ossim\alienvault-ossim\src\alienvault-ossim\os-sim\src gboolean sim_directive_backlog_match_by_not (SimDirective *directive): 该函数的主要功能是检查指令中的所有节点规则 gboolean sim_directive_backlog_match_by_not (SimDir
(一)ossim综述
aunt_y的博客
09-29 2653
2021SC@SDUSC (一)OSSIM 介绍: ​ OSSIM (OPEN Source Sevurity Informatiion System):开源安全信息管理系统,由美国的Alien Vault公司开发,是目前一个非常流行和完整的开源安全架构体系。通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台,能够实现收集分类日志,识别并解决重大安全事件等多种功能,目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。 (二)背景: ​ 传统运维系统中,工程师依赖的管
OSSIM开源安全信息管理系统详解
"本文主要探讨了OSSIM技术,即开源安全信息管理系统,它是一个集成了多种开源安全组件的框架,旨在提供实时安全监控和事件管理。OSSIM不是SIM,而是SEM,专注于实时安全监控和风险评估。文章介绍了OSSIM的框架结构,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陌兮_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值