OSSIM开源安全信息管理系统(五)

已于 2022-02-15 12:04:30 修改
阅读量409 收藏 2
点赞数
分类专栏: 2021SC@SDUSC 文章标签: 安全 运维
于 2021-10-15 21:03:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47470899/article/details/120750563
版权

2021SC@SDUSC

从本周开始,我的主要任务是对 Framework 模块之一 Frameworkd 部分进行源代码分析。

一、Framework部分源代码分析

1、Framework 概述

Framework 可以分为两个部分:Frontend、Frameworkd

  • Frontend:(可视化管理前端)主要采用php语言编写,它是系统的一组web界面;

  • Frameworkd :是一个守护进程,采用python 编写,主要脚本文件在 /usr/share/ossim-framework/ossimframework/ 目录下,它绑定 ossim 的知识库和事件库,监听端口为40003(在etc/ossim/ossim_setup.conf 配置文件以及 /etc/ossim/server/config.xml 中)可以查看到相关端口定义的信息,同样通过命令 lsof -Pnl + M -i4|grep ossim-fra 也可以进行查看,通过查看服务端口信息,对于我们了解他的工作原理有很大帮助。

本周主要对frameworkd 的源代码进行分析

Frameworkd 负责将 Frontend 收集到的用户指令和系统的其他组件相关联,并绘制 Web 图表供前端显示。在 ossim 系统中,Framework 安装了 Apache + Php + Adodb 来搭建支持 PHP 的 Web Server,安装 phpgacl 处理用户权限,安装 Mrtg、RRdtool 绘制监控图,安装 ACID/BASE 作为事件的前端控制台。

2、Framework.py 源码分析

首先导入需要的模块

import os, sys, time, signal
from optparse import OptionParser
import subprocess as sub
import atexit
import re
import Queue
import uuid
import stat
import pwd
import ConfigParser
from datetime import datetime

然后导入自定义相关文件

from NagiosMkLiveManager import NagiosMkLiveManager
from OssimConf import OssimConf
from OssimDB import OssimDB
from DBConstantNames import *
from BackupManager import BackupManager
from Listener import Listener
from Logger import Logger

main方法

def main(self):
    self.pidfile = '/var/run/ossim-framework.pid'
    self._options = self.__parse_options()
    self.__conf = OssimConf()
    #检查 pid 文件,调用守护进程函数
    if self._options.daemon is not None:
        self.__check_pid()
        self.__daemonize__()

        self.__init_log(self._options.daemon)
        logger.info("Frameworkd is starting up...")
        logger.info("Start Listener...")
        self.__listener = Listener()
        self.__listener.start()

        # BackupManager
        #备份管理器:此模块旨在运行所有mysql备份操作
        t = None
        bkm = BackupManager()
        bkm.start()
        #遍历类数组,执行exec "from %s import %s" % (c, c)导入
        for c in self.__classes:
            conf_entry = "frameworkd_" + c.lower()
            logger.debug("Conf entry:%s value: %s" % (conf_entry, self.__conf[conf_entry]))
            if str(self.__conf[conf_entry]).lower() in ('1', 'yes', 'true'):
                logger.info(c.upper() + " is enabled")
                exec "from %s import %s" % (c, c)
                exec "t = %s()" % (c)
                t.start()

                self.waitforever()

接下来就是具体的 Framework 类代码

构造器 __init__(self)

对类相关属性进行初始化

def __init__(self):
    self.__classes = [
        "Scheduler",
        "DoNagios",
        "NagiosMkLiveManager",
        "BackupManager",
    ]
    self.__encryptionKey = ''
    self.__options = None
    self.__conf = None
    self.__listener = None

私有方法 __parse_options(self)

用于解析命令行选项

OptionParser 模块用于处理命令行参数,add_option 方法用来加入选项。

action :是 parse_args() 方法的参数之一,它指示 OptionParser 当解析到一个命令行参数时该如何处理。 可选值有 store、store_true、store_false 等,默认是’store ',表示将命令行参数值保存在 options 对象里。

dest 是存储的变量,default 是缺省值,help 是帮助提示

def __parse_options(self):
    usage = "%prog [-d] [-v] [-s delay] [-c config_file]"
    #OptionParser用于处理命令行参数
    parser = OptionParser(usage=usage)
    #add_option 用来加入选项,
    #action是有store,store_true,store_false等,dest是存储的变量,default是缺省值,help是帮助提示 
    parser.add_option("-v", "--verbose", dest="verbose", action="count",
                      help="make lots of noise")
    parser.add_option("-L", "--log", dest="log", action="store",
                      help="user FILE for logging purposes", metavar="FILE")
    #在守护进程模式下运行脚本
    parser.add_option("-d", "--daemon", dest="daemon", action="store_true",
                      help="Run script in daemon mode")
    parser.add_option("-s", "--sleep", dest="sleep", action="store",
                      help="delay between iterations (seconds)", metavar="DELAY")
    parser.add_option("-c", "--config", dest="config_file", action="store",
                      help="read config from FILE", metavar="FILE")
    parser.add_option("-p", "--port", dest="listener_port", action="store",
                      help="use PORT as listener port", metavar="PORT")
    parser.add_option("-l", "--listen-address",dest="listener_address",action="store"
                      ,help="use ADDRESS as listener IP address", metavar="ADDRESS")

最后通过 parse_args() 函数进行解析,获得选项值,如获取 options.verbose、options.daemon 的值

(options, args) = parser.parse_args()
#两个选项不兼容
if options.verbose and options.daemon:
	parser.error("incompatible options -v -d")

return options

未完~



本篇文章部分内容参考或转载自下列文章及书籍。侵权即删。

参考书籍:

  • 《开源安全运维平台OSSIM疑难解析(入门篇)》——李晨光著
  • 《开源安全运维平台OSSIM疑难解析(提高篇)》——李晨光著
  • 《开源安全运维平台:OSSIM最佳实践》——李晨光著

参考文章:

  • https://blog.51cto.com/chenguang/2426473
  • https://blog.csdn.net/lcgweb/article/details/101284949
  • https://blog.51cto.com/chenguang/1665012
  • https://www.cnblogs.com/lsdb/p/10000061.html
  • https://blog.51cto.com/chenguang/1691090
  • https://blog.51cto.com/chenguang/category10.html
  • https://blog.51cto.com/topic/ossim.html
  • https://blog.csdn.net/isinstance/article/details/53694361
  • https://blog.51cto.com/chenguang/1332329
  • https://www.cnblogs.com/airoot/p/8072727.html
  • https://blog.51cto.com/chenguang/1738731
  • https://blog.csdn.net/security_yj/article/details/120153992

上一篇():OSSIM开源安全信息管理系统(四)
下一篇( Framework 源码分析(二)):OSSIM开源安全信息管理系统(六)

陌兮_
关注
专栏目录
OSSIM介绍
Alan Zhuang的博客
02-01 1万+
(一)OSSIM 介绍:     OSSIM (OPEN Source Sevurity Informatiion System):开源安全信息管理系统,由美国的Alien Vault公司开发,是目前一个非常流行和完整的开源安全架构体系。Ossim通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台,能够实现收集分类日志,识别并解决重大安全事件(优先级,标识出有问题的日
OSSIM中文汉化版
03-06
OSSIM(Open Source Security Information Management)是一款开源安全信息和事件管理系统,它集成了各种开源安全工具,如Snort入侵检测系统、Nmap网络扫描工具、Logwatch日志分析工具等,提供了一站式的安全监控...
AlienVault OSSIM:开源SIEM-开源
04-14
OSSIM是AlienVault的开源安全信息和事件管理(SIEM)产品,提供事件收集,规范化和关联。 要获得更多高级功能,AlienVault统一安全管理(USM)在OSSIM上具有以下附加功能:*日志管理*通过持续更新的预构建关联规则库进行高级威胁检测* AlienVault Labs安全研究团队提供了可行的威胁情报更新*丰富的分析仪表板和数据可视化
OSSIM开源安全信息管理系统(十七)
m0_47470899的博客
12-22 810
2021SC@SDUSC 七、Agent部分源代码分析 1、Agent 简介 OSSIM Agent中所有脚本采用 Python 编写,负责从安全设备采集相关信息(比如报警日志等),并将采集到的各类信息统一格式,最后将这些数据传至 Server。从采集方式上看,Agent 属于主动采集,可以形象理解为由OSSIM Server 安插在各个监控网段的“耳目”,由它们收集数据,并主动推送到 Collector 中,然后 Collector 又连接着消息队列系统、缓存系统及存储系统。 Agent 相关目录在
终端安全管理系统
最新发布
YZ22431的博客
07-05 349
终端安全管理系统是一种安全解决方案,它要求终端在进入企业网络中必须遵守特定的一组策略,这些策略由网络管理员灵活设定,旨在维护企业内网安全,以及终端安全,确保企业数据安全,保证企业的正常运作。终端安全管理的实质就是识别终端安全风险,构建终端风险体系并对终端风险进行终端安全管理,从而降低和避免终端安全风险事件的发生。
OSSIM开源安全信息管理系统(二)
m0_47470899的博客
09-29 1959
一、OSSIM功能分析(Web UI)
OSSIM开源安全信息管理系统(十四)
m0_47470899的博客
12-07 1044
2021SC@SDUSC 从本周开始,进入一个全新的模块,开始对 OSSIM 的关联分析机制进行分析。首先对管理分析机制进行简介。 关联分析 在 OSSIM 中,关联分析这部分应该算是这个系统的较为关键的一部分,相比于其他功能相近的安全防护系统来说,OSSIM 的关联分析做的非常好,其后台关联规则较为完全,可以识别出大部分攻击事件,准确率也比较高。在本次课程的最后一段时间里,我的任务就是对 OSSIM 系统的关联分析部分进行功能分析、实现分析、源代码分析等。 下面首先简单讲述一下关于 OSSIM 中的
OSSIM开源安全信息管理系统(十一)
m0_47470899的博客
11-16 3179
2021SC@SDUSC 2021SC@SDUSC
OSSIM开源安全信息管理系统实践-视频教程网盘链接提取码下载.txt
10-05
### OSSIM开源安全信息管理系统实践 #### 一、OSSIM概述 OSSIM(Open Source Security Information Management System)是一款全面且功能强大的开源安全信息与事件管理系统(SIEM)。它能够帮助企业有效地监控网络...
ossim:开源安全信息和事件管理
05-06
集成多个开源安全性/网络监视产品以获得三个网络/主机可见性级别: 低级日志/警报/异常信息 中级网络风险级别信息 高级决策支持信息 组件 Spade:网络异常检测 Snort:模式匹配入侵检测系统 Acid:日志查看器...
OSSIM技术研究
12-01
OSSIM开源安全信息管理系统)是一个成熟、稳定且开源的信息安全管理系统,由美国Alienvault公司开源并提供免费使用。其设计思想强调以资产为核心,并定位为一个集成解决方案,旨在集成而非重新开发安全功能。OSSIM...
终端安全管理系统目标
02-01
终端安全管理系统目标
OSSIM开源安全信息管理系统(八)
m0_47470899的博客
10-30 1109
2021SC@SDUSC 上周开始对 framework.py 的相关联的其他类进行了分析,并且上周主要分析的是 logger.py ,这周开始对另一个重要的源代码文件 backupmanager.py 进行分析,也就是对 backupmanager 这个类进行分析 1、BackupManager.py 1.1 简介 BackupManager 该类继承自 python 自带线程类 threading.Thread,该类主要功能为管理备份 threading.Thread简介: Python3 通
VMware下OSSIM 5.2.0的下载、安装和初步使用(图文详解)
weixin_33768481的博客
01-29 811
  入门阶段不建议选用最新的版本。 采用OSSIM 4.11 到 OSSIM5.0.3 之间任何版本做实验,sensor的状态都会是“V”。   建议,入门,采用OSSIM5.0.0   下载: 链接:https://pan.baidu.com/s/1eSsVXvG 密码:ukyk   疑问:那我现在入门若安装OSSIM5...
有关OSSIM源码
weixin_34329187的博客
06-24 329
有关OSSIM源码 在OSSIM系统中绝大部分源码都能查到,但有些Python脚本进行了加密,例如/usr/share/alienvault/ossim-agent/、/usr/share/ossim-framework/ossimframework/、/usr/share/alienvault/alienvault-forward/对于这几个目录下的加密脚本,若读者需要可以到我博客(http:/...
OSSIM5 自定义安装
weixin_33759269的博客
12-15 129
OSSIM 5自定义安装 默认采用OSSIM的安装镜像安装时步骤非常简洁,很多自定义的内容都省去了,有些高级用户喜欢自定义安装系统,本文附件中就给出了操作方法。 注意事项:无论是正常安装还是自定义安装,在选择语言时不建议使用中文,切记!另外,OSSIM支持和其他操作系统混装,如果你不懂GRUB,建议独立安装。...
OSSIM开源安全信息管理系统(三)
m0_47470899的博客
10-10 519
2021SC@SDUSC 1、本周任务 上周对OSSIM系统进行了安装和部署,并分析了OSSIM系统所具备的相关功能,目前已经对OSSIM系统具有了一个初步的了解,想要深入了解OSSIM系统,必须要分析其组成架构、关键功能部分源代码。 所以本周的任务主要是: 分析OSSIM系统架构,了解其组成结构 找出关键功能部分对应的源代码 对部分源代码进行初步分析 2、OSSIM架构分析 2.1、OSSIM基本组成 2.2、OSSIM系统结构 第1层,属于数据采集层,使用各种采集技术采集流量信息、日志、各种资产
OSSIM安装使用教程(OSSIM-5.6.5)
ITSM/ITIL/网络安全/IT运维
11-05 2454
一、说明 1.1 相关概念说明 SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。 SIM,security information management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。 SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。 SOC,security operati...
OSSIM开源安全信息管理系统详解
"本文主要探讨了OSSIM技术,即开源安全信息管理系统,它是一个集成了多种开源安全组件的框架,旨在提供实时安全监控和事件管理。OSSIM不是SIM,而是SEM,专注于实时安全监控和风险评估。文章介绍了OSSIM的框架结构,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陌兮_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值