OSSIM开源安全信息管理系统（十三）

2021SC@SDUSC

本周内容是上周的延续，在本周的文章里，完成了对 OSSIM 安全信息管理系统的 Frameworkd 模块的所有源码以及实现原理的分析。同时完成了 OSSIM 的日志分析部分的简要概述与分析。下周开始，将对 OSSIM 的关联分析机制进行源码分析。

一、OSSIM frameworkd 源码分析

1、OssimDB.py

这里主要实现的功能就是在 Framework 模块中有关数据库相关的操作

主要的类就是 OssimDB 类，这个类的主要实现如下：

首先导入所需的相关 python 自带模块

import sys
import time
from threading import Lock

try:
    import MySQLdb
    import MySQLdb.cursors
    import _mysql_exceptions
except ImportError:
    sys.exit("You need python MySQLdb module installed")

然后导入其他自定义的模块

from Logger import Logger

接下来就是具体类函数

__init__(self, host, database, user, password)

构造函数，初始化类相关属性

def __init__(self, host, database, user, password):
    self._host = host
    self._database = database
    self._user = user
    self._password = ""
    if password is not None:
        self._password = password
    self._conn = None
    self._connected = False
    self._mutex = Lock()

connect(self)

数据库连接函数

def connect(self):
    #先判断一下是否已经连接数据库
    if self._connected:
        return

调用 MySQLdb.connect 进行数据库连接相关操作，要求连接失败次数不能超过五次

    self._connected = False
	attempt = 1
   
	while not self._connected and attempt <= 5:
    try:
    	self._conn = MySQLdb.connect(host=self._host, user=self._user, passwd=self._password,db=self._database, cursorclass=MySQLdb.cursors.DictCursor)
        self._conn.autocommit(True)
        self._connected = True
    except Exception, e:
        logger.info("Can't connect to database (%s@%s) error: %s" % (self._user, self._host, e))
        logger.info("Retry in 2 seconds...")
        attempt += 1
        time.sleep(2)
return self._connected

exec_query(self, query)

该函数的主要功能为执行数据库相关查询工作，仅执行有返回结果的 SQL 语句

传入参数为查询语句，返回值为查询的结果

def exec_query(self, query):
    self._mutex.acquire()
    arr = [] #返回的查询结果
    max_retries = 3  #最大尝试次数
    retries = 0 #尝试次数
    retry_query = False
    cursor = None  
    continue_working = True

先判断一下是否已经连接数据库，如果没有连接则调用刚才分析的self.connect()进行数据库连接，然后执行数据库查询操作，根据尝试次数来判断是否继续执行

while continue_working:
	try:
		#先判断一下是否已经连接数据库，如果没有连接则调用刚才分析的self.connect()进行数据库连接
        if not self._connected or self._conn is None:
        	self.connect()

执行数据库查询操作

cursor = self._conn.cursor()
cursor.execute(query)
arr = cursor.fetchall()
continue_working = False

直接使得retries大于max_retries，然后在后面的代码中就会终止while循环，结束查询

retries = max_retries + 1
cursor.close()
#异常捕获
except _mysql_exceptions.OperationalError, (exc, msg):
	logger.debug('MySQL Operational Error executing query:\n----> %s \n----> [(%d, %s)]' % (query, exc, msg))
    if exc != 2006:
    	logger.error('MySQL Operational Error executing query')
        self.__close()
except Exception, e:
        logger.error('Error executing query:\n----> [{0}]'.format(e))
        self.__close()

超过最大次数则停止while循环

 if retries >= max_retries:
	continue_working = False
else:
    retries += 1
    time.sleep(1)
self._mutex.release()

if not arr:
    arr = []
        
return arr

execute_non_query(self, query, autocommit=False)：

该函数的主要功能是用于执行没有查询结果返回的语句。
变量 autocommit 的值表示是否自动提交，默认情况下，这个值设为 true，即自动提交。
在执行完 SQL 语句后，if 判断是否是自动提交，如果不是自动提交，再调用函数 self._conn.commit() 实现提交。
同样也设置了最多尝试次数 max_retries ，其值初始为3，用于判断是否继续进行 while 循环。
返回值 returnvalue 表示是否执行成功，成功返回 true，否则返回 false

    def execute_non_query(self, query, autocommit=False):
        self._mutex.acquire()
        max_retries = 3
        retries = 0
        retry_query = False
        cursor = None
        continue_working = True
        returnvalue = False
        self._conn.autocommit(autocommit)
        while continue_working:
            try:
                if not self._connected or self._conn is None:
                    self.connect()
                cursor = self._conn.cursor()
                cursor.execute(query)
                if not autocommit:
                    self._conn.commit()
                continue_working = False
                retries = max_retries + 1
                cursor.close()
                returnvalue = True
            except _mysql_exceptions.OperationalError, e:
                logger.error('Operation Error:\n%s\n[%s]' % (query, e))
                self._conn.rollback()
                self.__close()
                returnvalue = False
            except Exception, e:
                logger.error('Error executing query:\n %s \n [%s]' % (query, e))
                self._conn.rollback()
                self.__close()
                returnvalue = False
            if retries >= max_retries:
                continue_working = False
            else:
                retries += 1
                time.sleep(1)
        self._mutex.release()
        return returnvalue

def __close(self)：

最后一个函数的主要功能是调用self._conn.close()函数，断开数据库连接

    def __close(self):
        if self._conn:
            try:
                self._conn.close()
            except _mysql_exceptions.ProgrammingError as err:
                logger.error("Error while closing the connection: {}".format(err))
            except AttributeError as err:
                logger.info("Trying to close the connection to mysql: {}".format(err))
            except Exception as err:
                logger.error("Can't close the connection to the database: {}".format(err))
            finally:
                self._conn = None
                self._connected = False
        else:
            logger.info("Trying to execute close method on connection which doesn't exist")

二、OSSIM 日志收集与分析

3、日志中能看出什么

数据是企业的财富，同样日志蕴含着丰富的信息。Ping 命令是再平常不过的网管工具了，使用 ICMP 来 ping 对方主机，就知道是否存活。但在故障时，能够 ping 通对方的网络接口，不代表机器正常，也有可能系统已出现故障，这样就需要从日志中获取详细信息。日志不仅告诉你主机是否存活，还能够告诉你主机上运行应用程序的状态，以及它们在做什么，在真正宕机前发出各种日志报警信息。下面是一个主机遭受 SSH 攻击的日志，然后我们对其信息进行分析 :

Sep 17 07:00:02 webserver.com:sshd[20392]:Failed password for illegal user test from 192.168.11.2 port 33783 ssh2

从该日志可以看出，用户 test 登录失败，而且他是非法用户，这条消息表明，一个攻击者使用扫描器探测服务器。试图利用字典里的用户进行试探，但攻击还没成功。

当然，一旦攻击成功，黑客接管主机后完全有可能删除这条日志（为了避免日志被删除，可以将这条日志发送到远程的日志收集服务器集中存储)。接着看下面的日志。

Sep 17 10:09:10 webserver.com adduser [2341]: new user: name=test,uid=0,gid=0,home=/root/cgi,shell=/bin/bash

很显然，从这条消息看出，系统添加了系统管理员账户名称为 test，用户 ID 为 0 (相当于 root 权限用户)。

用户行为会被日志记录下来，比如用户登录、注销和启动进程等，系统审计工具能提供细颗粒的日志记录，而且这种日志一旦被系统记录并收集之后，就不会因系统故障恢复正常而被修改，也就是说日志记录了系统从正常→故障→正常的完整过程，由于每条日志都有时间戳，它们提供了每个事件的时间顺序，日志不仅告诉我们发生了什么，还告诉我们事件发生的时间和顺序,而且日志发送到日志服务器后也提供了独立的日志收集仓库，一旦原始主机上的日志遭到破坏（比如篡改和删除)，独立的日志搜集服务就是可靠的日志附加来源。

例如，在 Linux 中普通用户通过 sudo 来执行管理员命令，无意间删除了重要的系统文件而导致故障，在取证时，sudo日志提供了取证日志。又如，用户张三在很短的时间内，从地域跨度很大的两个不同的位置，用 SSH 方式登录系统，这种异常行为就非常可疑。

4、日志分析的基本工具及缺陷

在 Unix/Linux 中内置了强大的命令行日志分析工具，例如 grep、awk、tail、sed 等，用它们分析简单的日志没有问题，然而随着日志尺寸的不断增大，这种分析工具也暴露出一些问题：

(1）不同日志之间无法关联，用人工分析法无法同时分析来自不同网络设备的日志，更无法搞清楚整个网络攻击是如何发生发展的。

(2）在超过 1 GB大小的日志中检索信息非常困难。

(3）Grep 这样的工具只能对明确的关键字信息检索，无法生成统计趋势和异常行为。

以上问题都可以在 OSSIM 系统的日志分析平台中得到解决。

5、海量日志收集方式

一个海量日志收集系统，首先要考虑采用什么样的日志采集模型。一般有两种方式，推送（PUSH）方式和拉（PULL）方式。我们常见的 Syslog、Rsyslog 就是采用推送（PUSH）方式，再比如 Facebook、Scribe 也采用了 PUSH 方式，这种方式要求日志收集存储容量大，至少要大于峰值时的数据生成量，否则主动推送过来的数据将来不及处理，另外如果设置不正确，会收到虚假的 syslog 信息，所以必须了解哪些设备启用了syslog。而拉（PULL）方式的日志收集并不常用。

本篇文章部分内容参考或转载自下列文章及书籍。侵权即删。

参考书籍：

• 《开源安全运维平台OSSIM疑难解析（入门篇）》——李晨光著
• 《开源安全运维平台OSSIM疑难解析（提高篇）》——李晨光著
• 《开源安全运维平台:OSSIM最佳实践》——李晨光著

参考文章：

• https://blog.51cto.com/chenguang/2426473
• https://blog.csdn.net/lcgweb/article/details/101284949
• https://blog.51cto.com/chenguang/1665012
• https://www.cnblogs.com/lsdb/p/10000061.html
• https://blog.51cto.com/chenguang/1691090
• https://blog.51cto.com/chenguang/category10.html
• https://blog.51cto.com/topic/ossim.html
• https://blog.csdn.net/isinstance/article/details/53694361
• https://blog.51cto.com/chenguang/1332329
• https://www.cnblogs.com/airoot/p/8072727.html
• https://blog.51cto.com/chenguang/1738731
• https://blog.csdn.net/security_yj/article/details/120153992

上一篇：OSSIM开源安全信息管理系统（十二）
下一篇：