OSSIM开源安全信息管理系统(十五)

已于 2022-02-15 12:01:53 修改
阅读量4.5k 收藏 2
点赞数 2
分类专栏: 2021SC@SDUSC 文章标签: 安全 运维 安全架构 系统安全 web安全
于 2021-12-14 19:09:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47470899/article/details/121937814
版权

2021SC@SDUSC




目录

五、OSSIM关联分析的部分源代码分析

OSSIM系统中,关联分析部分源码目录:\ossim\alienvault-ossim\src\alienvault-ossim\os-sim\src


1、sim-directive.c

打开 sim-directive.c 源码文件,同样先是包含一些库

#include <glib.h>
#include <glib-object.h>
#include <uuid/uuid.h>

这里引入了 glib.h,而且阅读到后面的代码部分发现有很多的数据类型是 g 开头的,例如 gintgboolean 等。

之前接触 C 语言的次数也比较少,仅仅简单了解一点 C 语言的知识,在这里特地查找了网上的相关资料,学习了解一下 C 语言的 glib。


1.1、初识 glib

这里先简单介绍一下 glib

glib 库是 Linux 平台下最常用的 C 语言函数库,它具有很好的可移植性和实用性。c 语言复杂点也就数组,glib 能提供更复杂的数据结构,队列,简单链表,树,线程同步,信号,对象等复杂类型

glib 是 Gtk + 库和 Gnome 的基础。glib 可以在多个平台下使用,比如 Linux、Unix、Windows 等。glib 为许多标准的、常用的 C 语言结构提供了相应的替代物。

glib 的各种实用程序具有一致的接口。它的编码风格是半面向对象,标识符加了一个前缀 “g”,这也是一种通行的命名约定。

使用glib库的程序都应该包含glib的头文件glib.h。


1.2、glib 基本类型定义

glib 的类型定义不是使用 C 的标准类型,它自己有一套类型系统。它们比常用的 C 语言的类型更丰富,也更安全可靠。引进这套系统是为了多种原因。例如, gint32 能保证是 32 位的整数,一些不是标准 C 的类型也能保证。有一些仅仅是为了输入方便,比如 guint 比 unsigned 更容易输入。还有一些仅仅是为了保持一致的命名规则,比如,gchar 和 char 是完全一样的。

  • 整数类型:

    gint8、guint8、gint16、guint16、gint32、guint32、gint64、guint64。

    不是所有的平台都提供64位整型,如果一个平台有这些, glib会定义G_HAVE_GINT64。

    类型gshort、glong、gint和short、long、int完全等价。

  • 布尔类型:

    gboolean:它可使代码更易读,因为普通 C 没有布尔类型。

    gboolean可以取两个值:TRUE 和 FALSE。实际上 FALSE 定义为 0,而 TRUE 定义为非零值。

  • 字符型:

    gchar和char完全一样,只是为了保持一致的命名。

  • 浮点类型:

    gfloat、gdouble 和 float、double 完全等价。

  • 指针类型:

    gpointer 对应于标准 C 的 void *,但是比 void * 更方便。

    指针 gconstpointer 对应于标准 C 的 const void *(注意,将const void *定义为const gpointer是行不通的)


1.3、glib 函数

glib还提供了一系列实用函数,可以用于获取程序名称、当前目录、临时目录等。

这些函数都是在glib.h中定义的。

/*返回应用程序的名称*/
gchar* g_get_prgname (void);

/*设置应用程序的名称*/
void g_set_prgname (const gchar *prgname);

/*返回当前用户的名称*/
gchar* g_get_user_name (void);

/*返回用户的真实名称。该名称来自“passwd”文件。返回当前用户的主目录*/
gchar* g_get_real_name (void);

/*返回当前使用的临时目录,它按环境变量TMPDIR、TMPandTEMP 的顺序查找。如果上面的环境变量都没有定义,返回“/tmp”*/
gchar* g_get_home_dir (void);
gchar* g_get_tmp_dir (void);

/*返回当前目录。返回的字符串不再需要时应该用g_free() 释放*/
gchar* g_get_current_dir (void);

/*获得文件名的不带任何前导目录部分的名称。它返回一个指向给定文件名字符串的指针*/
gchar* g_basename (const gchar *file_name);

/*返回文件名的目录部分。如果文件名不包含目录部分,返回“.”。返回的字符串不再使用时应该用g_free() 函数释放*/
gchar* g_dirname (const gchar *file_name);

/*如果给定的file_name是绝对文件名(包含从根目录开始的完整路径,比如/usr/local),返回TRUE */
gboolean g_path_is_absolute (const gchar *file_name);

/*返回一个指向文件名的根部标志(“/”)之后部分的指针。如果文件名file_name不是一个绝对路径,返回NULL */
gchar* g_path_skip_root (gchar *file_name);

/*指定一个在正常程序终止时要执行的函数*/
void g_atexit (GVoidFunc func);

上面介绍的只是glib库中的一小部分, glib的特性远远不止这些。这里进行简单介绍,只是为了能够在后面的部分更好的分析 OSSIM 关联分析这一部分的源代码。

如果想了解其他内容,参考glib.h文件。这里面的绝大多数函数都是简明易懂的。

另外,http://www.gtk.org上的glib文档也是极好的资源。


1.4、源码分析

gboolean sim_directive_match_by_event(SimDirective *directive,SimEvent *event)

该函数的主要功能是判断传入指令是否与根节点指令匹配,这里只检查根节点,并不检查指令的子节点

gboolean
sim_directive_match_by_event (SimDirective  *directive,SimEvent *event)
{
  gboolean match;

  g_return_val_if_fail (SIM_IS_DIRECTIVE (directive), FALSE);
  g_return_val_if_fail (!directive->_priv->matched, FALSE);
  g_return_val_if_fail (directive->_priv->rule_root, FALSE);
  g_return_val_if_fail (SIM_IS_RULE (directive->_priv->rule_root->data), FALSE);
  g_return_val_if_fail (SIM_IS_EVENT (event), FALSE);

  SimRule *rule = (SimRule *)directive->_priv->rule_root->data;

  match = sim_rule_match_by_event (rule, event);

  return match;
}

gboolean sim_directive_backlog_match_by_event (SimDirective *directive,SimEvent *event)

这将检查事件是否可以与 backlog 中的某些数据匹配。

backlog 实际上是一个包含事件数据的指令。每个 backlog 条目都是一个树,其中包含来自一个指令的所有规则(它相当于是一个指令克隆)。其中每个规则(simrule)还包含与规则匹配的事件的数据。

gboolean
sim_directive_backlog_match_by_event (SimDirective  *directive,SimEvent *event)
{
  GNode *node = NULL;
 
  g_return_val_if_fail (directive, FALSE);
  g_return_val_if_fail (SIM_IS_DIRECTIVE (directive), FALSE);
  g_return_val_if_fail (!directive->_priv->matched, FALSE);
  g_return_val_if_fail (directive->_priv->rule_curr, FALSE);
  g_return_val_if_fail (directive->_priv->rule_curr->data, FALSE);
  g_return_val_if_fail (SIM_IS_RULE (directive->_priv->rule_curr->data), FALSE);
  g_return_val_if_fail (event, FALSE);
  g_return_val_if_fail (SIM_IS_EVENT (event), FALSE);

我们必须对照backlog中的所有规则节点检查事件,除了根节点,因为它签入了sim_directive_match_by_event是从sim_organizer_correlation调用的

  node = directive->_priv->rule_curr->children;  while (node)      
  {
    SimRule *rule = (SimRule *) node->data;    if (sim_rule_match_by_event (rule, event))
        {
            g_log (G_LOG_DOMAIN, G_LOG_LEVEL_DEBUG, "sim_directive_backlog_match_by_event; sim_rule_match_by_event: True");
          time_t time_last = time (NULL);
            directive->_priv->rule_curr = node;     // 每次事件匹配时,该指令都下一级到匹配的节点。下次将根据此级别检查事件。

FIXME: 父节点中可能存在内存泄漏.

directive->_priv->time_last = time_last;
directive->_priv->time_out = sim_directive_get_rule_curr_time_out_max (directive);

//这里我们将事件中的各个字段分配到规则中,所以每次我们进入规则时,我们可以看到匹配的事件.
sim_rule_set_event_data (rule, event);      
 
          sim_rule_set_time_last (rule, time_last);          if (!G_NODE_IS_LEAF (node))
        {
          GNode *children = node->children;          while (children)
                {
                  SimRule *rule_child = (SimRule *) children->data;
 
                  sim_rule_set_time_last (rule_child, time_last);
 
                  sim_directive_set_rule_vars (directive, children);
                  children = children->next;
                    g_log (G_LOG_DOMAIN, G_LOG_LEVEL_DEBUG, "sim_directive_backlog_match_by_event: There are childrens in %d directive", directive->_priv->id);
                }
            }          else
          {
              directive->_priv->matched = TRUE;
                g_log (G_LOG_DOMAIN, G_LOG_LEVEL_DEBUG, "sim_directive_backlog_match_by_event: The directive %d has matched", directive->_priv->id);
          }          return TRUE;
        }        else
        {
            g_log (G_LOG_DOMAIN, G_LOG_LEVEL_DEBUG, "sim_directive_backlog_match_by_event: sim_rule_match_by_event: False");
        }
 
      node = node->next;
    }  return FALSE;
}

本篇文章部分内容参考或转载自下列文章及书籍。侵权即删。

参考书籍:

  • 《开源安全运维平台OSSIM疑难解析(入门篇)》——李晨光著
  • 《开源安全运维平台OSSIM疑难解析(提高篇)》——李晨光著
  • 《开源安全运维平台:OSSIM最佳实践》——李晨光著

参考文章:

  • https://blog.51cto.com/chenguang/2426473
  • https://blog.csdn.net/lcgweb/article/details/101284949
  • https://blog.51cto.com/chenguang/1665012
  • https://www.cnblogs.com/lsdb/p/10000061.html
  • https://blog.51cto.com/chenguang/1691090
  • https://blog.51cto.com/chenguang/category10.html
  • https://blog.51cto.com/topic/ossim.html
  • https://blog.csdn.net/isinstance/article/details/53694361
  • https://blog.51cto.com/chenguang/1332329
  • https://www.cnblogs.com/airoot/p/8072727.html
  • https://blog.51cto.com/chenguang/1738731
  • https://blog.csdn.net/security_yj/article/details/120153992



上一篇:OSSIM开源安全信息管理系统(十四)
下一篇:

陌兮_
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
实现ossim中文化文档
05-23
ossim系统的中文化文档说明,,ossim系统的中文化文档说明
ossim:开源安全信息和事件管理
05-06
集成多个开源安全性/网络监视产品以获得三个网络/主机可见性级别: 低级日志/警报/异常信息 中级网络风险级别信息 高级决策支持信息 组件 Spade:网络异常检测 Snort:模式匹配入侵检测系统 Acid:日志查看器...
OSSIM代码分析(一)
ITSM/ITIL/网络安全/IT运维
12-02 936
OSSIM可以分成几大部分: 一是ossim-agent 二是ossim-framemork, 三是ossim-server, 四是ossim-web界面。 老版本的ossim的源代码把所有代码放在一个工程下面,1.0以后的版本基本都分开了,按上面四个部分有四个工程, 在ossim的CVS服务器上,我们可以看到有五个以下工程: 1.agent 2.os-sim 3.server 4.web 5.ossim-gsoc2008 ossim-gsoc2008是和google的源代码合作...
OSSIM总体介绍
ITSM/ITIL/网络安全/IT运维
11-17 2172
OSSIM布道师 李晨光 一、背景 如果运维工程师手里没有高效的管理工具支持,就很难快速处理故障。市面上有很多运维监控工具,例如商业版的 Solarwinds、ManageEngine以及WhatsUp等,开源的MRTG、Nagios、Cacti、Zabbix、OpenNMS、Ganglia等。 由于它们彼此之间所生成的数据没有关联,无法共享,即便部署了这些工具,很多运维人员并没有从中真正解脱出来,成千上万条警告信息堆积在一起,很难识别问题的根源,结果被海量日志所淹没,无法解脱出...
Ossim主要功能实战
ITSM/ITIL/网络安全/IT运维
11-09 681
OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台将Nagiso,Ntop,Snort,Nmap等开源工具集成在一起提供综合的安全保护功能,而不必在各个系统中来回切换比较麻烦,而且统一了数据存储,人们能得到一站式的服务,这就是OSSIM给我们带来的好处。当Ossim系统安装完毕后,我们在输入Web地即可打开主界面,下面的例子我们暂用ossiim3.x为平台讲解,看看它给我们提供了那些实用的功能。 一、安装 安装Ossim和普通Linux发行版没有什么区别,在企业环境部署的时候.
OSSIM开源安全信息管理系统(一)
m0_47470899的博客
09-27 4275
2021SC@SDUSC 一、OSSIM简介 OSSIM开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT),由美国的Alien Vault公司开发,是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。 OSSIM定位于一个集成解决方案,其目标并不是要开发一个新的系统,而是利用丰富的,强大的各种程序,包括:
开源USM-AlienVault OSSIM
weixin_34088838的博客
12-03 935
什么是USM,其实就是安全管理平台的百宝箱,不需要二次开发可以直接将插件嵌入到平台。整合各种功能插件、日志信息、监控信息。下面就让我们一起聊一聊OSSIM吧。1、概述美国公司,在德国、西班牙、英国和墨西哥设有分支机构。主要从事SIEM(SOC)相关业务。主要商业模式是推广开源OSSIM,并提供服务收费。另自建SOC中心,号称CloudSIEM。2、产品情况有三种产品...
OSSIM开源安全信息管理系统实践-视频教程网盘链接提取码下载.txt
最新发布
10-05
OSSIM作为开源安全信息管理平台,对于企业的需求来说毋庸置疑。OSSIM系列课程会从基础架构入手并进行原理剖析,再到搭建配置和高阶应用,以大量的实战全方位的对OSSIM进行讲解。期间同学们不仅可以学习到OSSIM中...
AlienVault OSSIM:开源SIEM-开源
04-14
OSSIM是AlienVault的开源安全信息和事件管理(SIEM)产品,提供事件收集,规范化和关联。 要获得更多高级功能,AlienVault统一安全管理(USM)在OSSIM上具有以下附加功能:*日志管理*通过持续更新的预构建关联规则库...
OSSEC  &  OSSIM  Unified  Open  Source  Security开源安全框架精要PPT
07-15
OSSEC & OSSIM Unified Open Source Security开源安全框架精要PPT 内容:Why OSSIMOSSIM Architecture,OSSIM Embedded Tools,OSSIM Collectors ,OSSIM Collector Anatomy,OSSIM Threat assessment ,OSSIM ...
OSSIM - Open Source Software Image Map-开源
04-28
开源遥感OSSIM项目,发音为“ awesome”,将利用开源社区中现有的算法/工具/软件包来构建最终的遥感/图像处理/ GIS软件包。 osgPlanet扩展了OSSIM和Op
OSSIM项目研究记录(一)
qq_50860232的博客
09-30 580
2021SC@SDUSC
最新系统漏洞--AlienVault Ossim内存泄露漏洞
weixin_48555088的博客
11-15 483
最新系统漏洞2021年11月14日 受影响系统: AlienVault OSSIM 5 描述: AlienVault OSSIM开源安全信息和事件管理项目。 AlienVault Ossim 5的sim-organizer.c存在内存泄漏漏洞。攻击者可通过大量告警事件利用该漏洞触发系统崩溃导致拒绝服务。 <**> 建议: 厂商补丁: AlienVault 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: https://github.com/jp
OSSIM操作实践
ITSM/ITIL/网络安全/IT运维
11-06 4621
最近公司要求部署OSSIM,在对OSSIM使用的过程中,详细通读了李晨光老师的《OSSIM最佳实践》一书,书中对于OSSIM部署操作以及Sensor操作都有详细介绍。有在甲方做安全运维并需要用到OSSIM的的小伙伴建议可以买一本。 在对OSSIM部署的过程中,遇到很多问题,在百度中寻找答案时,发现关于OSSIM的文章很少,所查到的资料也大多千篇一律的都是基础类而很少有实际操作类。 以下是本人在读《OSSIM最佳实践》一书时,并在OSSIM操作过程中所总结的OSSIM原理、OSSIM的...
VMware下OSSIM 5.0安装和使用小结
热门推荐
崔炳华
05-04 1万+
1. 概述 OSSIM开源安全信息管理系统(Open Source Security Information Management),是目前一个非常流行和完整的开源安全架构体系。 OSSIM通过将开源产品进行集成,从而提供一个能够实现安全监控功能的、集中式、有组织的基础框架平台。 2. 下载镜像文件 AlienVault公司发布的OSSIM镜像文件使用的是裁减过后的Debian 6 64
开源安全信息管理系统——OSSIM安装
weixin_34297704的博客
08-21 154
  在此前,游侠介绍过OSSIM这个软件 [开源安全信息管理系统——OSSIM介绍] 现在我们看看软件的安装过程:   我是在VMware安装的。大家可以选择建立一个Linux 2.6内核的虚拟机,内存256M或者512M都可以,当然1G也行 嘿嘿   选择下载的镜像文件就是了,Open Source SIM官方下载地址:   OSSIM v2.3.1 (64b...
OSSIM安装使用教程(OSSIM-5.6.5)
ITSM/ITIL/网络安全/IT运维
11-05 2398
一、说明 1.1 相关概念说明 SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。 SIM,security information management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。 SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。 SOC,security operati...
OSSIM开源安全信息管理系统(十六)
m0_47470899的博客
12-21 279
2021SC@SDUSC 本周继续对OSSIM系统中,关联分析部分进行源码分析。 关联分析部分源码目录:\ossim\alienvault-ossim\src\alienvault-ossim\os-sim\src gboolean sim_directive_backlog_match_by_not (SimDirective *directive): 该函数的主要功能是检查指令中的所有节点规则 gboolean sim_directive_backlog_match_by_not (SimDir
OSSIM概述
ITSM/ITIL/网络安全/IT运维
12-03 404
AlienVault OSSIM Overview Open Source SIEM OSSIM, AlienVault’s Open Source Security Information and Event Management (SIEM) product, provides event collection, normalization and correlation. For more advanced functionality, AlienVault Unified Security Man
ossim ossim.po下载
07-27
Ossim是一个开源安全事件和漏洞管理系统,而ossim.po则是Ossim系统的本地化文件。用户可以通过下载ossim.po文件来将Ossim系统的界面和信息本地化为自己熟悉的语言。 首先,打开您的浏览器,进入Ossim的官方网站。在网站的下载页面或者软件下载区域,您可以找到ossim.po文件的下载链接。点击下载链接后,浏览器会开始下载ossim.po文件。 下载完成后,您可以将ossim.po文件保存到您计算机的任意位置,例如您的桌面或者其他文件夹中。 接下来,您可以通过打开Ossim系统的本地化管理工具来加载ossim.po文件。在Ossim系统的设置或者选项中,找到相关的本地化设置,并选择导入ossim.po文件的选项。 在选择导入ossim.po文件后,系统会提示您浏览并选择您保存ossim.po文件的位置。定位到文件所在的位置后,点击确定或者导入按钮,系统会自动将ossim.po文件导入到Ossim系统中。 导入完成后,您可以选择您希望使用的语言或地区进行本地化。根据您选择的语言或地区,Ossim系统的界面和信息将会被自动翻译为对应的语言。 通过以上步骤,您可以成功地下载并使用ossim.po文件来进行Ossim系统的本地化。这样,您就可以更好地理解和操作Ossim系统,并提高您在安全事件和漏洞管理方面的效率和准确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陌兮_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值