OSSIM系统

OSSIM是SIM(安全信息管理)与SEM(安全事件管理)的结合体,也可以称为是SEIM。 OSSIM采用开放监控构架(open monitoring architecture),用于整合众多的开源产品。它的整合分为三层:最底层是IDS的特征库;中间层是法律证据控制台(forensic consoles)、软件整合层、资产与威胁的清单,以及风险监控等;最高层是用于整体管理的控制面板。

1 包含的工具
1.1 ***检测系统
1.1.1 网络***检测(NIDS)
1.1.1.1 Snort

基于状态和无状态的分析。 无状态分析基于网络数据流特征的分析,用于发现已知的***。 状态分析基于预处理规则,用于发现未知的***。

1.1.2 主机***检测(HIDS)
1.1.2.1 Snare

基于Windows系统的HIDS,监控系统的安全、应用程序、系统日志。

1.1.2.2 OSSEC

跨平台的HIDS系统,支持Linux/UNIX/Windows。 Server/Agent构架,用于日志分析、完整性检查、Windows注册表监控、rootkit检测、实时报警等功能。

1.2 漏洞扫描/***测试
1.2.1 Nessus
1.2.2 P0f
1.2.3 Pads
1.2.4 NMAP
1.3 系统/安全监控
1.3.1 Nagios
1.3.2 TcpTrack
1.3.3 Ntop
1.4 资产生命周期管理系统
1.4.1 OCSNG
1.4.2 GLPI
2 构架
2.1 传感器(Sensors)

也称为探测器(Probe)。从不同的日志源(log source)收集日志数据,或者基于监控日志产生报警。收集的日志被发往服务端。 大多数传感器工作于被动状态,不主动产生网络流量。 传感器通过基于TCP协议的私有协议与服务端通讯。

2.1.1 功能
2.1.1.1 ***检测功能(IDS)
2.1.1.2 异常探测功能(Anomaly Detection)
2.1.1.2.1 异常网络连接的探测
2.1.1.2.2 超出临界值的数据传输的探测
2.1.1.2.3 通过算法对数据滥用趋势的探测

(as it learns the algorithm adjusts thresholds, for example high traffic during office hours and low traffic on nights and weekends)

2.1.1.3 实时监控功能(Real time Monitoring)
2.1.2 组件
2.1.2.1 NIDS模块

为探测***,监控网络流量 根据已知的特征匹配网络数据包 通过发现可疑的行为来检测新的(未知的)*** 一般部署在主干或子网的防火墙内部或外部

2.1.2.2 HIDS模块

检测设备上的***行为(服务器、路由器、交换机等) 执行主机完整性检查,记录监控日志

2.1.2.3 日志收集模块

从不同的日志源收集日志数据,包括操作系统、应用程序、硬件设备等的日志。

2.2 服务端(Servers)
2.2.1 整合功能(Correlation)
2.2.2 优先级排序功能(Prioritization)

根据不同的警报,指定其风险级别。

2.2.3 资产管理功能 (Online inventory)
2.2.3.1 操作系统管理
2.2.3.2 MAC地址管理
2.2.3.3 NetBIOS名/DNS名管理
2.2.3.4 service管理
2.2.3.5 service的版本管理
2.2.3.6 应用程序管理

自动探测到资产的变更,并且发送报警到指定的地方。

2.2.4 风险评估功能(Risk assessment)
2.2.5 标准化功能(Normalization)

把不同格式的信息格式化成标准、统一的格式。

2.3 控制台(Consoles)
2.3.1 控制面板(Control Panel)
2.3.2 风险与使用监控(Risk and usage monitors)
2.3.3 法律证据控制台(Forensic console)
2.3.4 系统配置框架(The Configuration Framework)

用于配置各个模块,用于资产评估,定义拓扑,定义安全策略,定义整合策略等等功能。

2.3.5 风险监控器RiskMeter

Riskmeter是一个“累积风险”的监控器,它使用称为CALM的评分算法。 Riskmeter提供一个实时的指示器,用于指示主机、网络的安全情况,它用于分辨主机是否被***或者正在受***。

2.4 数据库(Databases)