OSSIM安全信息管理系统介绍.ppt

OSSIM安全信息管理系统简介 1 OSSIM概述 OSSIM即安全信息管理系统 OPENSOURCESECURITYINFORMATIONMANAGEMENT 是目前一个非常流行和完整的安全架构体系 OSSIM通过将安全产品进行集成 从而提供一种能够实现安全监控功能的基础平台 它的目的是提供一种集中式 有组织的 能够更好地进行监测和显示的框架式系统 开放的框架集成解决方案监测软件 2 OSSIM框架 OSSIM其实并不是一个SIM SecurityInformationManagementsystem 而是一个SEM SecurityEventManagementsystem SIM和SEM的区别在于 SIM偏重于收集和长期保存大量原始日志 支持审计和计算机犯罪法证 通常为满足客户合规性管理的需求 而SEM偏重于实时安全监控 实时风险评估 报警与处理 OSSIM从功能上看并不具备大规模日志采集与存储能力 功能实际上是接近SEM 3 OSSIM主体结构分析 OSSIM更多的是一个开放的框架而不是一个单纯的产品 它的核心价值在于集各个优秀安全组件之长 使这些组件产品的功用成为一个可管理 可互通的整体 OSSIM主体采用B S结构 Web服务器使用Apache 数据库采用Mysql 开发语言采用php perl c等 1 定义数据结构2 提供与不同产品交互的接口3 主要工作在于后期处理4 提供首层管理的框架 这个管理层将各个组件的控制权集中起来5 实现了控制面板 4 OSSIM集成程序分析 集成安全程序Snort 入侵检测系统Rrdtool 系统监控Nmap 网络扫描和嗅探工具包Nessus 被认为是目前全世界最多人使用的系统漏洞扫描与分析软件Ntop 网络流量监控Nagios 监控系统和网络的应用Pads 被动的网络服务发现工具Tcptrack 显示特定端口上有关TCP连接的嗅探器P0f 被动的操作系统辨识工具Arpwatch 监听广播域内的ARP通信 5 1OSSIM检测流程 OSSIM最重要的目标 增进检测能力 Detectors 探头 detector的定义为所有可以实时处理底层数据信息 包括流量和系统事件 的程序 同时detector应该在以下情况发生时发出告警 1 符合用户定义的模式或规则2 符合异常级别探头包括 Snort Nmap Unixsyslog windowsEvent等检测能力指标1 灵敏度 从复杂日志中识别可能攻击的灵敏度2 实时性检测缺陷指标1 假肯定2 漏报 5 2OSSIM检测流程 OSSIM的检测流程包含三个完整的阶段 预处理各个探头将检测或获取到的信息做归一化处理 收集管理中心统一收集各个探头发送来的信息或告警 后期处理对集中收集到管理中心的数据进行关联分析等操作 OSSIM系统的价值主要体现在后期处理上 预处理和收集是由开源组件完成的 当所有的信息集中收集后 OSSIM系统通过这样的后期处理 主要是关联分析 提高检测的灵敏度和实时性 减少误报 漏报 后期处理的主要方法 交叉关联 资产关联 逻辑关联 6OSSIM功能模块 OSSIM的功能一共可以划分为9个层次 各个层次之间是无逢连接的 底层的数据为上层的处理提供信息来源 模式匹配预置进攻模式 无法未知攻击 异常监测可以发现未知攻击 但误报率高集中化和规范化报警信息进行统一类型规范处理优先级优先处理对于系统威胁较大的事件危险评估给出安全事件的危险评估值关联分析监视器控制台提供用户一个系统收集到的所有事件信息的访问接口 7OSSIM数据流 探头检测事件事件归一化处理通过不同协议收集事件将事件存入EDB事件分类及区分优先级各类事件风险评估关联分析后的事件循环处理控制台显示风险评估信息 7 1OSSIM数据流 OSSIM中的三个策略数据库 是OSSIM事件分析和策略调整的信息来源 分别为以下三种数据库 EDB 事件数据库 在三个数据库中 EDB无疑是最大的 它存储的是所有底层的探测器和监视器所捕捉到的所有的事件 KDB 知识数据库 在知识数据库中 将系统的状态进行了参数化的定义 这些参数将为系统的安全管理提供详细的数据说明和定义 UDB 用户数据库 在用户数据库中 存储的是用户的行为和其他与用户相关的事件 8OSSIM关联分析 OSSIM关联分析的特点是 基于数据库通过操作静态数据表来实现关联 这种关联分析的模式类似于Leadsec Manager的审计分析模式 审计系统定时对所有基本的日志进行分析 抽取特征 形成专门的审计表 一般常用关联分析是日志在线关联分析 OSSIM采用这种关联分析的主要原因是探头采用开源组件 不易进行复杂的控制 OSSIM的关联主要分为以下几类 交叉关联 CrossCorrelation 是指事件与目标漏洞之间的关联 资产清单关联 InventoryCorrelation 事件与目标特性之间的关联 包括OS关联 Port关联 协议关联 Servicename关联 Serviceversion关联 前提条件是资产清单中要包含有资产的特征信息 操作系统信息 端口信息 协议 服务 服务版本等 比如snort报了某个机器出现windows漏洞的攻击的警报 但是这台机器实际上是个linux的机器 那么ossim就可以通过关联资产清单中的操作系统特征来鉴定这条snort的报警是误报 当然策略是管理员来制定的 逻辑关联 LogicalCorrelation 异源事件间的关联 比如 ifAandB butnotC andAstaysconnectedtoD generateanAlarm 8 1OSSIM关联分析 关联引擎 EsperEsper是一个事件流处理 EventStreamProcessing ESP 和复杂事件处理 ComplexEventProcessing CEP 的系统 它可以监测事件流并当特定事件发生时触发某些行动 可看作是把数据库反过来 语句是固定的 而数据流进进出出 其常有的应用例子包括系统自动交易 BAM RFID 高级监测系统 欺诈检测等 CEP 是一种实时事件处理并从大量事件数据流中挖掘复杂模式的技术 ESP 是一种从大量事件数据流中过滤 分析有意义的事件 并能够实时取得这些有意义的信息的技术 性能测试结果 Esper在双2GHzCPU的Intel系统测试环境下 处理超过500000个事件 秒 事件驱动应用服务器事件驱动应用服务器 EventDrivenApplicationServer 是一种新型的服务器 为每秒需要处理超过100 000个事件的服务器提供一个运行时和多种支撑基础设施服务 如传输 安全 事件日志 高可靠性和连接器等 除了事件处理以外 事件驱动服务器还可以将事件信息和长时间存在的数据 通常从关系数据库查询中获取 结合起来 以及在事件流上执行临时的关联关系和匹配操作 8 2对OSSIM的思考 增加事件流处理和复杂事件处理 提高Leadsec Manager的核心价值目前Leadsec Manager对事件的处理仅仅是接收 存入数据库 提供查询和报表界面 对于各种安全管理产品 这些功能是非常基本的 很难让用户体会到产品带来的价值 接收日志 并从日志中挖掘出关于资产和业务的安全态势 这是SIM系统的价值 专注于SEM或SIM概念的产品OSSIM的成功在于合理的定位 并针对目标做不断的完善 更加智能化的交互方式OSSIM安装后 不需要任何配置就能自动发现网络 自动接受并处理日志 这些功能的技术实现难度不高 但是带来的用户体验却很强