《Ossim应用指南》入门篇
Ossim应用入门
——在《OSSIM在企业网络管理中的应用》http://chenguang.blog.51cto.com/350944/802007 这篇文章发布之后,很多同行对ossim表示了极大关注,纷纷来信咨询如何部署和使用这套系统。在接下来的时间里我将总结这套系统的安装和使用的方法给大家分享。
1 OSSIM背景介绍
——目前,网络威胁从传统的病毒进化到像蠕虫、拒绝服务等的恶意***,当今的网络威胁***复杂程度越来越高,已不再局限于传统病毒,盗号***、僵尸网络、间谍软件、流氓软件、网络诈骗、垃圾邮件、蠕虫、网络钓鱼等严重威胁着网络安全。网络***经常是融合了病毒、蠕虫、***、间谍、扫描技术于一身的混合式***。拒绝服务***(DOS)已成为***及蠕虫的主要***方式之一。***利用蠕虫制造僵尸网络,整合更多的***源,对目标集中展开猛烈的拒绝服务***。而且***工具也越来越先进,例如扫描工具不仅可以快速扫描网络中存在漏洞的目标系统,还可以快速植入***程序。
——因此,网络安全管理的重要性和管理困难的矛盾日益突出。网络安全是动态的系统工程,只有从与网络安全相关的海量数据中实时、准确地获取有用信息并加以分析,及时地调整各安全子系统的相关策略,才能应对目前日益严峻的网络安全威胁。
——此外,IDS安全工具存在的错报、漏报也是促成安全集成思想的原因之一。以IDS为例,总的来说,***检测的方案有基于预定义规则的检测和基于异常的检测,判断检测能力的2个指标为灵敏度和可靠性。不可避免的,不论是基于预定义规则的检测还是基于异常的检测,由于防范总是滞后于***,其必然会遇到漏报、错报的问题。而安全集成则由于其集成联动分析了多个安全工具,使得检测能力即灵敏度和可靠性都得到大幅提升。综上所述,我们需要将各网络安全子系统,包括防火墙、防病毒系统、***检测系统、漏洞扫描系统、安全审计系统等整合起来,在信息共享的基础上,建立起集中的监控、管理平台,使各子系统既各司其职,又密切合作,从而形成统一的、有机的网络防御体系,来共同抵御日益增长的网络安全威胁。
——综上所述,就是将前面介绍过的Nagios、Ntop、OpenVas、Snort、Nmap、Ossec这些工具集成在一起提供综合的安全保护功能,而不必在各个系统中来回切换,且统一了数据存储,人们能得到一站式的服务,这就是OSSIM给我们带来的好处,我们这一节的目标就是将它的主要功能展示出来。
——OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目标是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。OSSIM 明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Mrtg、Snort、Nmap、Openvas以及Ntop等开源系统安全软件)。在一个保留它们原有功能和作用的开放式架构体系环境下,将它们集成起来。到目前为止,OSSIM支持多达两千多种插件(http://www.alienvault.com/community/plugins)。而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合,如图1所示。由于开源项目的优点,这些工具已经久经考验,同时也经过全方位测试,更加可靠。
图1 OSSIM提供功能的层次结构图
Ossim适用人群:
1.打算利用开源技术建立企业级SIEM系统用户
2.打算集成现有运维监控系统的用户
3.从事大数据安全事件管理的用户
4.从事企业网风险评估的用户
5.可视化网络***展示
6.统一报表输出与合规管理
OSSIM不适合人群:
1.误把OSSIM当成Cacti 、Zabbix的替代品,OSSIM中所有组件只有联合起来发挥的作用“1+1>2”。
2.无运维基础的用户。
3.希望采用OSSIM来管理大批客户机和移动设备的用户。
2.OSSIM流程分析
OSSIM系统的工作流程为:
(1)作为整个系统的安全插件的探测器(Sensor)执行各自的任务,当发现问题时给予报警。
(2)各探测器的报警信息将被集中采集。
(3)将各个报警记录解析并存入事件数据库(EDB)。
(4)根据设置的策略(Policy)给每个事件赋予一个优先级(Priority)。
(5)对事件进行风险评估,给每个警报计算出一个风险系数。
(6)将设置了优先级的各事件发送至关联引擎,关联引擎将对事件进行关联。注意:关联引擎就是指在各***检测传感器(***检测系统、防火墙等)上报的告警事件基础上,经过关联分析形成***行为判定,并将关联分析结果报送控制台。
(7)对一个或多个事件进行关联分析后,关联引擎生成新的报警记录,将其也赋予优先级,并进行风险评估,存入数据库。
(8)用户监控监视器将根据每个事件产生实时的风险图。
(9)在控制面板中给出最近的关联报警记录,在底层控制台中提供全部的事件记录。
Ossim工作流程图
OSSIM安全信息集成管理系统(如图2所示)设计成由安全插件(Plug-ins)、代理进程(Agent)、传感器(Sensor)、关联引擎(Server)、数据仓库(Database)、Web框架(Framework)5个部分构成。
那代理是什么,好像很笼统,下面举个例子,各位就能明白。常规监控软件都是使用SNNM实现流量监控,监控对象是什么?你要监控谁就得在它上面启用SNMP代理进程,也就是在被管理设备上启用代理,在OSSIM还有那些代理呢?比如Snare,Ossec Agent,OCS Agent等等。随着深入OSSIM学习我都会向大家介绍。
图2 信息安全集成管理系统逻辑结构图
(1)安全插件
——安全插件即各类安全产品和设施。如防火墙、IDS等。这里引入Linux下的开源安全工具:Arpwatch、P0f、Snort、Nessus、Spade、Tcptrack、Ntop、Nagios、Osiris等这些Plugins分别针对网络安全的某一方面,总的来说,可以将它们划分为探测器(Detector)和监视器(Monitor)两大阵营,将它们集成关联起来是出于安全集成的目的,如图3所示。
——代理进程将运行在多个或单个主机上,负责从各安全设备、安全工具采集相关信息(如报警日志等),并将采集到的各类信息统一格式,再将这些数据传至Server。
l异常检测(Spade,P0f,Pads,Arpwatch,RRD ab behaviour)
——采集本地路由器、防火墙、IDS等硬件设备,作为防火墙使用。在具体的部署中,以上功能通常可以部署在一台服务器上,也可以分多台服务器部署。
——关联引擎是OSSIM安全集成管理系统的核心部分,支持分布式运行,负责将Agent传送来的事件进行关联,并对网络资产进行风险评估。
更多OSSIM 学习教程参阅《Unix/Linux网络日志分析与流量监控》 。
客户端采用Windows/Linux都没问题,进期发布的Firefox、IE、360浏览器均可,参考视频:http://www.tudou.com/programs/view/XXcuObDCbT0/
接下来讲解部署Ossim 系统: http://chenguang.blog.51cto.com/350944/1333522
《Ossim应用指南》入门篇相关推荐
- 让你久等了《开源安全运维平台OSSIM疑难解析--入门篇》正式出版
2019年暑期,众所期待的新书<开源安全运维平台OSSIM疑难解析--入门篇>由人民邮电出版社正式出版发行.此书从立意到付梓,历时超过两年,经过数十次大修,历经曲折与艰辛,希望为大家代奉献 ...
- 让你久等了!《开源安全运维平台OSSIM疑难解析--入门篇》9月上市
2019年暑期,众所期待的新书<开源安全运维平台OSSIM疑难解析--入门篇>开始印刷,9月份即可预售.此书从立意到付梓,历时超过两年,经过数十次大修,历经曲折与艰辛,希望为大家代奉献一本 ...
- Java工程师学习指南 入门篇
Java工程师学习指南 入门篇 最近有很多小伙伴来问我,Java小白如何入门,如何安排学习路线,每一步应该怎么走比较好.原本我以为之前的几篇文章已经可以解决大家的问题了,其实不然,因为我之前写的文章都 ...
- UI设计中Sketch使用指南—入门篇
对于UI设计师而言,Sketch充满了新鲜空气. 我想说:感谢sketch让Photoshop不再是UI设计师必备软件.这时候很多初学者的UI设计师对sketch充满了兴趣,甚至踊跃学习.下面胡老师给 ...
- 3D游戏开发套件指南(入门篇)
今天将介绍最新的3D游戏开发套件.不论是使用2D还是3D游戏开发套件,都可以在不编写任何代码的情况下,通过设置与拖放便能快捷的实现游戏创意. 指南简介 本指南将引导开发者设置一个空的场景,使用3D游戏 ...
- Unity-3D游戏开发套件指南(入门篇)-免费资源
目录 指南简介 创建新场景 添加移动平台 使用指令开门 敌人对象 造成对象伤害 装饰 石块和植被绘画器 传送玩家 我们为大家介绍过Unity Brighton的内容团队推出的2D游戏开发套件,今天将介 ...
- 《Ansible权威指南 》一 第一篇 Part 1 基础入门篇
本节书摘来自华章出版社<Ansible权威指南 >一书中的第1章,第1.1节,李松涛 魏 巍 甘 捷 著更多章节内容可以访问云栖社区"华章计算机"公众号查看. 第一篇 ...
- erlang rebar 配置mysql_Erlang Rebar 使用指南之一:入门篇
Erlang Rebar 使用指南之一:入门篇 全文目录: 本章原文: Rebar 是功能丰富的 Erlang 构建工具.用于Erlang/OTP项目的编译,测试,依赖管理,打包发布等.Rebar 是 ...
- Kubernetes入门指南-基础篇
Kubernetes入门指南-基础篇 基础入门 kubernetes简介 kubernetes是一个平台 kubernetes架构 kubernetes不是什么 核心组件 kubernetes基本概念 ...
- Rasa中文聊天机器人开发指南(1):入门篇
文章目录 1. Rasa简介与安装 1.1 Rasa简介 1.2 Rasa安装(v1.9.4) 1.1 Ubuntu 16.04环境 1.2 Windows10环境 2. Rasa使用--构建简单聊天 ...
最新文章
- Spark发布1.3.0版本
- Ranking relevance in yahoo search (2016)论文阅读
- 106. 动态中位数【经典 / 对顶堆】
- android oom 检测工具,Android中UI检测、内存泄露、OOM、等优化处理
- mysql 定时任务实例_mysql定时任务与存储过程实例
- 华为mate20能用鸿蒙吗,华为mate20可以用5g网络吗
- php带来互联网的影响,网络对我们的影响有哪些?
- 从零开始实现数据结构(二) 有序数组
- matlab 结构(struct)数组,matlab 结构(struct)数组
- html怎么做成响应式的,怎么用html5完成响应式布局?
- scala文件通过本地命令运行
- scoope导入数据_scoop导入数据从mysql到hive
- SNF软件开发机器人2018最新更新内容
- 万网域名是否注册批量查询工具
- MATLAB混度系统仿真其二:蔡氏电路系统和三阶RC梯形移相振荡器仿真
- jzoj5236. 【NOIP2017模拟8.7A组】利普希茨
- sencha list
- PyTorch中BN层与CONV层的融合(merge_bn)
- 福建信息技术学院计算机系男生宿舍怎么样,福建信息职业技术学院
- 接口自动化测试高频面试题
热门文章
- 如何优雅的使用Mock Server
- gcc/g++添加头文件目录和库文件目录
- java中类/对象的初始化顺序以及静态代码块的使用
- java面向对象(包package)
- zoj 3627(贪心)
- 【物联网智能网关-15】WAV播放器(WinForm+WavPlay库实例)
- 学习python的一些心得和经验
- Oracle RAC CSS 超时计算 及 参数 misscount, Disktimeout 说明
- 关于为何推崇交易规范排序(CTOR)的原因
- koa中使用cookie 和session