第一篇：Ossim應(yīng)用入門

在《OSSIM在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用》http://chenguang.blog.51cto.com/350944/802007這篇文章發(fā)布之后，很多同行對ossim表示了極大關(guān)注,紛紛來信咨詢?nèi)绾尾渴鸷褪褂眠@套系統(tǒng)。在接下來的時間里我將總結(jié)這套系統(tǒng)的安裝和使用的方法給大家分享。

1??OSSIM背景介紹

——目前，網(wǎng)絡(luò)威脅從傳統(tǒng)的病毒進(jìn)化到像蠕蟲、拒絕服務(wù)等的惡意攻擊，當(dāng)今的網(wǎng)絡(luò)威脅攻擊復(fù)雜程度越來越高，已不再局限于傳統(tǒng)病毒，盜號木馬、僵尸網(wǎng)絡(luò)、間諜軟件、流氓軟件、網(wǎng)絡(luò)詐騙、垃圾郵件、蠕蟲、網(wǎng)絡(luò)釣魚等嚴(yán)重威脅著網(wǎng)絡(luò)安全。網(wǎng)絡(luò)攻擊經(jīng)常是融合了病毒、蠕蟲、木馬、間諜、掃描技術(shù)于一身的混合式攻擊。拒絕服務(wù)攻擊（DOS）已成為黑客及蠕蟲的主要攻擊方式之一。黑客利用蠕蟲制造僵尸網(wǎng)絡(luò)，整合更多的攻擊源，對目標(biāo)集中展開猛烈的拒絕服務(wù)攻擊。而且攻擊工具也越來越先進(jìn)，例如掃描工具不僅可以快速掃描網(wǎng)絡(luò)中存在漏洞的目標(biāo)系統(tǒng)，還可以快速植入攻擊程序。

——因此，網(wǎng)絡(luò)安全管理的重要性和管理困難的矛盾日益突出。網(wǎng)絡(luò)安全是動態(tài)的系統(tǒng)工程，只有從與網(wǎng)絡(luò)安全相關(guān)的海量數(shù)據(jù)中實時、準(zhǔn)確地獲取有用信息并加以分析，及時地調(diào)整各安全子系統(tǒng)的相關(guān)策略，才能應(yīng)對目前日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅。

——此外，IDS安全工具存在的錯報、漏報也是促成安全集成思想的原因之一。以IDS為例，總的來說，入侵檢測的方案有基于預(yù)定義規(guī)則的檢測和基于異常的檢測，判斷檢測能力的2個指標(biāo)為靈敏度和可靠性。不可避免的，不論是基于預(yù)定義規(guī)則的檢測還是基于異常的檢測，由于防范總是滯后于攻擊，其必然會遇到漏報、錯報的問題。而安全集成則由于其集成聯(lián)動分析了多個安全工具，使得檢測能力即靈敏度和可靠性都得到大幅提升。綜上所述，我們需要將各網(wǎng)絡(luò)安全子系統(tǒng)，包括防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)等整合起來，在信息共享的基礎(chǔ)上，建立起集中的監(jiān)控、管理平臺，使各子系統(tǒng)既各司其職，又密切合作，從而形成統(tǒng)一的、有機的網(wǎng)絡(luò)防御體系，來共同抵御日益增長的網(wǎng)絡(luò)安全威脅。

——綜上所述，就是將前面介紹過的Nagios、Ntop、OpenVas、Snort、Nmap、Ossec這些工具集成在一起提供綜合的安全保護(hù)功能，而不必在各個系統(tǒng)中來回切換，且統(tǒng)一了數(shù)據(jù)存儲，人們能得到一站式的服務(wù)，這就是OSSIM給我們帶來的好處，我們這一節(jié)的目標(biāo)就是將它的主要功能展示出來。

——OSSIM通過將開源產(chǎn)品進(jìn)行集成，從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺。它的目標(biāo)是提供一種集中式、有組織的，能夠更好地進(jìn)行監(jiān)測和顯示的框架式系統(tǒng)。OSSIM明確定位為一個集成解決方案，其目標(biāo)并不是要開發(fā)一個新的功能，而是利用豐富的、強大的各種程序（包括Mrtg、Snort、Nmap、Openvas以及Ntop等開源系統(tǒng)安全軟件）。在一個保留它們原有功能和作用的開放式架構(gòu)體系環(huán)境下，將它們集成起來。到目前為止，OSSIM支持多達(dá)兩千多種插件（http://www.alienvault.com/community/plugins）。而OSSIM項目的核心工作在于負(fù)責(zé)集成和關(guān)聯(lián)各種產(chǎn)品提供的信息，同時進(jìn)行相關(guān)功能的整合，如圖1所示。由于開源項目的優(yōu)點，這些工具已經(jīng)久經(jīng)考驗，同時也經(jīng)過全方位測試，更加可靠。

圖1?OSSIM提供功能的層次結(jié)構(gòu)圖

Ossim適用人群：

1.打算利用開源技術(shù)建立企業(yè)級SIEM系統(tǒng)用戶

2.打算集成現(xiàn)有運維監(jiān)控系統(tǒng)的用戶

3.從事大數(shù)據(jù)安全事件管理的用戶

4.從事企業(yè)網(wǎng)風(fēng)險評估的用戶

5.可視化網(wǎng)絡(luò)攻擊展示

6.統(tǒng)一報表輸出與合規(guī)管理

OSSIM不適合人群：

1.誤把OSSIM當(dāng)成Cacti 、Zabbix的替代品，OSSIM中所有組件只有聯(lián)合起來發(fā)揮的作用“1+1>2”。

2.無運維基礎(chǔ)的用戶。

3.希望采用OSSIM來管理大批客戶機和移動設(shè)備的用戶。

2．OSSIM流程分析

OSSIM系統(tǒng)的工作流程為：

（1）作為整個系統(tǒng)的安全插件的探測器（Sensor）執(zhí)行各自的任務(wù)，當(dāng)發(fā)現(xiàn)問題時給予報警。

（2）各探測器的報警信息將被集中采集。

（3）將各個報警記錄解析并存入事件數(shù)據(jù)庫（EDB）。

（4）根據(jù)設(shè)置的策略（Policy）給每個事件賦予一個優(yōu)先級（Priority）。

（5）對事件進(jìn)行風(fēng)險評估，給每個警報計算出一個風(fēng)險系數(shù)。

（6）將設(shè)置了優(yōu)先級的各事件發(fā)送至關(guān)聯(lián)引擎，關(guān)聯(lián)引擎將對事件進(jìn)行關(guān)聯(lián)。注意：關(guān)聯(lián)引擎就是指在各入侵檢測傳感器（入侵檢測系統(tǒng)、防火墻等）上報的告警事件基礎(chǔ)上，經(jīng)過關(guān)聯(lián)分析形成入侵行為判定，并將關(guān)聯(lián)分析結(jié)果報送控制臺。

（7）對一個或多個事件進(jìn)行關(guān)聯(lián)分析后，關(guān)聯(lián)引擎生成新的報警記錄，將其也賦予優(yōu)先級，并進(jìn)行風(fēng)險評估，存入數(shù)據(jù)庫。

（8）用戶監(jiān)控監(jiān)視器將根據(jù)每個事件產(chǎn)生實時的風(fēng)險圖。

（9）在控制面板中給出最近的關(guān)聯(lián)報警記錄，在底層控制臺中提供全部的事件記錄。

Ossim工作流程圖

OSSIM安全信息集成管理系統(tǒng)（如圖2所示）設(shè)計成由安全插件（Plug-ins）、代理進(jìn)程（Agent）、傳感器（Sensor）、關(guān)聯(lián)引擎（Server）、數(shù)據(jù)倉庫（Database）、Web框架（Framework）5個部分構(gòu)成。

那代理是什么，好像很籠統(tǒng)，下面舉個例子，各位就能明白。常規(guī)監(jiān)控軟件都是使用SNNM實現(xiàn)流量監(jiān)控，監(jiān)控對象是什么？你要監(jiān)控誰就得在它上面啟用SNMP代理進(jìn)程，也就是在被管理設(shè)備上啟用代理，在OSSIM還有那些代理呢？比如Snare，Ossec Agent，OCS Agent等等。隨著深入OSSIM學(xué)習(xí)我都會向大家介紹。

圖2信息安全集成管理系統(tǒng)邏輯結(jié)構(gòu)圖

（1）安全插件

——安全插件即各類安全產(chǎn)品和設(shè)施。如防火墻、IDS等。這里引入Linux下的開源安全工具：Arpwatch、P0f、Snort、Nessus、Spade、Tcptrack、Ntop、Nagios、Osiris等這些Plugins分別針對網(wǎng)絡(luò)安全的某一方面，總的來說，可以將它們劃分為探測器（Detector）和監(jiān)視器（Monitor）兩大陣營，將它們集成關(guān)聯(lián)起來是出于安全集成的目的，如圖3所示。

圖3安全插件

（2）代理進(jìn)程

——代理進(jìn)程將運行在多個或單個主機上，負(fù)責(zé)從各安全設(shè)備、安全工具采集相關(guān)信息（如報警日志等），并將采集到的各類信息統(tǒng)一格式，再將這些數(shù)據(jù)傳至Server。

——Agent的主要功能是接收或主動抓取Plugin發(fā)送過來或者生成的文件型日志，經(jīng)過預(yù)處理后有序地傳送到OSSIM的Server。它的功能很復(fù)雜，因為它的設(shè)計要考慮到如果Agent和Server之間的網(wǎng)絡(luò)中斷、擁堵、丟包以及Server端可能接收不過來甚至死機等情況，確保日志不丟失也不漏發(fā)?；谶@個考慮，OSSIM的日志處理在大部分情況下不能做到實時，通常會在Agent端緩存一段時間才會發(fā)送到Server端。Agent會主動連接兩個端口與外界通信或傳輸數(shù)據(jù)，一個是連接Server的40001端口，另一個是連接數(shù)據(jù)庫的3306端口。

（3）傳感器

——傳感器通常會被我們理解為一段程序，但它不是一個確定的程序，而是一個邏輯單元的概念。在OSSIM中，把Agent和插件構(gòu)成的一個具有網(wǎng)絡(luò)行為監(jiān)控功能的組合稱為一個傳感器（Sensor），Sensor的功能范圍主要有：

l入侵檢測（Snort）

l漏洞掃描（OpenVas）

l異常檢測（Spade，P0f，Pads，Arpwatch，RRD?ab?behaviour）

l網(wǎng)絡(luò)流量監(jiān)控與剖析（Ntop）

——采集本地路由器、防火墻、IDS等硬件設(shè)備，作為防火墻使用。在具體的部署中，以上功能通常可以部署在一臺服務(wù)器上，也可以分多臺服務(wù)器部署。

（4）關(guān)聯(lián)引擎

——關(guān)聯(lián)引擎是OSSIM安全集成管理系統(tǒng)的核心部分，支持分布式運行，負(fù)責(zé)將Agent傳送來的事件進(jìn)行關(guān)聯(lián)，并對網(wǎng)絡(luò)資產(chǎn)進(jìn)行風(fēng)險評估。

（5）數(shù)據(jù)倉庫

——數(shù)據(jù)倉庫由Server將關(guān)聯(lián)結(jié)果寫入Database，此外，系統(tǒng)用戶（如安全管理員）也可通過Framework（Web控制臺）對Database進(jìn)行讀寫。數(shù)據(jù)倉庫是整個系統(tǒng)事件分析和策略調(diào)整的信息來源，從總體上將其劃分為事件數(shù)據(jù)庫（EDB）、知識數(shù)據(jù)庫（KDB）、用戶數(shù)據(jù)庫（UDB）、OSSIM系統(tǒng)默認(rèn)使用的MySQL監(jiān)聽端口是3306，在系統(tǒng)中數(shù)據(jù)庫的負(fù)擔(dān)最重，因為它除了存儲數(shù)據(jù)外，還要對其進(jìn)行分析整理，所以實時性不強，這也是OSSIM架構(gòu)最大的缺陷。

（6）Web框架

——Web框架控制臺，提供用戶（安全管理員）的Web頁面，從而控制系統(tǒng)的運行（例如設(shè)置策略），是整個系統(tǒng)的前端，用來實現(xiàn)用戶和系統(tǒng)的B/S模式交互。Framework可以分為2個部分：Frontend是系統(tǒng)的一個Web頁面，提供系統(tǒng)的用戶終端；Frameworkd是一個守護(hù)進(jìn)程，它綁定OSSIM的知識庫和事件庫，偵聽端口是40003，負(fù)責(zé)將Frontend收到的用戶指令和系統(tǒng)的其他組件相關(guān)聯(lián)，并繪制Web圖表供前端顯示。

更多OSSIM 學(xué)習(xí)教程參閱《Unix/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控》?。

如何用好OSSIM

OSSIM系統(tǒng)不要輕易上馬，只有等到萬事俱備之后，才能上線，遇到困難不要氣餒，最忌諱草率下馬，這個項目需要堅持完成。在OSSIM學(xué)習(xí)實踐中遇到挫折和各種困難是常有的是，即使你是個Linux高手依然如此。這時首先需要保存好現(xiàn)場，分析日志，從你操作時想起，進(jìn)行全面分析。