OSSIM解決方案

大多數主流安全產品針對的是計算機單一安全缺陷，他們更多的是提供某一單獨的安全保護功能。目前安全領域內還沒有一套相對完整系統安全解決方案，而且由於主流商業安全軟體的閉源特性，讓我們對其自身的安全特性也不能夠完全信服。

隨著軟體開源趨勢的不斷推進，現在出現了很多甚至可以說效能毫不遜色於任何商業軟體的安全工具（如

nessus

、netfilter

、snort

等），那麼有沒有一種可能將這些工具進行整合並形成一整套系統安全的解決方案或者架構呢？答案是肯定的，這就是

ossim

。 ossim

（open source secur ityinformation management

）即開源安全資訊管理系統是目前乙個非常流行和完整的開源安全架構體系。

ossim

通過將開源產品進行整合，從而提供一種能夠實現安全監控功能的基礎平台。它的目的是提供一種集中式、有組織的，能夠更好地進行監測和顯示的框架式系統。

ossim

明確定位為乙個整合解決方案，其目標並不是要開發乙個新的功能，而是利用豐富的、強大的各種程式(包括

snort

、rrd

、nmap

、nessus

以及ntop

等開源系統安全軟體

)。在乙個保留他們原有功能和作用的開放式架構體系環境下，將他們整合起來。而

ossim

專案的核心工作在於負責整合和關聯各種產品提供的資訊，同時進行相關功能的整合。由於開源專案的優點，這些工具已經是久經考驗，同時也經過全方位測試、可靠的工具。

ossim結構體系

實際上，從過程上考慮，安全可以分為評估、

防護、檢測、

響應這四個步驟，現在已經有了不少優秀的開源軟體與這四個步驟相對應。但是問題在於這四個步驟屬於乙個動態、無縫過程，而所有的開源工具只是針對單一安全問題，如何將現有的安全工具進行綜合利用並將他們無縫綜合，

ossim

給出了很好的答案，那就是

——整合。

ossim

由資料收集、監視

、檢測、審計

以及控制台

這五個模組構成。這

5個模組包含了目前安全領域從事件預防到事件處理乙個完整的過程，在目前的安全架構中，

ossim

是最為完備的。這五個功能模組又被劃分為三個層次，分別是高層的安全資訊顯示控制面板、中層的風險和活動監控以及底層的證據控制台和網路監控，各個層次提供不同功能，共同保證系統的安全運轉。

在ossim

中，整個過程處理被劃分為兩個階段，這兩個階段反映的是乙個事件從發生到處理的不同的歷史時期，這兩個階段分別為

預處理階段

，這一階段的處理主要有監視器和探測器來共同完成，它們主要是為系統提供初步的安全控制

;另乙個

事後處理階段

，這一階段的處理更加集中，更多的是反映在事件發生之後系統安全策略的調整和整個系統的安全配置的改進。

在ossim

的架構體系中，有三個部件比較引人注意，這是

ossim

中的三個策略資料庫，是

ossim

事件分析和策略調整的資訊**，分別為以下三種資料庫

: ◆

edb（事件資料庫）

:在三個資料庫中，

edb無疑是最大的，它儲存的是所有底層的探測器和監視器所捕捉到的所有的事件。

◆kdb

（知識資料庫）

:在知識資料庫中，將系統的狀態進行了引數化的定義，這些引數將為系統的安全管理提供詳細的資料說明和定義。

◆udb

（使用者資料庫）

:在使用者資料庫中，儲存的是使用者的行為和其他與使用者相關的事件。

ossim功能架構

ossim

的功能一共可以劃分為

9個層次，各個層次之間是無逢連線的，底層的資料為上層的處理提供資訊**。

模式匹配

大部分傳統的探測器都使用模式探測，乙個比較常見的例子就是

ids（入侵檢測系統）。模式探測就是將收集到的資訊與已知的網路入侵和系統誤用模式資料庫進行比較，來發現違背安全策略的入侵行為。該過程可以很簡單，也可以很複雜。

一種進攻模式可以利用乙個過程或乙個輸出表示。這種檢測方法只需收集相關的資料集合就能進行判斷，能減少系統占用，並且技術已相當成熟，檢測準確率和效率也相當高。但是，該技術需要不斷進行公升級以對付不斷出現的攻擊手法，並且不能檢測未知攻擊手段。

異常監測

異常檢測首先給系統建立乙個統計描述，包括統計正常使用時的測量屬性，如訪問次數、操作失敗次數和延時等。測量屬性的平均值被用來與網路、系統的行為進行比較，當觀察值在正常值範圍之外時，

ids就會判斷有入侵發生。

異常檢測乙個突出的優點就是它的自學習能力，使用者不用告訴系統哪些是正常行為哪些是非正常行為，異常檢測根據已經定義好的行為描述，當檢測到的行為違背了這個正常行為的描述時，會自動發出警報。

異常檢測的優點是可以檢測到未知入侵和複雜的入侵，缺點是誤報、漏報率高。誤報是可以容受的，但是漏報就是應該避免的。但是由於網路入侵行為的多樣性和複雜性，現在還不能給出乙個相對精確的正常行為和非正常性行為的確切描述。

集中化和規範化

集中化和規範化的目標是通過某些協議將安全事件的處理進行統一管理。目前幾乎所有的安全產品都傾向於採用標準的協議進行集中化的管理，這種管理在某種程度上將會更加有利於全域性控制並且清晰，但是由於各種開源安全產品之間存在各種差異，如何在他們的基礎上提供一種有效的集中化和正規化的管理方式，是

ossim

必須要解決的問題。

規範化需要一種翻譯機制，這種機制能夠將來自於不同監測器所捕捉的事件資訊或者報警資訊進行統一型別規範處理，處理之後形成一種能夠被系統接納的資訊。

ossim

中採用事件資料庫同時利用控制台進行相關事件的處理和顯示。

優先順序乙個系統的優先順序取決於系統的拓撲結構及系統的執行狀態，總而言之，乙個事件的安全級完全根據系統的實際情況和安全策略來決定。

優先順序制定是在系統收到報警資訊之後乙個非常重要的步驟，這個步驟完成的是對這些資訊的過濾，同時也把收到的報警資訊進行排隊，優先處理對於系統威脅較大的事件。

危險評估

系統中乙個事件重要與否主要取決於三個因素，分別為與事件相關的安全評估值

;事件對系統所能造成的危險程度

;事件能夠發生的可能性。危險評估通過綜合上述三個事件要素給出每個系統安全事件的危險評估值並讓相應元件完成處理。

互動在

ossim

中，互動指的是對於輸入資料和輸出資料的操作。由於網路事件的複雜性，多數情況下乙個探測器收到的資訊並非乙個事件的完整輸入，只是其中的乙個組成部分，如何將這些部分的資訊進行組合形成完整的系統需要的資訊**就是互動所要完成的事情。

監視器監視器有一系列的探測工具組合而成，完成五個方面的功能

,分別為危險監視、使用

profile

監視、路徑監視、硬連線分析和軟連線分析。

控制台控制台提供使用者乙個系統收集到的所有事件資訊的訪問介面。控制台也是乙個基於事件資料庫的搜尋引擎，能夠讓管理人員從一種更加集中的方式針對整個系統的安全狀態分析每乙個安全事件。同時，控制台的存在也給我們提供了關於乙個安全事件最為詳細的相關資訊，這為事件的處理提供依據和**。

雖然目前

ossim

更多地停留在研究和探索階段，但是其本身的優勢確是顯而易見的，

ossim

的開源特性和透明性，以及它所能提供的整體的安全解決方案是目前其他商業安全軟體所無法比擬的。

目前ossim

還是存在著不足和缺陷，主要體現在本身架構的不成熟和相關元件存在安全缺陷，但隨著研究的不斷深入和更多優秀開源安全工具的加入，

ossim

的應用將得到更大的普及。

OSSIM解決方案

mysql 解決方案 Mysql解決方案

android OOM解決方案

tcp timetou 解決方案

OSSIM解決方案

mysql 解決方案 Mysql解決方案

android OOM解決方案

tcp timetou 解決方案

相關推薦