一肾请、現(xiàn)狀

現(xiàn)在網(wǎng)絡(luò)威脅從傳統(tǒng)的病毒進(jìn)化到像蠕蟲和拒絕服務(wù)等等的惡意攻擊诚亚，當(dāng)今的網(wǎng)絡(luò)威脅攻擊復(fù)雜程度越來(lái)越高岂昭，己不再局限于傳統(tǒng)病毒，盜號(hào)木馬崎溃、僵尸網(wǎng)絡(luò)、間諜軟件避归、流氓軟件荣月、網(wǎng)絡(luò)詐騙、垃圾郵件梳毙、蠕蟲哺窄、網(wǎng)絡(luò)釣魚等等嚴(yán)重威脅著網(wǎng)絡(luò)安全。網(wǎng)絡(luò)攻擊經(jīng)常是融合了病毒账锹、蠕蟲萌业、木馬、間諜奸柬、掃描技術(shù)于一身的混合式攻擊生年。黑客利用蠕蟲制造僵尸網(wǎng)絡(luò)，整合更多的攻擊源廓奕，集中對(duì)目標(biāo)展開猛烈的拒絕服務(wù)攻擊抱婉。這樣單一的防病毒軟件或是防火墻等安全設(shè)備很難阻擋住黑客的攻擊，所以需要一種更先進(jìn)的聯(lián)動(dòng)系統(tǒng)來(lái)防止各種攻擊行為桌粉，這時(shí)就誕生了OSSIM這種安全信息管理平臺(tái)蒸绩。

二、OSSIM簡(jiǎn)介

OSSIM通過(guò)將開源產(chǎn)品進(jìn)行集成铃肯，從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺(tái)患亿。它的目的是提供一種集中式、有組織的押逼，能夠更好地進(jìn)行監(jiān)測(cè)和顯示的框架式系統(tǒng)步藕。OSSIM 明確定位為一個(gè)集成解決方案，其目標(biāo)并不是要開發(fā)一個(gè)新的功能挑格，而是利用豐富的咙冗、強(qiáng)大的各種程序(包括Mrtg、Snort漂彤、Nmap乞娄、Openvas以及Ntop等開源系統(tǒng)安全軟件)。在一個(gè)保留他們?cè)泄δ芎妥饔玫拈_放式架構(gòu)體系環(huán)境下显歧，將他們集成起來(lái)仪或，到目前為止OSSIM支持多達(dá)2395種插件（http://www.alienvault.com/community/plugins）。而OSSIM項(xiàng)目的核心工作在于負(fù)責(zé)集成和關(guān)聯(lián)各種產(chǎn)品提供的信息士骤， 同時(shí)進(jìn)行相關(guān)功能的整合范删。由于開源項(xiàng)目的優(yōu)點(diǎn)，這些工具已經(jīng)是久經(jīng)考驗(yàn)拷肌，同時(shí)也經(jīng)過(guò)全方位測(cè)試到旦、可靠的工具旨巷。

OSSIM功能結(jié)構(gòu)圖

1.OSSIM流程分析

下面我們簡(jiǎn)單分析一下OSSIM的系統(tǒng)工作流程：

1）.作為整個(gè)系統(tǒng)的安全插件的探測(cè)器(Sensor)執(zhí)行各自的任務(wù)，當(dāng)發(fā)現(xiàn)問(wèn)題時(shí)給予報(bào)警添忘。

2).各探測(cè)器的報(bào)警信息將被采集集中采呐。

3).將各個(gè)報(bào)警記錄解析并存入事件數(shù)據(jù)庫(kù)(EDB)。

4).根據(jù)設(shè)置的策略(policy)給每個(gè)事件賦予一個(gè)優(yōu)先級(jí)(priority)搁骑。

5).對(duì)事件進(jìn)行風(fēng)險(xiǎn)評(píng)估斧吐，給每個(gè)警報(bào)計(jì)算出一個(gè)風(fēng)險(xiǎn)系數(shù)。

6).將設(shè)置了優(yōu)先級(jí)的各事件發(fā)送至關(guān)聯(lián)引擎仲器，關(guān)聯(lián)引擎將對(duì)事件進(jìn)行關(guān)聯(lián)煤率。

注意:關(guān)聯(lián)引擎就是指在各入侵檢測(cè)傳感器(入侵檢測(cè)系統(tǒng)、防火墻等)上報(bào)的告警事件基礎(chǔ)上乏冀，經(jīng)過(guò)關(guān)聯(lián)分析形成入侵行為判定蝶糯，并將關(guān)聯(lián)分析結(jié)果報(bào)送控制臺(tái)。

7).對(duì)一個(gè)或多個(gè)事件進(jìn)行了關(guān)聯(lián)分析后辆沦，關(guān)聯(lián)引擎生成新的報(bào)警記錄昼捍，將其也賦予優(yōu)先級(jí)，并進(jìn)行風(fēng)險(xiǎn)評(píng)估肢扯，存入數(shù)據(jù)庫(kù)妒茬。

8).用戶監(jiān)控監(jiān)視器將根據(jù)每個(gè)事件產(chǎn)生實(shí)時(shí)的風(fēng)險(xiǎn)圖。

9).在控制面板中給出最近的關(guān)聯(lián)報(bào)警記錄鹃彻，在底層控制臺(tái)中提供全部的事件記錄。

2．OSSIM的模塊組成

OSSIM信息安全集成管理系統(tǒng)設(shè)計(jì)成由安全插件妻献、代理進(jìn)程(Agent）蛛株、關(guān)聯(lián)引擎(Server）、數(shù)據(jù)倉(cāng)庫(kù)(Database）育拨、Web框架(Framework)5個(gè)部分構(gòu)成谨履。

1).安全插件(Plug-ins)即各類安全產(chǎn)品和設(shè)施．如防火墻、IDS等熬丧。這里引入如下Linux下的開源安全工具：Arpwatch笋粟、P0f、Snort析蝴、Nesus害捕、Spade、Tcptrack闷畸、Ntop尝盼、Nagios、Osiris這些plugins分別針對(duì)網(wǎng)絡(luò)安全的某一方面佑菩，總的來(lái)說(shuō)盾沫，可以將它們劃分為探測(cè)器(detector)和監(jiān)視器(monitor)兩大陣營(yíng)裁赠。將它們集成關(guān)聯(lián)起來(lái)是安全集成的目的。

2).代理進(jìn)程

代理進(jìn)程(Agent)將運(yùn)行在多個(gè)或單個(gè)主機(jī)上赴精，負(fù)責(zé)從各安全設(shè)備佩捞、安全工具采集相關(guān)信息(比如報(bào)警日志等)，并將采集到的各類信息統(tǒng)一格式蕾哟，再將這些數(shù)據(jù)傳至server一忱。

Agent的主要功能是接收或主動(dòng)抓取plugin發(fā)送過(guò)來(lái)或者生成的文件型日志,經(jīng)過(guò)預(yù)處理然后有序地傳送到OSSIM的Server,他的功能很復(fù)雜,因?yàn)樗脑O(shè)計(jì)要考慮到如果Agent和Server之間的網(wǎng)絡(luò)中斷、擁堵渐苏、丟包掀潮、以及Server端可能接收不過(guò)來(lái)甚至死掉等情況下，確保日志不丟失也不漏發(fā)琼富，基于這個(gè)考慮仪吧，OSSIM的日志處理大部分情況下不能做到實(shí)時(shí)，通常會(huì)在Agent端緩存一段時(shí)間才會(huì)發(fā)送到Server端去鞠眉。Agent會(huì)主動(dòng)連兩個(gè)端口與外界通信或傳輸數(shù)據(jù)薯鼠，一個(gè)是連Server的40001端口,另一個(gè)是連數(shù)據(jù)庫(kù)的3306端口。

3).傳感器（Sensor）

傳感器（Sensor）通常我們會(huì)理解為一段程序械蹋，但它不是一個(gè)確定的程序,而是一個(gè)邏輯單元的概念出皇，在OSSIM中，把Agent和插件構(gòu)成的一個(gè)具有網(wǎng)絡(luò)行為監(jiān)控功能的組合稱為一個(gè)傳感器（Sensor）, Sensor的功能范圍主要有：

入侵檢測(cè)(snort)

漏洞掃描(nessus)

異常檢測(cè)(Spade, p0f, pads, arpwatch, RRD ab behaviour)

網(wǎng)絡(luò)流量監(jiān)控與剖析（ntop）

采集本地路由器哗戈、防火墻郊艘、IDS等硬件設(shè)備日志作為防火墻使用在具體的部署中，以上功能通澄ㄒВ可以部署在一臺(tái)服務(wù)器上纱注，也可以分多臺(tái)服務(wù)器部署。

4).關(guān)聯(lián)引擎

關(guān)聯(lián)引擎(Server)是OSSIM安全集成管理系統(tǒng)的核心部分胆胰，支持分布式運(yùn)行狞贱，負(fù)責(zé)將agents傳送來(lái)的事件進(jìn)行關(guān)聯(lián)，并對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估蜀涨。

5).數(shù)據(jù)倉(cāng)庫(kù)

數(shù)據(jù)倉(cāng)庫(kù)(Database)由Server將關(guān)聯(lián)結(jié)果寫入Database瞎嬉，此外，系統(tǒng)用戶(如安全管理員)也可通過(guò)Framework(web控制臺(tái))對(duì)Database進(jìn)行讀寫厚柳。數(shù)據(jù)倉(cāng)庫(kù)是整個(gè)系統(tǒng)事件分析和策略調(diào)整的信息來(lái)源,從總體上將其劃分為事件數(shù)據(jù)庫(kù)(EDB)氧枣；知識(shí)數(shù)據(jù)庫(kù)(KDB)：用戶數(shù)據(jù)庫(kù)(UDB)。OSSIM系統(tǒng)默認(rèn)使用的Mysql 監(jiān)聽端口是3306,在系統(tǒng)中數(shù)據(jù)庫(kù)的負(fù)擔(dān)最重因?yàn)樗舜鎯?chǔ)數(shù)據(jù)還要對(duì)其進(jìn)行分析整理别垮，所以實(shí)時(shí)性不強(qiáng)挑胸，這也是OSSIM架構(gòu)最大的缺陷。

6).Web框架

Web框架(Framework)控制臺(tái)宰闰，提供用戶(安全管理員)Web頁(yè)面從而控制系統(tǒng)的運(yùn)行(例如設(shè)置策略)茬贵，是整個(gè)系統(tǒng)的前端簿透，用來(lái)實(shí)現(xiàn)用戶和系統(tǒng)的B/S模式交互（實(shí)際上是C/S+B/S的混合模式）。Framework可以分為2個(gè)部分：Frontend即是系統(tǒng)的一個(gè)Web頁(yè)面解藻，提供系統(tǒng)的用戶終端老充；Frameworkd是一個(gè)守護(hù)進(jìn)程,它綁定OSSIM的知識(shí)庫(kù)和事件庫(kù)，偵聽端口是40003螟左，它負(fù)責(zé)將Fromend收到的用戶指令和系統(tǒng)的其他組件相關(guān)聯(lián)啡浊，并繪制Web圖表供前端顯示。

三胶背、 部署OSSIM

對(duì)于共享網(wǎng)絡(luò)巷嚣，只需將連接到共享網(wǎng)絡(luò)中的流量采集點(diǎn)的網(wǎng)絡(luò)接口置為混雜工作模式，就可實(shí)現(xiàn)采集網(wǎng)絡(luò)流量數(shù)據(jù)的功能钳吟。與交換網(wǎng)絡(luò)相比廷粒，網(wǎng)絡(luò)發(fā)生擁塞時(shí)，集線器網(wǎng)絡(luò)的可靠性很低红且，SNMP問(wèn)詢命令和回應(yīng)數(shù)據(jù)包可能發(fā)生延遲或丟失坝茎，這時(shí)候NTOP也就檢測(cè)數(shù)據(jù)就不準(zhǔn)確，對(duì)于交換網(wǎng)絡(luò)的情況暇番，需要交換設(shè)備的支持(如具有SPAN端口的交換機(jī))嗤放。

Ossim流量采集主機(jī)一般連接到服務(wù)器Vlan所在交換設(shè)備的一個(gè)端口，通過(guò)交換機(jī)的SPAN至(Switched PortAnalyzer)端口把要分析的所有流量鏡像到該采集點(diǎn)上壁酬。SPAN在使用中非常靈活次酌，可以監(jiān)視交換機(jī)的單個(gè)端口，也可以監(jiān)視多個(gè)源端口舆乔，但目的端口只能有一個(gè)岳服。在一些流量比較大網(wǎng)絡(luò)應(yīng)用中，我們一般選用用兩個(gè)網(wǎng)卡（建議用萬(wàn)兆網(wǎng)卡）蜕煌，做雙網(wǎng)卡綁定從而使網(wǎng)卡吞吐性能倍增派阱。

Ossim的部署如圖所示诬留，注意如果要分析上互聯(lián)網(wǎng)流量斜纪，采集端口就要放在防火前之后，交換機(jī)之上的位置文兑。

安裝Ossim和普通Linux發(fā)行版沒有什么區(qū)別盒刚，在企業(yè)環(huán)境部署的時(shí)候參照前面一節(jié)講解的Ntop原則，硬件選擇方面我們部署最新版的Ossim需要獨(dú)立的一臺(tái)高性能服務(wù)器（服務(wù)器內(nèi)存至少16G以上且配備了多路處理器绿贞，硬盤空間不低于1TB）因块，安裝選擇自定義安裝，到分區(qū)選項(xiàng)中我們選擇Guided-use entire disk and set up LVM籍铁；分區(qū)定義時(shí)不要選擇"All files in one partition"而需要選擇第三項(xiàng)將 /home,/usr/,/var,/tmp分為獨(dú)立分開涡上。

安裝完畢重啟機(jī)器,然后再客戶機(jī)輸入你機(jī)器的IP地址趾断，這里是?http://192.168.X.Y/

首次登陸系統(tǒng)輸入用戶admin,密碼:admin（對(duì)于ossim v2.3.1而言），這時(shí)系統(tǒng)提示修改密碼吩愧。由于OSSIM是用精簡(jiǎn)的Debian Linux通過(guò)優(yōu)化裁剪而成芋酌，所以沒有X-window。

安裝后的流程

在配置好網(wǎng)絡(luò)之后首次登陸建議進(jìn)行系統(tǒng)升級(jí)alienvault(同時(shí)也升級(jí)漏洞庫(kù))雁佳，升級(jí)方法非常簡(jiǎn)單輸入:

#apt-get update 脐帝；apt-get dist-upgrade

首次升級(jí)數(shù)據(jù)量比較大，通常在400MB 左右糖权，這時(shí)需要你的網(wǎng)絡(luò)環(huán)境比較好堵腹。這里需要注意一下整個(gè)系統(tǒng)的配置文件在/etc/ossim/ossim_setup.conf里配置，包含了登陸Ip信息星澳、主機(jī)名疚顷、監(jiān)聽網(wǎng)卡名稱、mysql名募判、Snmp荡含、啟動(dòng)的Sensors類別、監(jiān)聽的網(wǎng)段等重要信息届垫。

4系統(tǒng)配置

1).要啟動(dòng)IT資產(chǎn)管理释液，首先要啟動(dòng)OCS服務(wù)

要啟動(dòng)Ocs服務(wù)需要運(yùn)行下面兩個(gè)腳本后，就可以看到系統(tǒng)組件分布情況

#cd /usr/share/ossim-installer/ocs/

#./install_ocs.sh

#./OCS_Linux_server_1.01.OSSIM/setup.sh

OCS用于幫助網(wǎng)絡(luò)或系統(tǒng)管理員來(lái)跟蹤網(wǎng)絡(luò)中計(jì)算機(jī)配置與軟件安裝情況的應(yīng)用程序装处。收集到硬件和系統(tǒng)信息误债，OCS Inventory 也可以用來(lái)發(fā)現(xiàn)在您網(wǎng)絡(luò)中所有的活動(dòng)設(shè)備，例如妄迁，交換機(jī)寝蹈、路由器、網(wǎng)絡(luò)打印機(jī)登淘。

OSSIM主界面

當(dāng)通過(guò)驗(yàn)證進(jìn)入系統(tǒng)后箫老，立刻展現(xiàn)在我們眼前的是事件，日志和評(píng)估風(fēng)險(xiǎn)的圖像黔州，如果沒有顯示完整很可能你的瀏覽器不支持Flash插件耍鬓。

2）.監(jiān)控服務(wù)器區(qū)域的網(wǎng)段進(jìn)行掃描獲取主機(jī)基本信息

點(diǎn)擊Tools→Net Discovery，選擇手動(dòng)掃描流妻，輸入CIDR地址牲蜀，這里是192.168.XY/24 ,表示這個(gè)網(wǎng)段的IP地址從192.168XX開始到192.168.YY結(jié)束,掃描模式一般選擇"FastScan"，如果機(jī)器數(shù)量大于5臺(tái)建議不要選擇"Full Scan",如果掃描時(shí)間以機(jī)器數(shù)量為準(zhǔn)绅这。掃描完成后忘記確認(rèn)“Update database values”更新數(shù)據(jù)庫(kù)涣达。這一步剛剛完成收集主機(jī)的基本信息的任務(wù)，下面進(jìn)行更詳細(xì)的主機(jī)分析-主機(jī)的安全信息和事件分析管理。

3）.對(duì)指定主機(jī)進(jìn)行漏洞掃描

選擇Analysis→Vulnerabilities→Scan Jobs→新建掃描任務(wù)度苔，我們填寫網(wǎng)段的基本信息匆篓，如上圖所示

填寫完畢后為確保沒有錯(cuò)誤，點(diǎn)擊"Configuration Check"對(duì)配置文件進(jìn)行檢查確認(rèn)寇窑。整個(gè)掃描的內(nèi)容之詳細(xì)是你所無(wú)法想象的奕删，一會(huì)兒我們看看結(jié)果。

上圖中列出了掃描完成后自動(dòng)生成的餅圖疗认，顯示出當(dāng)前主機(jī)的安全等級(jí)和開放的服務(wù)完残。深紅色的區(qū)域（High 27）表示高危主機(jī)有嚴(yán)重的漏洞，需要處理横漏。

詳情在Reports選項(xiàng)卡中谨设，在這里紅色區(qū)域的主機(jī)就需要工程師們仔細(xì)排查處理了，如果您覺得這還不過(guò)癮缎浇，稍后我們會(huì)詳細(xì)講一個(gè)解漏洞掃描案例扎拣。

如果您的領(lǐng)導(dǎo)需要查看掃描報(bào)告，這時(shí)只需在下圖位置

Scan Jobs里選擇相應(yīng)輸出類型即可素跺，默認(rèn)系統(tǒng)支持excel二蓝、pdf、html等格式輸出指厌。 下圖就是生成的長(zhǎng)達(dá)143頁(yè)的報(bào)告刊愚。

我們還可以對(duì)報(bào)告進(jìn)行定制，在右邊的Reports→Reports

在這里監(jiān)控主機(jī)狀態(tài)的工作變得十分容易踩验，我們選擇Assets→Assets→New添加

在這里添加主機(jī)和服務(wù)變得更加直觀鸥诽，而且我們可以更加方便的查看網(wǎng)絡(luò)拓?fù)洌€可以顯示每一臺(tái)主機(jī)的信息箕憾。

3．DDOS攻擊告警提示

當(dāng)網(wǎng)絡(luò)中出現(xiàn)DDOS攻擊是牡借，通過(guò)OSSIM系監(jiān)控圖像可以明顯看出在某一時(shí)間段內(nèi)的流量激增，如果這時(shí)通過(guò)EtherApe可以很容易發(fā)現(xiàn)被攻擊的服務(wù)器連接數(shù)量相當(dāng)高袭异，下圖中綠色的大圓點(diǎn)就是受攻擊的那臺(tái)服務(wù)器钠龙，綠色小圓點(diǎn)就是虛構(gòu)出來(lái)的IP地址，統(tǒng)統(tǒng)被EtherApe實(shí)時(shí)記錄下來(lái)御铃。

EtherApe軟件中顯示TCP半連接狀態(tài)分布圖

然后碴里，還可以通過(guò)命令“netstat -an|grep SYN_RECV|wc –l”，如果數(shù)值很高例如達(dá)到上千數(shù)值畅买，那么肯定是受到了攻擊并闲。

下圖中OSSIM系統(tǒng)中的Snort記錄的被DDOS過(guò)成功的告警信息的圖像

4.漏洞掃描應(yīng)用

企業(yè)中查找漏洞要付出很大的努力细睡，不能簡(jiǎn)單的在服務(wù)器上安裝一個(gè)漏洞掃描軟件那么簡(jiǎn)單谷羞，那樣起不了多大作用。這并不是因?yàn)槠髽I(yè)中擁有大量服務(wù)器和主機(jī)設(shè)備，這些服務(wù)器和設(shè)備又通不同速率的網(wǎng)絡(luò)互聯(lián)湃缎，只是我們?cè)谄谕臅r(shí)間內(nèi)無(wú)法獲得所需的覆蓋范圍犀填。

目前許多歐美的國(guó)際安全組織都按照自己分類準(zhǔn)則建立了各自的數(shù)據(jù)庫(kù)其中主流是CVE和，XForce嗓违。他的好處是九巡，當(dāng)網(wǎng)絡(luò)出現(xiàn)安全事故，入侵檢測(cè)系統(tǒng)(IDS)產(chǎn)生警報(bào)時(shí)蹂季，像CVE這類標(biāo)準(zhǔn)的系統(tǒng)脆弱性數(shù)據(jù)庫(kù)網(wǎng)絡(luò)安全工作就顯得極為重要!冕广，目前在中國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心（CNCERT/CC）領(lǐng)導(dǎo)下，國(guó)內(nèi)也組建了自己的CVE 組織——CNCVE偿洁，CNCVE 的組建目的就是建設(shè)一個(gè)具有中國(guó)特色的撒汉，能為國(guó)內(nèi)廣大用戶服務(wù)的CVE 組織。但是并不是說(shuō)擁有了CVE就囊括了所有漏洞問(wèn)題涕滋，除了這些開放的脆弱性數(shù)據(jù)庫(kù)外睬辐，還應(yīng)該存在大量的沒有對(duì)公眾開放的脆弱性數(shù)據(jù)庫(kù)。有的可能大家根本就不知道這些脆弱性數(shù)據(jù)庫(kù)的存在宾肺。

1.CVE

CVE （Common Vulnerabilities and Exposures）是由美國(guó)國(guó)土安全部門（US DepartmentOf Homeland Security溯饵，簡(jiǎn)稱DHS）成立，由非盈利組織MITRE 公司管理和維護(hù)至今锨用。Vulnerability（漏洞丰刊，脆弱性）這個(gè)詞匯可以有狹義和廣義多種解釋。比如說(shuō)：finger服務(wù)增拥，可能為入侵者提供很多有用的資料藻三，但是該服務(wù)本身有時(shí)是業(yè)務(wù)必須的，而且不能說(shuō)該服務(wù)本身有安全問(wèn)題跪者。

CVE標(biāo)準(zhǔn)命名

為方便獨(dú)立的脆弱性數(shù)據(jù)庫(kù)和不同安全工具彼此之間能夠更好地共享數(shù)據(jù)棵帽，如下圖脆弱性數(shù)據(jù)庫(kù)所示。CVE 的標(biāo)準(zhǔn)命名方式是由“CVE”渣玲、時(shí)間和編號(hào)共同組成逗概。例如，命名為“CVE-2008-6021”的條目表示2008 年第6021 號(hào)脆弱性忘衍。

CVE 的內(nèi)容是CVE 編輯委員會(huì)的合作努力的成果逾苫。這個(gè)委員會(huì)的成員來(lái)自于許多安全相關(guān)的組織，如軟件開發(fā)商枚钓、大學(xué)研究機(jī)構(gòu)铅搓、政府組織和一些優(yōu)秀的安全專家等，而且CVE 可以免費(fèi)閱讀和下載搀捷。

2.OSVDB

OSVDB （Open Source Vulnerability Database) 是由一個(gè)社團(tuán)組織創(chuàng)立并維護(hù)的獨(dú)立開源的數(shù)據(jù)庫(kù)星掰。它最早是在2002 年的Black Hat 和Defcon 安全會(huì)議上提出的一項(xiàng)服務(wù)多望，它提供了一個(gè)獨(dú)立于開發(fā)商的脆弱性數(shù)據(jù)庫(kù)實(shí)現(xiàn)方案。和CVE一樣OSVDB 數(shù)據(jù)庫(kù)也是開源并且免費(fèi)的氢烘。它由安全事業(yè)愛好者來(lái)維護(hù)怀偷，向個(gè)人和商業(yè)團(tuán)體免費(fèi)開放。兩者的差異在于CVE提供標(biāo)準(zhǔn)名稱播玖，可以通俗理解為數(shù)據(jù)字典椎工，而OSVDB 為每一條脆弱性提供了詳盡的信息，OSVDB需要參考CVE的名稱蜀踏。

3.BugTraq

BugTraq 是由Security Focus 管理的Internet 郵件列表维蒙，現(xiàn)在已被賽門鐵克公司收購(gòu)。在電腦安全世界果覆，BugTraq 相當(dāng)于最權(quán)威的專業(yè)雜志木西。大多數(shù)安全技術(shù)人員訂閱Bugtraq，因?yàn)檫@里可以搶先獲得關(guān)于軟件随静、系統(tǒng)漏洞和缺陷的信息八千，還可以學(xué)到修補(bǔ)漏洞和防御反擊的招數(shù)。

選擇“Status Map”,在Layout Method選項(xiàng)中選擇Balanced tree,結(jié)果如下圖燎猛，若主機(jī)過(guò)多恋捆，圖像現(xiàn)實(shí)會(huì)非常密集，可以調(diào)整Scaling factor的數(shù)值重绷，直到滿意效果沸停。

可以展示所有主機(jī)開放應(yīng)用的情況，也可以反映出某一主機(jī)的應(yīng)用在每個(gè)時(shí)間段的工作情況昭卓，綠色表示正常愤钾，紅色表示有故障發(fā)生，需要處理候醒。

OSSIM不但能夠?qū)⒕W(wǎng)絡(luò)主機(jī)的各種信息和數(shù)據(jù)進(jìn)行存儲(chǔ)加工能颁，自己的健康狀況也一點(diǎn)也不含糊的顯示出來(lái)，從Disk 倒淫、Network伙菊、 Postfix、 Processes敌土、 Sensors镜硕、 System 各個(gè)方面幾十張圖標(biāo)記錄著各種運(yùn)行狀態(tài)，以供管理員及時(shí)處理返干。

四．OSSIM的后臺(tái)管理及配置

OSSIM不但功能強(qiáng)大兴枯，它還提供了友好的管理界面，我們選擇左邊導(dǎo)航欄的Configuration→Main→Advanced現(xiàn)象就可以看到主要各子系統(tǒng)的基本配置情況矩欠。下圖顯示了修改snort的基本配置财剖，和OSSIM的備份目錄悠夯。

如果你對(duì)他們有所了解，還可以對(duì)snort和nessus做十分復(fù)雜的交叉管理配置峰伙，點(diǎn)擊"Intelligence→Cross Correlation"在rules選項(xiàng)卡中展示了7363種規(guī)則，若需要改則用鼠標(biāo)選中某一種點(diǎn)擊"Modify",不過(guò)這些修改要慎重该默，否則會(huì)影響OSSIM整體效率瞳氓。

通常我們只要里面選取我們所需要的就行了。這里需要說(shuō)明一下IDS實(shí)質(zhì)上歸結(jié)為對(duì)安全審計(jì)數(shù)據(jù)的處理栓袖。這種處理可以針對(duì)網(wǎng)絡(luò)數(shù)據(jù),也可以針對(duì)主機(jī)的日志文件匣摘。一般就是采用類似病毒檢測(cè)的辦法，對(duì)各種已知的攻擊方式進(jìn)行特征提取裹刮，建立攻擊模式庫(kù)音榜，通過(guò)實(shí)際的檢測(cè)數(shù)據(jù)與模式庫(kù)的比較來(lái)檢測(cè)入侵行為。

五.Ossim系統(tǒng)優(yōu)化

1.加裝雙網(wǎng)卡提高OSSIM性能

在長(zhǎng)期的部署應(yīng)用中發(fā)現(xiàn)傳統(tǒng)的服務(wù)器集成的網(wǎng)卡來(lái)收集捧弃、分析數(shù)據(jù)包數(shù)據(jù)包應(yīng)用范圍比較狹窄赠叼，例如在出口帶寬為100M的路由器的接口，如果監(jiān)控企業(yè)內(nèi)網(wǎng)高速網(wǎng)絡(luò)則會(huì)出現(xiàn)大量丟包失去了監(jiān)控的意義违霞。筆者建議除了選用高性能服務(wù)器意外嘴办，還應(yīng)在服務(wù)器另外加裝雙千兆高性能網(wǎng)卡

2.與其他流量監(jiān)控軟件集成（此處與Cacti的集成）

有的人喜歡Cacti的流量監(jiān)控，或以前企業(yè)中已經(jīng)部署有Cacti流量監(jiān)控系統(tǒng)买鸽，那么可以繼承起來(lái)涧郊，集成到OSSIM中，這時(shí)我們需要修改一下php代碼眼五，首先需要安裝cacti并配置好妆艘，然后我們需要編輯/usr/share/ossim/www/menu_options.php文件（大約在1044行的位置加入如下代碼） 。

$menu["Monitors"][] = array(

"name" => gettext("Cacti"),

"id" => "Cacti",

"url" => "http://192.168.XY/cacti",

);

$menu["Monitors"][] = array(

"name" => gettext("Zabbix"),

"id" => "Zabbix",

"url" => "http://192.168.X.Y/zabbix",

);

Ossim和Cacti集成界面

同樣方法額可以和Zabbix和Mrtg流量監(jiān)控系統(tǒng)集成看幼。

六批旺、實(shí)戰(zhàn)準(zhǔn)備

OSSIM可以圖形化安裝配置系統(tǒng)，像安裝視微軟視窗系統(tǒng)那樣簡(jiǎn)單诵姜，不必在命令行下輸入繁瑣的命令朱沃，也不必顧及那些繁瑣開源軟件共享庫(kù)，編譯依賴關(guān)系等技術(shù)細(xì)節(jié)茅诱，就連配置OSSIM過(guò)程也是基于Web的圖形化向?qū)Х绞匠尸F(xiàn)給用戶逗物。首次接觸OSSIM用戶建議從低版本系統(tǒng)開始研究，不但安裝瑟俭、啟動(dòng)快速而且能為你節(jié)約很多資源翎卓。

OSSIM v2.3.1?下載地址

不積小流,無(wú)以成江海，v2.3.1是初學(xué)者首次認(rèn)知OSSIM比較理想的版本摆寄，平臺(tái)的學(xué)習(xí)切勿貪大求新失暴！

實(shí)驗(yàn)最低配置要求：

CPU： 1 core

RAM : 1 + GB

DISK: 10+ GB

Vmware和VirtualBOX各版本均支持坯门。