第一篇：Ossim應(yīng)用入門

在《OSSIM在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用》http://chenguang.blog.51cto.com/350944/802007這篇文章發(fā)布之后，很多同行對(duì)ossim表示了極大關(guān)注,紛紛來信咨詢?nèi)绾尾渴鸷褪褂眠@套系統(tǒng)比庄。在接下來的時(shí)間里我將總結(jié)這套系統(tǒng)的安裝和使用的方法給大家分享鸭你。

1??OSSIM背景介紹

——目前鲫竞，網(wǎng)絡(luò)威脅從傳統(tǒng)的病毒進(jìn)化到像蠕蟲叁怪、拒絕服務(wù)等的惡意攻擊蕊连，當(dāng)今的網(wǎng)絡(luò)威脅攻擊復(fù)雜程度越來越高缎脾，已不再局限于傳統(tǒng)病毒祝闻，盜號(hào)木馬、僵尸網(wǎng)絡(luò)遗菠、間諜軟件联喘、流氓軟件、網(wǎng)絡(luò)詐騙辙纬、垃圾郵件豁遭、蠕蟲、網(wǎng)絡(luò)釣魚等嚴(yán)重威脅著網(wǎng)絡(luò)安全贺拣。網(wǎng)絡(luò)攻擊經(jīng)常是融合了病毒蓖谢、蠕蟲捂蕴、木馬、間諜闪幽、掃描技術(shù)于一身的混合式攻擊啥辨。拒絕服務(wù)攻擊（DOS）已成為黑客及蠕蟲的主要攻擊方式之一。黑客利用蠕蟲制造僵尸網(wǎng)絡(luò)盯腌，整合更多的攻擊源溉知，對(duì)目標(biāo)集中展開猛烈的拒絕服務(wù)攻擊。而且攻擊工具也越來越先進(jìn)腕够，例如掃描工具不僅可以快速掃描網(wǎng)絡(luò)中存在漏洞的目標(biāo)系統(tǒng)级乍，還可以快速植入攻擊程序。

——因此帚湘，網(wǎng)絡(luò)安全管理的重要性和管理困難的矛盾日益突出卡者。網(wǎng)絡(luò)安全是動(dòng)態(tài)的系統(tǒng)工程嚼蚀，只有從與網(wǎng)絡(luò)安全相關(guān)的海量數(shù)據(jù)中實(shí)時(shí)梭域、準(zhǔn)確地獲取有用信息并加以分析居灯，及時(shí)地調(diào)整各安全子系統(tǒng)的相關(guān)策略勉耀，才能應(yīng)對(duì)目前日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅贫贝。

——此外犁享，IDS安全工具存在的錯(cuò)報(bào)澈驼、漏報(bào)也是促成安全集成思想的原因之一畏纲。以IDS為例建邓，總的來說盈厘，入侵檢測(cè)的方案有基于預(yù)定義規(guī)則的檢測(cè)和基于異常的檢測(cè)，判斷檢測(cè)能力的2個(gè)指標(biāo)為靈敏度和可靠性官边。不可避免的沸手，不論是基于預(yù)定義規(guī)則的檢測(cè)還是基于異常的檢測(cè)，由于防范總是滯后于攻擊注簿，其必然會(huì)遇到漏報(bào)契吉、錯(cuò)報(bào)的問題。而安全集成則由于其集成聯(lián)動(dòng)分析了多個(gè)安全工具诡渴，使得檢測(cè)能力即靈敏度和可靠性都得到大幅提升捐晶。綜上所述，我們需要將各網(wǎng)絡(luò)安全子系統(tǒng)妄辩，包括防火墻惑灵、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)眼耀、漏洞掃描系統(tǒng)英支、安全審計(jì)系統(tǒng)等整合起來，在信息共享的基礎(chǔ)上哮伟，建立起集中的監(jiān)控干花、管理平臺(tái)妄帘，使各子系統(tǒng)既各司其職，又密切合作把敢，從而形成統(tǒng)一的寄摆、有機(jī)的網(wǎng)絡(luò)防御體系，來共同抵御日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅修赞。

——綜上所述婶恼，就是將前面介紹過的Nagios、Ntop柏副、OpenVas勾邦、Snort、Nmap割择、Ossec這些工具集成在一起提供綜合的安全保護(hù)功能眷篇，而不必在各個(gè)系統(tǒng)中來回切換，且統(tǒng)一了數(shù)據(jù)存儲(chǔ)荔泳，人們能得到一站式的服務(wù)蕉饼，這就是OSSIM給我們帶來的好處，我們這一節(jié)的目標(biāo)就是將它的主要功能展示出來玛歌。

——OSSIM通過將開源產(chǎn)品進(jìn)行集成昧港，從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺(tái)。它的目標(biāo)是提供一種集中式支子、有組織的创肥，能夠更好地進(jìn)行監(jiān)測(cè)和顯示的框架式系統(tǒng)。OSSIM明確定位為一個(gè)集成解決方案值朋，其目標(biāo)并不是要開發(fā)一個(gè)新的功能叹侄，而是利用豐富的、強(qiáng)大的各種程序（包括Mrtg昨登、Snort趾代、Nmap、Openvas以及Ntop等開源系統(tǒng)安全軟件）篙骡。在一個(gè)保留它們?cè)泄δ芎妥饔玫拈_放式架構(gòu)體系環(huán)境下稽坤，將它們集成起來。到目前為止糯俗，OSSIM支持多達(dá)兩千多種插件（http://www.alienvault.com/community/plugins）。而OSSIM項(xiàng)目的核心工作在于負(fù)責(zé)集成和關(guān)聯(lián)各種產(chǎn)品提供的信息睦擂，同時(shí)進(jìn)行相關(guān)功能的整合得湘，如圖1所示。由于開源項(xiàng)目的優(yōu)點(diǎn)顿仇，這些工具已經(jīng)久經(jīng)考驗(yàn)淘正，同時(shí)也經(jīng)過全方位測(cè)試摆马，更加可靠。

圖1?OSSIM提供功能的層次結(jié)構(gòu)圖

Ossim適用人群：

1.打算利用開源技術(shù)建立企業(yè)級(jí)SIEM系統(tǒng)用戶

2.打算集成現(xiàn)有運(yùn)維監(jiān)控系統(tǒng)的用戶

3.從事大數(shù)據(jù)安全事件管理的用戶

4.從事企業(yè)網(wǎng)風(fēng)險(xiǎn)評(píng)估的用戶

5.可視化網(wǎng)絡(luò)攻擊展示

6.統(tǒng)一報(bào)表輸出與合規(guī)管理

OSSIM不適合人群：

1.誤把OSSIM當(dāng)成Cacti 鸿吆、Zabbix的替代品囤采，OSSIM中所有組件只有聯(lián)合起來發(fā)揮的作用“1+1>2”。

2.無運(yùn)維基礎(chǔ)的用戶惩淳。

3.希望采用OSSIM來管理大批客戶機(jī)和移動(dòng)設(shè)備的用戶蕉毯。

2．OSSIM流程分析

OSSIM系統(tǒng)的工作流程為：

（1）作為整個(gè)系統(tǒng)的安全插件的探測(cè)器（Sensor）執(zhí)行各自的任務(wù)，當(dāng)發(fā)現(xiàn)問題時(shí)給予報(bào)警思犁。

（2）各探測(cè)器的報(bào)警信息將被集中采集代虾。

（3）將各個(gè)報(bào)警記錄解析并存入事件數(shù)據(jù)庫（EDB）。

（4）根據(jù)設(shè)置的策略（Policy）給每個(gè)事件賦予一個(gè)優(yōu)先級(jí)（Priority）激蹲。

（5）對(duì)事件進(jìn)行風(fēng)險(xiǎn)評(píng)估棉磨，給每個(gè)警報(bào)計(jì)算出一個(gè)風(fēng)險(xiǎn)系數(shù)。

（6）將設(shè)置了優(yōu)先級(jí)的各事件發(fā)送至關(guān)聯(lián)引擎学辱，關(guān)聯(lián)引擎將對(duì)事件進(jìn)行關(guān)聯(lián)乘瓤。注意：關(guān)聯(lián)引擎就是指在各入侵檢測(cè)傳感器（入侵檢測(cè)系統(tǒng)、防火墻等）上報(bào)的告警事件基礎(chǔ)上策泣，經(jīng)過關(guān)聯(lián)分析形成入侵行為判定衙傀，并將關(guān)聯(lián)分析結(jié)果報(bào)送控制臺(tái)。

（7）對(duì)一個(gè)或多個(gè)事件進(jìn)行關(guān)聯(lián)分析后着降，關(guān)聯(lián)引擎生成新的報(bào)警記錄差油，將其也賦予優(yōu)先級(jí)，并進(jìn)行風(fēng)險(xiǎn)評(píng)估任洞，存入數(shù)據(jù)庫蓄喇。

（8）用戶監(jiān)控監(jiān)視器將根據(jù)每個(gè)事件產(chǎn)生實(shí)時(shí)的風(fēng)險(xiǎn)圖。

（9）在控制面板中給出最近的關(guān)聯(lián)報(bào)警記錄交掏，在底層控制臺(tái)中提供全部的事件記錄妆偏。

Ossim工作流程圖

OSSIM安全信息集成管理系統(tǒng)（如圖2所示）設(shè)計(jì)成由安全插件（Plug-ins）、代理進(jìn)程（Agent）盅弛、傳感器（Sensor）钱骂、關(guān)聯(lián)引擎（Server）、數(shù)據(jù)倉庫（Database）挪鹏、Web框架（Framework）5個(gè)部分構(gòu)成见秽。

那代理是什么，好像很籠統(tǒng)讨盒，下面舉個(gè)例子解取，各位就能明白。常規(guī)監(jiān)控軟件都是使用SNNM實(shí)現(xiàn)流量監(jiān)控返顺，監(jiān)控對(duì)象是什么禀苦？你要監(jiān)控誰就得在它上面啟用SNMP代理進(jìn)程蔓肯，也就是在被管理設(shè)備上啟用代理，在OSSIM還有那些代理呢振乏？比如Snare蔗包，Ossec Agent，OCS Agent等等慧邮。隨著深入OSSIM學(xué)習(xí)我都會(huì)向大家介紹调限。

圖2信息安全集成管理系統(tǒng)邏輯結(jié)構(gòu)圖

（1）安全插件

——安全插件即各類安全產(chǎn)品和設(shè)施。如防火墻赋咽、IDS等旧噪。這里引入Linux下的開源安全工具：Arpwatch、P0f脓匿、Snort淘钟、Nessus、Spade陪毡、Tcptrack米母、Ntop、Nagios毡琉、Osiris等這些Plugins分別針對(duì)網(wǎng)絡(luò)安全的某一方面铁瞒，總的來說，可以將它們劃分為探測(cè)器（Detector）和監(jiān)視器（Monitor）兩大陣營(yíng)桅滋，將它們集成關(guān)聯(lián)起來是出于安全集成的目的慧耍，如圖3所示。

圖3安全插件

（2）代理進(jìn)程

——代理進(jìn)程將運(yùn)行在多個(gè)或單個(gè)主機(jī)上丐谋，負(fù)責(zé)從各安全設(shè)備芍碧、安全工具采集相關(guān)信息（如報(bào)警日志等），并將采集到的各類信息統(tǒng)一格式号俐，再將這些數(shù)據(jù)傳至Server泌豆。

——Agent的主要功能是接收或主動(dòng)抓取Plugin發(fā)送過來或者生成的文件型日志，經(jīng)過預(yù)處理后有序地傳送到OSSIM的Server吏饿。它的功能很復(fù)雜踪危，因?yàn)樗脑O(shè)計(jì)要考慮到如果Agent和Server之間的網(wǎng)絡(luò)中斷、擁堵猪落、丟包以及Server端可能接收不過來甚至死機(jī)等情況贞远，確保日志不丟失也不漏發(fā)”考桑基于這個(gè)考慮兴革，OSSIM的日志處理在大部分情況下不能做到實(shí)時(shí)，通常會(huì)在Agent端緩存一段時(shí)間才會(huì)發(fā)送到Server端蜜唾。Agent會(huì)主動(dòng)連接兩個(gè)端口與外界通信或傳輸數(shù)據(jù)杂曲，一個(gè)是連接Server的40001端口，另一個(gè)是連接數(shù)據(jù)庫的3306端口袁余。

（3）傳感器

——傳感器通常會(huì)被我們理解為一段程序擎勘，但它不是一個(gè)確定的程序，而是一個(gè)邏輯單元的概念颖榜。在OSSIM中棚饵，把Agent和插件構(gòu)成的一個(gè)具有網(wǎng)絡(luò)行為監(jiān)控功能的組合稱為一個(gè)傳感器（Sensor），Sensor的功能范圍主要有：

l入侵檢測(cè)（Snort）

l漏洞掃描（OpenVas）

l異常檢測(cè)（Spade掩完，P0f噪漾，Pads，Arpwatch且蓬，RRD?ab?behaviour）

l網(wǎng)絡(luò)流量監(jiān)控與剖析（Ntop）

——采集本地路由器欣硼、防火墻、IDS等硬件設(shè)備恶阴，作為防火墻使用诈胜。在具體的部署中，以上功能通撤胧拢可以部署在一臺(tái)服務(wù)器上焦匈，也可以分多臺(tái)服務(wù)器部署。

（4）關(guān)聯(lián)引擎

——關(guān)聯(lián)引擎是OSSIM安全集成管理系統(tǒng)的核心部分昵仅，支持分布式運(yùn)行缓熟，負(fù)責(zé)將Agent傳送來的事件進(jìn)行關(guān)聯(lián)，并對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估摔笤。

（5）數(shù)據(jù)倉庫

——數(shù)據(jù)倉庫由Server將關(guān)聯(lián)結(jié)果寫入Database够滑，此外，系統(tǒng)用戶（如安全管理員）也可通過Framework（Web控制臺(tái)）對(duì)Database進(jìn)行讀寫籍茧。數(shù)據(jù)倉庫是整個(gè)系統(tǒng)事件分析和策略調(diào)整的信息來源版述，從總體上將其劃分為事件數(shù)據(jù)庫（EDB）、知識(shí)數(shù)據(jù)庫（KDB）寞冯、用戶數(shù)據(jù)庫（UDB）渴析、OSSIM系統(tǒng)默認(rèn)使用的MySQL監(jiān)聽端口是3306，在系統(tǒng)中數(shù)據(jù)庫的負(fù)擔(dān)最重吮龄，因?yàn)樗舜鎯?chǔ)數(shù)據(jù)外俭茧，還要對(duì)其進(jìn)行分析整理，所以實(shí)時(shí)性不強(qiáng)漓帚，這也是OSSIM架構(gòu)最大的缺陷母债。

（6）Web框架

——Web框架控制臺(tái)，提供用戶（安全管理員）的Web頁面，從而控制系統(tǒng)的運(yùn)行（例如設(shè)置策略）毡们，是整個(gè)系統(tǒng)的前端迅皇，用來實(shí)現(xiàn)用戶和系統(tǒng)的B/S模式交互。Framework可以分為2個(gè)部分：Frontend是系統(tǒng)的一個(gè)Web頁面衙熔，提供系統(tǒng)的用戶終端登颓；Frameworkd是一個(gè)守護(hù)進(jìn)程，它綁定OSSIM的知識(shí)庫和事件庫红氯，偵聽端口是40003框咙，負(fù)責(zé)將Frontend收到的用戶指令和系統(tǒng)的其他組件相關(guān)聯(lián)，并繪制Web圖表供前端顯示痢甘。

更多OSSIM 學(xué)習(xí)教程參閱《Unix/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控》?喇嘱。

如何用好OSSIM

OSSIM系統(tǒng)不要輕易上馬，只有等到萬事俱備之后塞栅，才能上線者铜，遇到困難不要?dú)怵H，最忌諱草率下馬构蹬，這個(gè)項(xiàng)目需要堅(jiān)持完成王暗。在OSSIM學(xué)習(xí)實(shí)踐中遇到挫折和各種困難是常有的是，即使你是個(gè)Linux高手依然如此庄敛。這時(shí)首先需要保存好現(xiàn)場(chǎng)俗壹，分析日志，從你操作時(shí)想起藻烤，進(jìn)行全面分析绷雏。