OSSIM 介绍

（一）介绍

    OSSIM (Open Source Security Information Management)翻译为开源安全信息管理系统，它是一个开源安全信息和事件的管理系统，集成了一系列的能够帮助管理员更好的进行计算机安全，入侵检测和预防的工具。

    该项目开始于2003 Dominique Kar，Julio Casa，以及后来的Alberto Román之间的合作。2008成为公司AlienVault的基础。继收购尤里卡项目标签和完成研发,AlienVault开始销售OSSIM商业版本–AlienVault Unified Security Management（ALienVault 统一商业管理）。

     OSSIM自从创立以来已经有四个主要的版本，现在是5.xx的版本，为源代码增添了可视化是在Ossim发行的第八年，这个项目大概有740万行的代码。

    版本以及发行日期

    作为一个安全信息和事件管理系统，OSSIM是为了给安全分析师和管理人员查看它们的系统安全相关的所有方面，通过将日志管理、资产管理和发现与来自专用信息安全控制和检测系统的信息相结合。然后这些信息关联到一起，创建一个单独的信息不可见的上下文。

    该软件在GNU通用公共许可证下自由分发。不像它可以安装到现有系统的各个组成部分，OSSIM是分布式的设计安装ISO映像部署到物理或虚拟主机作为主机的核心操作系统。OSSIM是使用Debian GNU / Linux作为底层操作系统分布。

    （二）结构体系

    实际上，从过程上考虑，安全可以分为评估、防护、检测、响应这四个步骤，现在已经有了不少优秀的开源软件与这四个步骤相对应。但是问题在于这四个步骤属于 一个动态、无缝过程，而所有的开源工具只是针对单一安全问题，如何将现有的安全工具进行综合利用并将他们无缝综合，OSSIM给出了很好的答案，那就是 ——集成。

    （三）功能架构

    （四）组件

    Prads(Passive Real-time Asset Detection system)：被动实时资产监测系统，通过被动监视 络流量来识别主机和服务，在发布v4.0新增。
    OpenVAS：开放式漏洞评估系统，也可以说它是一个包含着相关工具的 络扫描器。
    Snort：入侵检测系统，与Nessus相关。
    suricata：入侵检测系统，从版本4.2来看，这是默认配置中使用的IDS。
    Tcptrack：用于提供攻击相关性的有用会话数据信息。
    Nagios：是一款开源的免费 络监视工具，能有效监控Windows、Linux和Unix的主机状态，交换机路由器等 络设备，打印机等。
    OSSEC：是一款开源的多平台的入侵检测系统，可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析，全面检测，root-kit检测。
    munin：是一款类似 RRD tool 的非常棒的系统监控工具,它能提供给你多方面的系统性能信息,例如 磁盘、 络、进程、系统和用户。
    NFSen/NFDump：用来收集和分析netFlows信息。
    Fprobe:是一款在 FreeBSD下运行的软件,它可以将其接口收到的数据转化为Netflow 数据,并发送至Netflow 分析端。

    OSSIM还包括自行开发的工具，最重要的是一个逻辑指令支持泛型关联引擎和日志集成插件。

    注意：项目Suricata和Snort不能同时使用。Snort是目前被淘汰，有利于项目Suricata。