OSSIM介绍

（一）OSSIM 介绍：

    目前来讲， 络管理员在维护 络安全的时候，他往往会需要架设各种各样的安全系统，包括它的防病毒系统，包括它的抓包系统系统，日志采集系统，漏洞扫描系统，入侵检测系统，以及资产管理系统。这么多的安全系统，耗资比较多，效率比较低，没法进行统一的管理。

（三）集中化安全管理趋势：

    作为一个企业的 络，希望我们的 络能够达到一个什么样的要求呢，就说它所有的安全子系统，它的安全技术可以联动，而且它能实时查看各种信息，各种 表，能够实时监测 络的各个事件，能够有一个统一的策略的管理。以前的防火墙也好，IDS也好，除非你是采购一家的，如果你采购不同家的，它的查看界面是不一样的，它的策略部署也是不一样的，尽管说原理是一样的，但有些细节是不一样的，给管理员设置系统造成一些不方便，包括我们希望它的安全设备，它的配备管理是越简单越好，能够减轻我们管理员的负担。

接下来解释管理所有的安全产品，以及产生的所有的数据。OSSIM能够收集安全数据，并对收集的安全数据进行关联分析，另外一个就是分析安全数据，最后能够产生相应的 告。

最后一个是难度最大的，构建企业内部的 络信息安全库。这个知识库实际上就是收集到针对企业各种服务器的进行的 络攻击的这么一个特征库。有人会说，IDS不就是做这个用的么，实际上并不仅仅是这些， 络信息的知识库，包括你的漏洞库，安全库，以及各种知识库的规则的信息。

（四）感知技术：

    下面就要介绍感知技术，感知技术到底有什么作用，为什么会用到感知技术，我们归根结底就是用感知技术，能够发现异常的行为，能够通过异常预测 络的攻击。什么叫异常行为，大家都在这开会，有一个人一直打电话，如果发现了信息泄露的话，那个人的行为就叫异常行为。通过异常行为就有可能发现即将发生的 络攻击，比如说对某种服务的暴力破解，对FTP，对SSH登录 的暴力破解，我们发现大量的连接测试，用户失败的日志，这种对于管理员来讲，就能预测出即将发生的 络攻击。

（五） 络感知威胁流程

（六）OSSIM解决的问题：

    开源安全信息管理平台OSSIM解决了如下的问题：

    1，将nagios、Snort、OSSEC、Ntop、OpenVAS等开源软件无缝的结合在一起。

    2、OSSIM系统安装部署极为方便

    3、实现了多平台，多架构的的日志统一收集分析

（七）OSSIM工具集：

第一层，数据采集层：使用各种采集技术采集流量信息、日志、各种资产信息，经过归一化处理后传入核心层。

第二层，属于核心处理层，主要实现对各种数据的深入加工处理，包括运行监控、安全分析、风险评估、关联分析、资产管理、脆弱性管理、事件管理、 表管理等。

第三层，属于数据展现层，主要负责完成与用户之间的交互，达到安全预警和事件监控、安全运行监控、综合分析的统一展示，形式上以图形化方式展示给用户。

（九）各个模块之间的关系：

Ossim使用了两种关联引擎进行安全行为的关联分析，分别是基于事件序列的关联方法和启发式的关联方法。

事件关联是将大量的安全事件过滤，压缩，归一化处理后，在提取最重要的的安全事件。

  有了好的事件处理机制，还要有好的关联方法，而且不止一种关联方法。从这个图可以看到，大量标准化处理的事件被送入关联引擎之后，它们会经历事件分类处理，聚合，交叉关联，启发关联等多种关联方法，系统会根据数据库中的安全事件进行统计分类，找出经常导致安全事件的发源地和经常被攻击的端口，在这些阶段都会产生事件告警。

（十一）OSSIM部署：

采用分布式的方式：

  有一个服务器service将所有传感器传输过来的数据进行处理，以及展示。

  需要在每一个需要监视的部分放置sensor探针，进行数据的收集，以及归一化处理，将处理好的数据发送个服务器service。

参考：开源安全运维平台李晨光著