Ossim应用入门

**

• Ossim应用入门

**

软件下载：
Alienvault Ossim v3.1 （32位）下载地址
Alienvault Ossim v3.1 (64位)下载地址
Alienvault Ossim 4.3 （64位）下载地址

——在《OSSIM在企业网络管理中的应用》http://chenguang.blog.51cto.com/350944/802007 这篇文章发布以后，不少同行对ossim表示了极大关注,纷纷来信咨询如何部署和使用这套系统。在接下来的时间里我将总结这套系统的安装和使用的方法给你们分享。
1 OSSIM背景介绍
——目前，网络威胁从传统的病毒进化到像蠕虫、拒绝服务等的恶意攻击，当今的网络威胁攻击复杂程度愈来愈高，已再也不局限于传统病毒，盗号木马、僵尸网络、间谍软件、流氓软件、网络诈骗、垃圾邮件、蠕虫、网络钓鱼等严重威胁着网络安全。网络攻击常常是融合了病毒、蠕虫、木马、间谍、扫描技术于一身的混合式攻击。拒绝服务攻击（DOS）已成为黑客及蠕虫的主要攻击方式之一。黑客利用蠕虫制造僵尸网络，整合更多的攻击源，对目标集中展开猛烈的拒绝服务攻击。并且攻击工具也愈来愈先进，例如扫描工具不只能够快速扫描网络中存在漏洞的目标系统，还能够快速植入攻击程序。
——所以，网络安全管理的重要性和管理困难的矛盾日益突出。网络安全是动态的系统工程，只有从与网络安全相关的海量数据中实时、准确地获取有用信息并加以分析，及时地调整各安全子系统的相关策略，才能应对目前日益严峻的网络安全威胁。
——此外，IDS安全工具存在的错报、漏报也是促成安全集成思想的缘由之一。以IDS为例，总的来讲，入侵检测的方案有基于预约义规则的检测和基于异常的检测，判断检测能力的2个指标为灵敏度和可靠性。不可避免的，不管是基于预约义规则的检测仍是基于异常的检测，因为防范老是滞后于攻击，其必然会遇到漏报、错报的问题。而安全集成则因为其集成联动分析了多个安全工具，使得检测能力即灵敏度和可靠性都获得大幅提高。综上所述，咱们须要将各网络安全子系统，包括防火墙、防病毒系统、入侵检测系统、漏洞扫描系统、安全审计系统等整合起来，在信息共享的基础上，创建起集中的监控、管理平台，使各子系统既各司其职，又密切合做，从而造成统一的、有机的网络防护体系，来共同抵御日益增加的网络安全威胁。
——综上所述，就是将前面介绍过的Nagios、Ntop、OpenVas、Snort、Nmap、Ossec这些工具集成在一块儿提供综合的安全保护功能，而没必要在各个系统中来回切换，且统一了数据存储，人们能获得一站式的服务，这就是OSSIM给咱们带来的好处，咱们这一节的目标就是将它的主要功能展现出来。
——OSSIM经过将开源产品进行集成，从而提供一种可以实现安全监控功能的基础平台。它的目标是提供一种集中式、有组织的，可以更好地进行监测和显示的框架式系统。OSSIM 明肯定位为一个集成解决方案，其目标并非要开发一个新的功能，而是利用丰富的、强大的各类程序（包括Mrtg、Snort、Nmap、Openvas以及Ntop等开源系统安全软件）。在一个保留它们原有功能和做用的开放式架构体系环境下，将它们集成起来。到目前为止，OSSIM支持多达两千多种插件（http://www.alienvault.com/community/plugins）。而OSSIM项目的核心工做在于负责集成和关联各类产品提供的信息，同时进行相关功能的整合，如图1所示。因为开源项目的优势，这些工具已经久经考验，同时也通过全方位测试，更加可靠。
124704414.jpg
图1 OSSIM提供功能的层次结构图
2．OSSIM流程分析
OSSIM系统的工做流程为：
（1）做为整个系统的安全插件的探测器（Sensor）执行各自的任务，当发现问题时给予报警。
（2）各探测器的报警信息将被集中采集。
（3）将各个报警记录解析并存入事件数据库（EDB）。
（4）根据设置的策略（Policy）给每一个事件赋予一个优先级（Priority）。
（5）对事件进行风险评估，给每一个警报计算出一个风险系数。
（6）将设置了优先级的各事件发送相当联引擎，关联引擎将对事件进行关联。注意：关联引擎就是指在各入侵检测传感器（入侵检测系统、防火墙等）上报的告警事件基础上，通过关联分析造成入侵行为断定，并将关联分析结果报送控制台。
（7）对一个或多个事件进行关联分析后，关联引擎生成新的报警记录，将其也赋予优先级，并进行风险评估，存入数据库。
（8）用户监控监视器将根据每一个事件产生实时的风险图。
（9）在控制面板中给出最近的关联报警记录，在底层控制台中提供所有的事件记录。
104647642.jpg
Ossim工做流程图
OSSIM安全信息集成管理系统（如图2所示）设计成由安全插件（Plug-ins）、代理进程（Agent）、传感器（Sensor）、关联引擎（Server）、数据仓库（Database）、Web框架（Framework）5个部分构成。
那代理是什么，好像很笼统，下面举个例子，各位就能明白。常规监控软件都是使用SNNM实现流量监控，监控对象是什么？你要监控谁就得在它上面启用SNMP代理进程，也就是在被管理设备上启用代理，在OSSIM还有那些代理呢？好比Snare，Ossec Agent，OCS Agent等等。随着深刻OSSIM学习我都会向你们介绍。
124730223.jpg
图2 信息安全集成管理系统逻辑结构图
（1）安全插件
——安全插件即各种安全产品和设施。如防火墙、IDS等。这里引入Linux下的开源安全工具：Arpwatch、P0f、Snort、Nessus、Spade、Tcptrack、Ntop、Nagios、Osiris等这些Plugins分别针对网络安全的某一方面，总的来讲，能够将它们划分为探测器（Detector）和监视器（Monitor）两大阵营，将它们集成关联起来是出于安全集成的目的，如图3所示。
105257465.jpg
图3 安全插件
（2）代理进程
——代理进程将运行在多个或单个主机上，负责从各安全设备、安全工具采集相关信息（如报警日志等），并将采集到的各种信息统一格式，再将这些数据传至Server。
——Agent的主要功能是接收或主动抓取Plugin发送过来或者生成的文件型日志，通过预处理后有序地传送到OSSIM的Server。它的功能很复杂，由于它的设计要考虑到若是Agent和Server之间的网络中断、拥堵、丢包以及Server端可能接收不过来甚至死机等状况，确保日志不丢失也不漏发。基于这个考虑，OSSIM的日志处理在大部分状况下不能作到实时，一般会在Agent端缓存一段时间才会发送到Server端。Agent会主动链接两个端口与外界通讯或传输数据，一个是链接Server的40001端口，另外一个是链接数据库的3306端口。
（3）传感器
——传感器一般会被咱们理解为一段程序，但它不是一个肯定的程序，而是一个逻辑单元的概念。在OSSIM中，把Agent和插件构成的一个具备网络行为监控功能的组合称为一个传感器（Sensor），Sensor的功能范围主要有：
l入侵检测（Snort）
l漏洞扫描（OpenVas）
l异常检测（Spade，P0f，Pads，Arpwatch，RRD ab behaviour）
l网络流量监控与剖析（Ntop）
——采集本地路由器、防火墙、IDS等硬件设备，做为防火墙使用。在具体的部署中，以上功能一般能够部署在一台服务器上，也能够分多台服务器部署。
（4）关联引擎
——关联引擎是OSSIM安全集成管理系统的核心部分，支持分布式运行，负责将Agent传送来的事件进行关联，并对网络资产进行风险评估。
（5）数据仓库
——数据仓库由Server将关联结果写入Database，此外，系统用户（如安全管理员）也可经过Framework（Web控制台）对Database进行读写。数据仓库是整个系统事件分析和策略调整的信息来源，从整体上将其划分为事件数据库（EDB）、知识数据库（KDB）、用户数据库（UDB）、OSSIM系统默认使用的MySQL监听端口是3306，在系统中数据库的负担最重，由于它除了存储数据外，还要对其进行分析整理，因此实时性不强，这也是OSSIM架构最大的缺陷。
（6）Web框架
——Web框架控制台，提供用户（安全管理员）的Web页面，从而控制系统的运行（例如设置策略），是整个系统的前端，用来实现用户和系统的B/S模式交互。Framework能够分为2个部分：Frontend是系统的一个Web页面，提供系统的用户终端；Frameworkd是一个守护进程，它绑定OSSIM的知识库和事件库，侦听端口是40003，负责将Frontend收到的用户指令和系统的其余组件相关联，并绘制Web图表供前端显示。

OSSIM 学习教程《Unix/Linux网络分析与流量监控》