在《開源安全運維平臺OSSIM最佳實踐》一書中敘述到,事件關聯是整個OSSIM關聯分析的核心,對於OSSIM的事件關聯需要海量處理能力,主要便於現在需要及時存儲從設備採集到的日誌,並能關聯匹配和輸出,進而通過Web UI展示。從實時性上看,關聯分析的整個處理過程不能間斷,這對系統的實時性要求較高,另外Ossim系統是基於規則的,Ossim內部具有多套高速規則分析引擎,以實現模式匹配和對關聯分析結果調用。所以系統的關聯引擎是一個典型數據處理系統,必須依靠強大的數據庫做支撐,在開源OSSIM系統中就採用了基於MySQL5.6數據庫的數據庫,在商業版採用MonogDB。
OSSIM整體架構:
從架構上來看,OSSIM系統是一個開放的框架,它的核心價值在於創新的集成各開源軟件之所長,它裏面的模塊既有C/S架構,又有B/S架構,但作爲最終用戶主要掌握OSSIM WebUI主要採用B/S架構,Web服務器使用Apache。OSSIM系統結構示意圖如下所示:
第1層,屬於數據採集層,使用各種採集技術採集流量信息、日誌、各種資產信息,經過歸一化處理後傳入核心層。改層體現安全事件來源,入侵檢測、防火牆、重要主機發出的日誌都是安全事件來源,它們按發出機制分爲兩類:模式偵查器和異常監控(兩者都採集警告信息,功能互補)由它們採集的安全事件,再被Agent轉換爲統一的格式發到OSSIM服務器,這一層就是Sensor要完成的內容。
第2層,屬於核心處理層,主要實現對各種數據的深入加工處理,包括運行監控、安全分析、策略管理、風險評估、關聯分析、安全對象管理、脆弱性管理、事件管理、報表管理等。該層中OSSIM Server是主角,OSSIM服務器,主要功能是安全事件的集中並對集中後的事件進行關聯分析、風險評估及嚴重性標註等。所謂的集中就是以一種統一格式組織所有系統產生的安全事件告警信息(Alarms)並將所有的網絡安全事件告警存儲到數據庫,這樣就完成了對網絡中所產生事件的一個龐大視圖。系統通過事件序列關聯和啓發式算法關聯來更好的識別誤報和偵查攻擊的能力。
OSSIM本質上通過對各種探測器和監控產生的告警進行格式化處理,再進行關聯分析,通過後期這些處理能提高檢測性能,即減少告警數量,減小關聯引擎的壓力,從整體上提高告警質量。
第3層,屬於數據展現層,主要負責完成與用戶之間的交互,達到安全預警和事件監控、安全運行監控、綜合分析的統一展示,形式上以圖形化方式展示給用戶。Web框架(Framework)控制檯界面即OSSIM的Web UI(Web User Interface,Web用戶界面),其實就是OSSIM系統對外的門戶站點,它主要由儀表盤、SIEM控制檯、Alarm控制檯、資產漏洞掃描管理、可靠性監控、報表及系統策略等部分組成。
(一)關聯引擎:
關聯引擎(Server)是OSSIM安全集成管理系統的核心部分,它支持分佈式運行,負責將Agents傳送來的歸一化安全事件進行關聯分析,並對網絡資產進行安全評估。工作流程如下:
OSSIM服務器的核心組件功能包含:事件關聯、風險評估和確定優先次序和身份管理、報警和調度、策略管理、IP信譽管理等,其配置文件在/etc/ossim/server目錄中,文件分別爲:
l alienvault-attacks.xml
l alienvault-bruteforce.xml
l alienvault-dos.xml
l alienvault-malware.xml
l alienvault-network.xml
l alienvault-scan.xml
l alienvault-policy.xml
以上這些文件由開源OSSIM免費提供,策略爲84條,在USM中則具有2千多條,這一數量遠高於國內的IDS硬件設備,在OSSIM中它們採用XML編寫易於理解,維護簡單,下圖講解了關聯引擎的結構。
40001/tcp:Server首先監聽 40001/tcp 端口,接收Agent 連接和Framework請求。
Connect:當連接到端口爲40002指定的Agent時,連接到端口爲40001的其他Server 對採集事件進行分配和傳遞。
Listener:接收各個Agent的連接數據,並細分爲Forwarding Server連接、Framework連接。
DB Connect:主要是OSSIM DB連接、Snort DB連接和OSSEC DB連接。
Agent Connect:啓動Agent連接,Forwarding Server連接。
Engine:事件的授權、關聯、分類。
數據庫:
Ossim關聯引擎(簡稱OSSIM Server)將事件關聯結果寫入數據庫。系統用戶可通過Framework(Web前端控制檯)對Database進行訪問。數據庫中alienvault.event表是整個系統事件分析和策略調整的信息源。OSSIM從總體上將其劃分爲事件數據庫(EDB)、知識數據庫(KDB)、用戶數據庫(UDB)。OSSIM數據庫用來記錄與安全事件關聯及配置等相關的信息,對應於設計階段的KDB和EDB的關聯事件部分;在Framework中使用ACID/BASE來作爲Snort數據庫的前端控制檯,對應於設計階段的EDB。此外ACL數據庫相關表格可包含在OSSIM數據庫中,用來記錄用戶行爲,對應於設計階段的UDB庫。