10.7.1 OSSIM背景介紹(1)
1.OSSIM產生背景
目 前,網絡威脅從傳統的病毒進化到像蠕蟲、拒絕服務等的惡意***,當今的網絡威脅***複雜程度越來越高,已不再侷限於傳統病毒,盜號***、僵屍網絡、間諜軟 件、流氓軟件、網絡詐騙、垃圾郵件、蠕蟲、網絡釣魚等嚴重威脅着網絡安全。網絡***經常是融合了病毒、蠕蟲、***、間諜、掃描技術於一身的混合式***。拒 絕服務***(DOS)已成爲***及蠕蟲的主要***方式之一。***利用蠕蟲製造僵屍網絡,整合更多的***源,對目標集中展開猛烈的拒絕服務***。而且***工 具也越來越先進,例如掃描工具不僅可以快速掃描網絡中存在漏洞的目標系統,還可以快速植入***程序。
因此,網絡安全管理的重要性和管理困難的矛盾日益突出。網絡安全是動態的系統工程,只有從與網絡安全相關的海量數據中實時、準確地獲取有用信息並加以分析,及時地調整各安全子系統的相關策略,才能應對目前日益嚴峻的網絡安全威脅。
此 外,IDS安全工具存在的錯報、漏報也是促成安全集成思想的原因之一。以IDS爲例,總的來說,***檢測的方案有基於預定義規則的檢測和基於異常的檢測, 判斷檢測能力的2個指標爲靈敏度和可靠性。不可避免的,不論是基於預定義規則的檢測還是基於異常的檢測,由於防範總是滯後於***,其必然會遇到漏報、錯報 的問題。而安全集成則由於其集成聯動分析了多個安全工具,使得檢測能力即靈敏度和可靠性都得到大幅提升。綜上所述,我們需要將各網絡安全子系統,包括防火 牆、防病毒系統、***檢測系統、漏洞掃描系統、安全審計系統等整合起來,在信息共享的基礎上,建立起集中的監控、管理平臺,使各子系統既各司其職,又密切 合作,從而形成統一的、有機的網絡防禦體系,來共同抵禦日益增長的網絡安全威脅。
綜 上所述,就是將前面介紹過的Nagios、Ntop、Cheops、Nessus、Snort、Nmap這些工具集成在一起提供綜合的安全保護功能,而不 必在各個系統中來回切換,且統一了數據存儲,人們能得到一站式的服務,這就是OSSIM給我們帶來的好處,我們這一節的目標就是將它的主要功能展示出來。
OSSIM 通過將開源產品進行集成,從而提供一種能夠實現安全監控功能的基礎平臺。它的目標是提供一種集中式、有組織的,能夠更好地進行監測和顯示的框架式系統。 OSSIM 明確定位爲一個集成解決方案,其目標並不是要開發一個新的功能,而是利用豐富的、強大的各種程序(包括Mrtg、Snort、Nmap、Openvas、 Nessus以及Ntop等開源系統安全軟件)。在一個保留它們原有功能和作用的開放式架構體系環境下,將它們集成起來。到目前爲止,OSSIM支持多達 2395種插件(http://www.alienvault.com/community/plugins)。而OSSIM項目的核心工作在於負責集成和關聯各種產品提供的信息,同時進行相關功能的整合,如圖10.49所示。由於開源項目的優點,這些工具已經久經考驗,同時也經過全方位測試,更加可靠。
視頻資源:http://www.soku.com/t/nisearch/ossim?f=1&kb=05120000kv100__ossim
2.OSSIM流程分析
OSSIM系統的工作流程爲:
(1)作爲整個系統的安全插件的探測器(Sensor)執行各自的任務,當發現問題時給予報警。
(2)各探測器的報警信息將被集中採集。
(3)將各個報警記錄解析並存入事件數據庫(EDB)。
(4)根據設置的策略(Policy)給每個事件賦予一個優先級(Priority)。
(5)對事件進行風險評估,給每個警報計算出一個風險係數。
(6)將設置了優先級的各事件發送至關聯引擎,關聯引擎將對事件進行關聯。注意:關聯引擎就是指在各***檢測傳感器(***檢測系統、防火牆等)上報的告警事件基礎上,經過關聯分析形成***行爲判定,並將關聯分析結果報送控制檯。
(7)對一個或多個事件進行關聯分析後,關聯引擎生成新的報警記錄,將其也賦予優先級,並進行風險評估,存入數據庫。
(8)用戶監控監視器將根據每個事件產生實時的風險圖。
(9)在控制面板中給出最近的關聯報警記錄,在底層控制檯中提供全部的事件記錄。
OSSIM安全信息集成管理系統(如圖10.50所示)設計成由安全插件(Plug-ins)、代理進程(Agent)、傳感器(Sensor)、關聯引擎(Server)、數據倉庫(Database)、Web框架(Framework)5個部分構成。
(1)安全插件
安
全插件即各類安全產品和設施。如防火牆、IDS等。這裏引入Linux下的開源安全工具:Arpwatch、P0f、Snort、Nessus、
Spade、Tcptrack、Ntop、Nagios、Osiris等這些Plugins分別針對網絡安全的某一方面,總的來說,可以將它們劃分爲探測
器(Detector)和監視器(Monitor)兩大陣營,將它們集成關聯起來是出於安全集成的目的,如圖10.51所示。
代理進程將運行在多個或單個主機上,負責從各安全設備、安全工具採集相關信息(如報警日誌等),並將採集到的各類信息統一格式,再將這些數據傳至Server。
Agent 的主要功能是接收或主動抓取Plugin發送過來或者生成的文件型日誌,經過預處理後有序地傳送到OSSIM的Server。它的功能很複雜,因爲它的設 計要考慮到如果Agent和Server之間的網絡中斷、擁堵、丟包以及Server端可能接收不過來甚至死機等情況,確保日誌不丟失也不漏發。基於這個 考慮,OSSIM的日誌處理在大部分情況下不能做到實時,通常會在Agent端緩存一段時間纔會發送到Server端。Agent會主動連接兩個端口與外 界通信或傳輸數據,一個是連接Server的40001端口,另一個是連接數據庫的3306端口。
(3)傳感器
傳感器通常會被我們理解爲一段程序,但它不是一個確定的程序,而是一個邏輯單元的概念。在OSSIM中,把Agent和插件構成的一個具有網絡行爲監控功能的組合稱爲一個傳感器(Sensor),Sensor的功能範圍主要有:
***檢測(Snort)
漏洞掃描(Nessus)
異常檢測(Spade,P0f,Pads,Arpwatch,RRD ab behaviour)
網絡流量監控與剖析(Ntop)
採集本地路由器、防火牆、IDS等硬件設備,作爲防火牆使用。在具體的部署中,以上功能通常可以部署在一臺服務器上,也可以分多臺服務器部署。
(4)關聯引擎
關聯引擎是OSSIM安全集成管理系統的核心部分,支持分佈式運行,負責將Agent傳送來的事件進行關聯,並對網絡資產進行風險評估。
(5)數據倉庫
數 據倉庫由Server將關聯結果寫入Database,此外,系統用戶(如安全管理員)也可通過Framework(Web控制檯)對Database進 行讀寫。數據倉庫是整個系統事件分析和策略調整的信息來源,從總體上將其劃分爲事件數據庫(EDB)、知識數據庫(KDB)、用戶數據庫(UDB)、 OSSIM系統默認使用的MySQL監聽端口是3306,在系統中數據庫的負擔最重,因爲它除了存儲數據外,還要對其進行分析整理,所以實時性不強,這也 是OSSIM架構最大的缺陷。
(6)Web框架
Web 框架控制檯,提供用戶(安全管理員)的Web頁面,從而控制系統的運行(例如設置策略),是整個系統的前端,用來實現用戶和系統的B/S模式交互。 Framework可以分爲2個部分:Frontend是系統的一個Web頁面,提供系統的用戶終端;Frameworkd是一個守護進程,它綁定 OSSIM的知識庫和事件庫,偵聽端口是40003,負責將Frontend收到的用戶指令和系統的其他組件相關聯,並繪製Web圖表供前端顯示。