OSSIM安全信息集成管理系统

OSSIM安全信息集成管理系统设计成由安全插件（Plug-ins）、代理进程（Agent）、传感器（Sensor）、关联引擎（Server）、数据仓库（Database）、Web框架（Framework）6个部分构成。

1）安全插件

安全插件即各类安全产品和设施。如防火墙、IDS等。这里引入Linux下的开源安全工具：Arpwatch、P0f、Snort、Nessus、Spade、Tcptrack、Ntop、Nagios、Osiris等这些Plugins分别针对网络安全的某一方面，总的来说，可以将它们划分为探测器（Detector）和监视器（Monitor）两大阵营，将它们集成关联起来是出于安全集成的目的.

（2）代理进程

代理进程将运行在多个或单个主机上，负责从各安全设备、安全工具采集相关信息（如报警日志等），并将采集到的各类信息统一格式，再将这些数据传至Server。Agent的主要功能是接收或主动抓取Plugin发送过来或者生成的文件型日志，经过预处理后有序地传送到OSSIM的Server。它的功能很复杂，因为它的设计要考虑到如果Agent和Server之间的网络中断、拥堵、丢包以及Server端可能接收不过来甚至死机等情况，确保日志不丢失也不漏发。基于这个考虑，OSSIM的日志处理在大部分情况下不能做到实时，通常会在Agent端缓存一段时间才会发送到Server端。Agent会主动连接两个端口与外界通信或传输数据，一个是连接Server的40001端口，另一个是连接数据库的3306端口。

（3）传感器

——传感器通常会被我们理解为一段程序，但它不是一个确定的程序，而是一个逻辑单元的概念。在OSSIM中，把Agent和插件构成的一个具有网络行为监控功能的组合称为一个传感器（Sensor），Sensor的功能范围主要有： 入侵检测（Snort）；漏洞扫描（OpenVas）；异常检测（Spade，P0f，Pads，Arpwatch，RRD ab behaviour）；网络流量监控与剖析（Ntop）；采集本地路由器、防火墙、IDS等硬件设备，作为防火墙使用。在具体的部署中，以上功能通常可以部署在一台服务器上，也可以分多台服务器部署。

（4）关联引擎

——关联引擎是OSSIM安全集成管理系统的核心部分，支持分布式运行，负责将Agent传送来的事件进行关联，并对网络资产进行风险评估。

（5）数据仓库

——数据仓库由Server将关联结果写入Database，此外，系统用户（如安全管理员）也可通过Framework（Web控制台）对Database进行读写。数据仓库是整个系统事件分析和策略调整的信息来源，从总体上将其划分为事件数据库（EDB）、知识数据库（KDB）、用户数据库（UDB）、OSSIM系统默认使用的MySQL监听端口是3306，在系统中数据库的负担最重，因为它除了存储数据外，还要对其进行分析整理，所以实时性不强，这也是OSSIM架构最大的缺陷。

（6）Web框架

——Web框架控制台，提供用户（安全管理员）的Web页面，从而控制系统的运行（例如设置策略），是整个系统的前端，用来实现用户和系统的B/S模式交互。Framework可以分为2个部分：Frontend是系统的一个Web页面，提供系统的用户终端；Frameworkd是一个守护进程，它绑定OSSIM的知识库和事件库，侦听端口是40003，负责将Frontend收到的用户指令和系统的其他组件相关联，并绘制Web图表供前端显示。