OSSIM安全信息集成管理系统

OSSIM安全信息集成管理系统


发布日期: 2016-10-27 更新日期: 2016-10-27 编辑:黄馨宁 浏览次数: 3264

标签:

摘要: OSSIM安全信息集成管理系统设计成由安全插件(Plug-ins)、代理进程(Agent)、传感器(Sensor)、关联引擎(Server)、数据仓库(Database)、Web框架(Framework)6个部分构成。 1)安全插件 安全插件即各类安全产品和设...

OSSIM安全信息集成管理系统设计成由安全插件(Plug-ins)、代理进程(Agent)、传感器(Sensor)、关联引擎(Server)、数据仓库(Database)、Web框架(Framework)6个部分构成。

1)安全插件

安全插件即各类安全产品和设施。如防火墙、IDS等。这里引入Linux下的开源安全工具:Arpwatch、P0f、Snort、Nessus、Spade、Tcptrack、Ntop、Nagios、Osiris等这些Plugins分别针对网络安全的某一方面,总的来说,可以将它们划分为探测器(Detector)和监视器(Monitor)两大阵营,将它们集成关联起来是出于安全集成的目的.

(2)代理进程

代理进程将运行在多个或单个主机上,负责从各安全设备、安全工具采集相关信息(如报警日志等),并将采集到的各类信息统一格式,再将这些数据传至Server。Agent的主要功能是接收或主动抓取Plugin发送过来或者生成的文件型日志,经过预处理后有序地传送到OSSIM的Server。它的功能很复杂,因为它的设计要考虑到如果Agent和Server之间的网络中断、拥堵、丢包以及Server端可能接收不过来甚至死机等情况,确保日志不丢失也不漏发。基于这个考虑,OSSIM的日志处理在大部分情况下不能做到实时,通常会在Agent端缓存一段时间才会发送到Server端。Agent会主动连接两个端口与外界通信或传输数据,一个是连接Server的40001端口,另一个是连接数据库的3306端口。

(3)传感器

——传感器通常会被我们理解为一段程序,但它不是一个确定的程序,而是一个逻辑单元的概念。在OSSIM中,把Agent和插件构成的一个具有网络行为监控功能的组合称为一个传感器(Sensor),Sensor的功能范围主要有: 入侵检测(Snort);漏洞扫描(OpenVas);异常检测(Spade,P0f,Pads,Arpwatch,RRD ab behaviour);网络流量监控与剖析(Ntop);采集本地路由器、防火墙、IDS等硬件设备,作为防火墙使用。在具体的部署中,以上功能通常可以部署在一台服务器上,也可以分多台服务器部署。

(4)关联引擎

——关联引擎是OSSIM安全集成管理系统的核心部分,支持分布式运行,负责将Agent传送来的事件进行关联,并对网络资产进行风险评估。

(5)数据仓库

——数据仓库由Server将关联结果写入Database,此外,系统用户(如安全管理员)也可通过Framework(Web控制台)对Database进行读写。数据仓库是整个系统事件分析和策略调整的信息来源,从总体上将其划分为事件数据库(EDB)、知识数据库(KDB)、用户数据库(UDB)、OSSIM系统默认使用的MySQL监听端口是3306,在系统中数据库的负担最重,因为它除了存储数据外,还要对其进行分析整理,所以实时性不强,这也是OSSIM架构最大的缺陷。

(6)Web框架

——Web框架控制台,提供用户(安全管理员)的Web页面,从而控制系统的运行(例如设置策略),是整个系统的前端,用来实现用户和系统的B/S模式交互。Framework可以分为2个部分:Frontend是系统的一个Web页面,提供系统的用户终端;Frameworkd是一个守护进程,它绑定OSSIM的知识库和事件库,侦听端口是40003,负责将Frontend收到的用户指令和系统的其他组件相关联,并绘制Web图表供前端显示。

关注公众号
获取免费资源

随机推荐


Copyright © Since 2014. 开源地理空间基金会中文分会 吉ICP备05002032号

Powered by TorCMS

OSGeo 中国中心 邮件列表

问题讨论 : 要订阅或者退订列表,请点击 订阅

发言 : 请写信给: osgeo-china@lists.osgeo.org