摘要: 目前,网络威胁攻击复杂程度越来越高,已不再局限于传统病毒,。网络攻击经常是融合了病毒、蠕虫、木马、间谍、扫描技术于一身的混合式攻击。因此,网络安全管理的重要性和管理困难的矛盾日益突出。网络安全是动态的系统工程,只有从与网络安全相关的海量数据中实时、准确地获取有...
目前,网络威胁攻击复杂程度越来越高,已不再局限于传统病毒,。网络攻击经常是融合了病毒、蠕虫、木马、间谍、扫描技术于一身的混合式攻击。因此,网络安全管理的重要性和管理困难的矛盾日益突出。网络安全是动态的系统工程,只有从与网络安全相关的海量数据中实时、准确地获取有用信息并加以分析,及时地调整各安全子系统的相关策略,才能应对目前日益严峻的网络安全威胁。
我们需要将各网络安全子系统,包括防火墙、防病毒系统、入侵检测系统、漏洞扫描系统、安全审计系统等整合起来,在信息共享的基础上,建立起集中的监控、管理平台,使各子系统既各司其职,又密切合作,从而形成统一的、有机的网络防御体系,来共同抵御日益增长的网络安全威胁。
值得一提的是OSSIM(open source SIM)监控平台可以满足人们的需求,OSSIM是各种安装软件集成在Dedian系统下的监控平台。OSSIM把Nagios、Ntop、OpenVas、Snort、Nmap、Ossec等这些工具集成在一起提供综合的安全保护措施,而不必在各个系统中来回切换,且统一了数据存储,使得监控得到一站式的统一服务。
OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目标是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。OSSIM 明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Mrtg、Snort、Nmap、Openvas以及Ntop等开源系统安全软件)。在一个保留它们原有功能和作用的开放式架构体系环境下,将它们集成起来。到目前为止,OSSIM支持多达2395种插件(http://www.alienvault.com/community/plugins)。而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合,如图1所示。由于开源项目的优点,这些工具已经久经考验,同时也经过全方位测试,更加可靠。
2.OSSIM流程分析
OSSIM系统的工作流程为:
(1)作为整个系统的安全插件的探测器(Sensor)执行各自的任务,当发现问题时给予报警。(2)各探测器的报警信息将被集中采集。(3)将各个报警记录解析并存入事件数据库(EDB)。(4)根据设置的策略(Policy)给每个事件赋予一个优先级(Priority)。(5)对事件进行风险评估,给每个警报计算出一个风险系数。(6)将设置了优先级的各事件发送至关联引擎,关联引擎将对事件进行关联。注意:关联引擎就是指在各入侵检测传感器(入侵检测系统、防火墙等)上报的告警事件基础上,经过关联分析形成入侵行为判定,并将关联分析结果报送控制台。(7)对一个或多个事件进行关联分析后,关联引擎生成新的报警记录,将其也赋予优先级,并进行风险评估,存入数据库。(8)用户监控监视器将根据每个事件产生实时的风险图。(9)在控制面板中给出最近的关联报警记录,在底层控制台中提供全部的事件记录。
