OSSIM aims to unify network monitoring, security, correlation and qualification in one single tool. Integrating Snort, Acid/Base, MRTG, NTOP, Nagios, NMAP, Nessus and RRDTool we want the user to have full control over every network or security aspect.
Project Admins: dkarg, jcasal
Operating System: All POSIX (Linux/BSD/UNIX-like OSes)
License: BSD License
Ossim stands for Open Source Security Information Management. Its goal is to provide a comprehensive compilation of tools which, when working together, grant a network/security administrator with detailed view over each and every aspect of his networks/hosts/physical access devices/server/etc...
Besides getting the best out of well known open source tools, some of which are quickly described below these lines, ossim provides a strong correlation engine, detailed low, mid and high level visualization interfaces as well as reporting and incident managing tools, working on a set of defined assets such as hosts, networks, groups and services.
All this information can be limited by network or sensor in order to provide just the needed information to specific users allowing for a fine grained multi-user security environment. Also, the ability to act as an IPS (Intrusion Prevention System) based on correlated information from virtually any source result in a useful addition to any security professional.
2.
OSSIM
体系架构和功能架构
OSSIM
由数据收集、监视、检测、审计以及控制台这五个模块构成。这
5
个模块包含了目前安全领域从事件预防到事件处理一个完整的过程
,
在目前的安全架构中
,OSSIM
是最为完备的。这五个功能模块又被划分为三个层次
,
分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控
,
各个层次提供不同功能
,
共同保证系统的安全运转。
在
OSSIM
中
,
整个过程处理被划分为两个阶段
,
这两个阶段反映的是一个事件从发生到处理的不同的历史时期
,
这两个阶段分别为预处理阶段
,
这一阶段的处理主要有监视器和探测器来共同完成
,
它们主要是为系统提供初步的安全控制
;
另一个事后处理阶段
,
这一阶段的处理更加集中
,
更多的是反映在事件发生之后系统安全策略的调整和整个系统的安全配置的改进。
在
OSSIM
的架构体系中
,
有三个部件比较引人注意
,
这是
OSSIM
中的三个策略数据库
,
是
OSSIM
事件分析和策略调整的信息来源
,
分别为以下三种数据库
:
◆
EDB(
事件数据库
):
在三个数据库中
,EDB
无疑是最大的
,
它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。
◆
KDB(
知识数据库
):
在知识数据库中
,
将系统的状态进行了参数化的定义
,
这些参数将为系统的安全管理提供详细的数据说明和定义。
◆
UDB(
用户数据库
):
在用户数据库中
,
存储的是用户的行为和其他与用户相关的事件。