OSSIM（开源SIEM产品）

 

1. OSSIM 简介

OSSIM 即开源安全信息管理系统 (OPEN SOURCE SECURITY INFORMATION MANAGEMENT) 是目前一个非常流行和完整的开源安全架构体系。 OSSIM 通过将开源产品进行集成 , 从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的 , 能够更好地进行监测和显示的框架式系统。

OSSIM 明确定位为一个集成解决方案 , 其目标并不是要开发一个新的功能 , 而是利用丰富的、强大的各种程序 ( 包括 Snort 、 Rrd 、 Nmap 、 Nessus 以及 Ntop 等开源系统安全软件 ) 。在一个保留他们原有功能和作用的开放式架构体系环境下 , 将他们集成起来。而 OSSIM 项目的核心工作在于负责集成和关联各种产品提供的信息 , 同时进行相关功能的整合。由于开源项目的优点 , 这些工具已经是久经考验 , 同时也经过全方位测试、可靠的工具。

OSSIM 是较为成熟的开源安全集成项目（ http://www.ossim.net ）

OSSIM aims to unify network monitoring, security, correlation and qualification in one single tool. Integrating Snort, Acid/Base, MRTG, NTOP, Nagios, NMAP, Nessus and RRDTool we want the user to have full control over every network or security aspect. 

Project Admins: dkarg, jcasal

Operating System: All POSIX (Linux/BSD/UNIX-like OSes)

License: BSD License

Ossim stands for Open Source Security Information Management. Its goal is to provide a comprehensive compilation of tools which, when working together, grant a network/security administrator with detailed view over each and every aspect of his networks/hosts/physical access devices/server/etc...

Besides getting the best out of well known open source tools, some of which are quickly described below these lines, ossim provides a strong correlation engine, detailed low, mid and high level visualization interfaces as well as reporting and incident managing tools, working on a set of defined assets such as hosts, networks, groups and services.

All this information can be limited by network or sensor in order to provide just the needed information to specific users allowing for a fine grained multi-user security environment. Also, the ability to act as an IPS (Intrusion Prevention System) based on correlated information from virtually any source result in a useful addition to any security professional.

2. OSSIM 体系架构和功能架构

OSSIM 由数据收集、监视、检测、审计以及控制台这五个模块构成。这 5 个模块包含了目前安全领域从事件预防到事件处理一个完整的过程 , 在目前的安全架构中 ,OSSIM 是最为完备的。这五个功能模块又被划分为三个层次 , 分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控 , 各个层次提供不同功能 , 共同保证系统的安全运转。

在 OSSIM 中 , 整个过程处理被划分为两个阶段 , 这两个阶段反映的是一个事件从发生到处理的不同的历史时期 , 这两个阶段分别为预处理阶段 , 这一阶段的处理主要有监视器和探测器来共同完成 , 它们主要是为系统提供初步的安全控制 ; 另一个事后处理阶段 , 这一阶段的处理更加集中 , 更多的是反映在事件发生之后系统安全策略的调整和整个系统的安全配置的改进。

在 OSSIM 的架构体系中 , 有三个部件比较引人注意 , 这是 OSSIM 中的三个策略数据库 , 是 OSSIM 事件分析和策略调整的信息来源 , 分别为以下三种数据库 :

◆ EDB( 事件数据库 ): 在三个数据库中 ,EDB 无疑是最大的 , 它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。

◆ KDB( 知识数据库 ): 在知识数据库中 , 将系统的状态进行了参数化的定义 , 这些参数将为系统的安全管理提供详细的数据说明和定义。

◆ UDB( 用户数据库 ): 在用户数据库中 , 存储的是用户的行为和其他与用户相关的事件。