OSSIM(开源SIEM产品)
2011-01-07 10:12
288 查看
[align=left]1.OSSIM简介
[/align]OSSIM即开源安全信息管理系统(OPEN SOURCE
SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。
OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、Nessus以及Ntop等开源系统安全软件)。在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来。而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合。由于开源项目的优点,这些工具已经是久经考验,同时也经过全方位测试、可靠的工具。
OSSIM是较为成熟的开源安全集成项目(http://www.ossim.net)
OSSIM aims to unify network monitoring,
security, correlation and qualification in one single tool. Integrating Snort,
Acid/Base, MRTG, NTOP, Nagios, NMAP, Nessus and RRDTool we want the user to
have full control over every network or security aspect.
Project Admins:
dkarg, jcasal
Operating System:
All POSIX (Linux/BSD/UNIX-like OSes)
License: BSD License
Ossim stands for
Open Source Security Information Management. Its goal is to provide a
comprehensive compilation of tools which, when working together, grant a
network/security administrator with detailed view over each and every aspect of
his networks/hosts/physical access devices/server/etc...
Besides getting
the best out of well known open source tools, some of which are quickly
described below these lines, ossim provides a strong correlation engine,
detailed low, mid and high level visualization interfaces as well as reporting
and incident managing tools, working on a set of defined assets such as hosts,
networks, groups and services.
All this
information can be limited by network or sensor in order to provide just the
needed information to specific users allowing for a fine grained multi-user
security environment. Also, the ability to act as an IPS (Intrusion Prevention
System) based on correlated information from virtually any source result in a
useful addition to any security professional.
2.OSSIM体系架构和功能架构
OSSIM由数据收集、监视、检测、审计以及控制台这五个模块构成。这5个模块包含了目前安全领域从事件预防到事件处理一个完整的过程,在目前的安全架构中,OSSIM是最为完备的。这五个功能模块又被划分为三个层次,分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控,各个层次提供不同功能,共同保证系统的安全运转。
在OSSIM中,整个过程处理被划分为两个阶段,这两个阶段反映的是一个事件从发生到处理的不同的历史时期,这两个阶段分别为预处理阶段,这一阶段的处理主要有监视器和探测器来共同完成,它们主要是为系统提供初步的安全控制;另一个事后处理阶段,这一阶段的处理更加集中,更多的是反映在事件发生之后系统安全策略的调整和整个系统的安全配置的改进。
在OSSIM的架构体系中,有三个部件比较引人注意,这是OSSIM中的三个策略数据库,是OSSIM事件分析和策略调整的信息来源,分别为以下三种数据库:
◆EDB(事件数据库):在三个数据库中,EDB无疑是最大的,它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。
◆KDB(知识数据库):在知识数据库中,将系统的状态进行了参数化的定义,这些参数将为系统的安全管理提供详细的数据说明和定义。
◆UDB(用户数据库):在用户数据库中,存储的是用户的行为和其他与用户相关的事件。
[align=left]
[/align]
[/align]OSSIM即开源安全信息管理系统(OPEN SOURCE
SECURITY INFORMATION MANAGEMENT)是目前一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成,从而提供一种能够实现安全监控功能的基础平台。它的目的是提供一种集中式、有组织的,能够更好地进行监测和显示的框架式系统。
OSSIM明确定位为一个集成解决方案,其目标并不是要开发一个新的功能,而是利用丰富的、强大的各种程序(包括Snort、Rrd、Nmap、Nessus以及Ntop等开源系统安全软件)。在一个保留他们原有功能和作用的开放式架构体系环境下,将他们集成起来。而OSSIM项目的核心工作在于负责集成和关联各种产品提供的信息,同时进行相关功能的整合。由于开源项目的优点,这些工具已经是久经考验,同时也经过全方位测试、可靠的工具。
OSSIM是较为成熟的开源安全集成项目(http://www.ossim.net)
OSSIM aims to unify network monitoring,
security, correlation and qualification in one single tool. Integrating Snort,
Acid/Base, MRTG, NTOP, Nagios, NMAP, Nessus and RRDTool we want the user to
have full control over every network or security aspect.
Project Admins:
dkarg, jcasal
Operating System:
All POSIX (Linux/BSD/UNIX-like OSes)
License: BSD License
Ossim stands for
Open Source Security Information Management. Its goal is to provide a
comprehensive compilation of tools which, when working together, grant a
network/security administrator with detailed view over each and every aspect of
his networks/hosts/physical access devices/server/etc...
Besides getting
the best out of well known open source tools, some of which are quickly
described below these lines, ossim provides a strong correlation engine,
detailed low, mid and high level visualization interfaces as well as reporting
and incident managing tools, working on a set of defined assets such as hosts,
networks, groups and services.
All this
information can be limited by network or sensor in order to provide just the
needed information to specific users allowing for a fine grained multi-user
security environment. Also, the ability to act as an IPS (Intrusion Prevention
System) based on correlated information from virtually any source result in a
useful addition to any security professional.
2.OSSIM体系架构和功能架构
OSSIM由数据收集、监视、检测、审计以及控制台这五个模块构成。这5个模块包含了目前安全领域从事件预防到事件处理一个完整的过程,在目前的安全架构中,OSSIM是最为完备的。这五个功能模块又被划分为三个层次,分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控,各个层次提供不同功能,共同保证系统的安全运转。
在OSSIM中,整个过程处理被划分为两个阶段,这两个阶段反映的是一个事件从发生到处理的不同的历史时期,这两个阶段分别为预处理阶段,这一阶段的处理主要有监视器和探测器来共同完成,它们主要是为系统提供初步的安全控制;另一个事后处理阶段,这一阶段的处理更加集中,更多的是反映在事件发生之后系统安全策略的调整和整个系统的安全配置的改进。
在OSSIM的架构体系中,有三个部件比较引人注意,这是OSSIM中的三个策略数据库,是OSSIM事件分析和策略调整的信息来源,分别为以下三种数据库:
◆EDB(事件数据库):在三个数据库中,EDB无疑是最大的,它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。
◆KDB(知识数据库):在知识数据库中,将系统的状态进行了参数化的定义,这些参数将为系统的安全管理提供详细的数据说明和定义。
◆UDB(用户数据库):在用户数据库中,存储的是用户的行为和其他与用户相关的事件。
[align=left]
[/align]
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- OSSIM(开源大数据安全分析平台)荣登2017年度Gartner SIEM魔力象限
- 开源史上最成功的8个开源产品
- 几个国内开源产品及作者
- Tiny VS 其它开源产品
- 基于OSSIM 的开源安全运维平台
- LinuxCon大会:Google Android是开源产品
- Ecshop、Discuz! 等开源产品的局限
- Linux-系统运维监控工具-开源监控产品1
- 产品研发记录04:关于开源组件选择与技术方案选择的总结
- 多款开源软件,助力开发者实现iot产品开发
- 浅析PHP的开源产品二次开发有哪些基本要求
- 介绍几款开源好用的产品
- 开源信息安全管理系统 OSSIM
- [置顶] 开源史上最成功的8个开源产品
- C# ASP.NET 开源网上商城、外贸产品网上展示的几个效果图 -- 仅供大家参考
- 百度DMLC分布式深度机器学习开源项目(简称“深盟”)上线了如xgboost(速度快效果好的Boosting模型)、CXXNET(极致的C++深度学习库)、Minerva(高效灵活的并行深度学习引擎)以及Parameter Server(一小时训练600T数据)等产品,在语音识别、OCR识别、人脸识别以及计算效率提升上发布了多个成熟产品。