OSSIM系统框架简单介绍
2014-07-29 23:46
323 查看
OSSIM系统 OSSIM是SIM(安全信息管理)与SEM(安全事件管理)的结合体,也可以称为是SEIM。 OSSIM采用开放监控构架(open monitoring architecture),用于整合众多的开源产品。它的整合分为三层:最底层是IDS的特征库;中间层是法律证据控制台(forensic consoles)、软件整合层、资产与威胁的清单,以及风险监控等;最高层是用于整体管理的控制面板。 |
1 包含的工具 |
1.1 入侵检测系统 |
1.1.1 网络入侵检测(NIDS) |
1.1.1.1 Snort基于状态和无状态的分析。 无状态分析基于网络数据流特征的分析,用于发现已知的攻击。 状态分析基于预处理规则,用于发现未知的攻击。 |
1.1.2 主机入侵检测(HIDS) |
1.1.2.1 Snare基于Windows系统的HIDS,监控系统的安全、应用程序、系统日志。 |
1.1.2.2 OSSEC跨平台的HIDS系统,支持Linux/UNIX/Windows。 Server/Agent构架,用于日志分析、完整性检查、Windows注册表监控、rootkit检测、实时报警等功能。 |
1.2 漏洞扫描/渗透测试 |
1.2.1 Nessus |
1.2.2 P0f |
1.2.3 Pads |
1.2.4 NMAP |
1.3 系统/安全监控 |
1.3.1 Nagios |
1.3.2 TcpTrack |
1.3.3 Ntop |
1.4 资产生命周期管理系统 |
1.4.1 OCSNG |
1.4.2 GLPI |
2 构架 |
2.1 传感器(Sensors)也称为探测器(Probe)。从不同的日志源(log source)收集日志数据,或者基于监控日志产生报警。收集的日志被发往服务端。 大多数传感器工作于被动状态,不主动产生网络流量。 传感器通过基于TCP协议的私有协议与服务端通讯。 |
2.1.1 功能 |
2.1.1.1 入侵检测功能(IDS) |
2.1.1.2 异常探测功能(Anomaly Detection) |
2.1.1.2.1 异常网络连接的探测 |
2.1.1.2.2 超出临界值的数据传输的探测 |
2.1.1.2.3 通过算法对数据滥用趋势的探测(as it learns the algorithm adjusts thresholds, for example high traffic during office hours and low traffic on nights and weekends) |
2.1.1.3 实时监控功能(Real time Monitoring) |
2.1.2 组件 |
2.1.2.1 NIDS模块为探测入侵,监控网络流量 根据已知的特征匹配网络数据包 通过发现可疑的行为来检测新的(未知的)攻击 一般部署在主干或子网的防火墙内部或外部 |
2.1.2.2 HIDS模块检测设备上的入侵行为(服务器、路由器、交换机等) 执行主机完整性检查,记录监控日志 |
2.1.2.3 日志收集模块从不同的日志源收集日志数据,包括操作系统、应用程序、硬件设备等的日志。 |
2.2 服务端(Servers) |
2.2.1 整合功能(Correlation) |
2.2.2 优先级排序功能(Prioritization)根据不同的警报,指定其风险级别。 |
2.2.3 资产管理功能 (Online inventory) |
2.2.3.1 操作系统管理 |
2.2.3.2 MAC地址管理 |
2.2.3.3 NetBIOS名/DNS名管理 |
2.2.3.4 service管理 |
2.2.3.5 service的版本管理 |
2.2.3.6 应用程序管理自动探测到资产的变更,并且发送报警到指定的地方。 |
2.2.4 风险评估功能(Risk assessment) |
2.2.5 标准化功能(Normalization)把不同格式的信息格式化成标准、统一的格式。 |
2.3 控制台(Consoles) |
2.3.1 控制面板(Control Panel) |
2.3.2 风险与使用监控(Risk and usage monitors) |
2.3.3 法律证据控制台(Forensic console) |
2.3.4 系统配置框架(The Configuration Framework)用于配置各个模块,用于资产评估,定义拓扑,定义安全策略,定义整合策略等等功能。 |
2.3.5 风险监控器RiskMeterRiskmeter是一个“累积风险”的监控器,它使用称为CALM的评分算法。 Riskmeter提供一个实时的指示器,用于指示主机、网络的安全情况,它用于分辨主机是否被入侵或者正在受攻击。 |
2.4 数据库(Databases) |
相关文章推荐
- FUSE(Filesystem in userspace)(用户空间文件系统),user-space框架简单介绍
- 通用.Net平台系统框架剖析与设计(简单概括)
- Linux手机DIY.内核初探.系统后台启动简单介绍
- 简单分布式系统体系结构介绍
- xp等windows系统下的cmd常规命令详细简单介绍
- 简单介绍Windows Mobile 05 中的一些重要的系统文件
- 给定数据类型的补码表示,不能简单的用取反加一的方法来求反码的,介绍下2的补码系统
- [转]Windows Mobile 常用键值(VK)对应表及系统文件夹简单介绍
- 基于Linux系统的Socket编程简单介绍
- MapInfo开发GIS应用系统的简单介绍
- 今天面试, 被问到o/r mapping 特找些资料上来 3.3.2 .NET下的O/R Mapping框架的介绍和简单方法
- 简单的搭建Web系统常用的框架页面
- Windows Mobile 常用键值(VK)对应表及系统文件夹简单介绍
- 关于Flex-Mvc的几个框架的简单介绍
- 简单分布式系统体系结构介绍
- 通用.Net平台系统框架剖析与设计(简单概括)
- Rhapsody-嵌入式系统建模工具(1) -- 简单介绍
- xDom-一个简单的Delphi框架-介绍及下载
- 国内Asp.net博客系统收集和简单介绍
- linux内核初探.系统后台启动简单介绍