基于OSSIM的安全信息和事件管理的系統(tǒng)研究

(華北電力大學(xué) 北京 102206)

一、研究背景

SIEM(security information and event management)安全信息和事件管理，就是通過一些插件和設(shè)備來實現(xiàn)監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)是否異常并作出分析判斷甚至警報的系統(tǒng)?，F(xiàn)在有許多優(yōu)秀的SIEM系統(tǒng)，但他們大多價格昂貴，只適合大型公司使用，為了方便學(xué)習(xí)和研究，人們開始尋找更多開源的SIEM系統(tǒng)。在林林總總的系統(tǒng)中，很難有系統(tǒng)包含SIEM的各項基本要求，OSSIM作為開源系統(tǒng)中的集大成者，包括了SIEM的關(guān)鍵組件，事件收集，事件處理，事件的規(guī)范化，以及事件關(guān)聯(lián)。作為小型的部署系統(tǒng)，OSSIM體現(xiàn)出了它的巨大優(yōu)勢。

二、OSSIM

(一)OSSIM的架構(gòu)

第一層，數(shù)據(jù)采集層：使用各種采集技術(shù)采集流量信息、日志、各種資產(chǎn)信息，經(jīng)過歸一化處理后傳入核心層；第二層，核心處理層：主要實現(xiàn)對各種數(shù)據(jù)的深入加工處理，包括運行監(jiān)控、安全分析、風(fēng)險評估、關(guān)聯(lián)分析、資產(chǎn)管理、脆弱性管理、事件管理、報表管理等；第三層，屬于數(shù)據(jù)管理層：主要負(fù)責(zé)完成與用戶之間的交互，達(dá)到安全預(yù)警和事件監(jiān)控、安全運行監(jiān)控、綜合分析的統(tǒng)一展示。形式上以圖形化方式展示給用戶。

(二)五大模塊

從軟件層面上看，OSSIM系統(tǒng)包括五大模塊：Agent模塊、Sever模塊、Database數(shù)據(jù)模塊、Frameworkd模塊以及Framework模塊。

(三)數(shù)據(jù)

1.Syslog。Syslog常被稱為系統(tǒng)日志或系統(tǒng)記錄，是一種用來在互聯(lián)網(wǎng)協(xié)議(TCP/IP)的網(wǎng)上傳遞記錄檔消息的標(biāo)準(zhǔn)。是Linux系統(tǒng)默認(rèn)的日志守護(hù)進(jìn)程，幾乎所有網(wǎng)絡(luò)設(shè)備都可以通過Syslog協(xié)議，將日志信息已用戶數(shù)據(jù)報協(xié)議(UDP)方式傳送到遠(yuǎn)端服務(wù)器，遠(yuǎn)端接受日志服務(wù)器必須通過Syslog監(jiān)聽UDP端口，并根據(jù)syslog.conf配置處理本機，接受訪問系統(tǒng)的日志信息。

2.SNMP。簡單網(wǎng)絡(luò)協(xié)議，由一組網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)組成，包含一個應(yīng)用層協(xié)議(application layer protocol)、數(shù)據(jù)庫模型(database schema)和一組資源對象。該協(xié)議能夠支持網(wǎng)絡(luò)管理系統(tǒng)，用以監(jiān)測連接到網(wǎng)絡(luò)上的設(shè)備是否有任何引起管理上關(guān)注的情況。該協(xié)議是互聯(lián)網(wǎng)工程工作小組(IETF，Internet Engineering Task Force)定義的internet協(xié)議簇的一部分。

3.WMI。WMI是Windows 2K/XP管理系統(tǒng)的核心，對于其他的Win32操作系統(tǒng)，WMI是一個有用的插件。通過它可以訪問、配置、管理和監(jiān)視幾乎所有的Windows資源，比如用戶可以在遠(yuǎn)程計算機器上啟動一個進(jìn)程，查詢本地或遠(yuǎn)程計算機的Windows事件日志，遠(yuǎn)程啟動計算機，獲得本地或遠(yuǎn)程計算機的已安裝程序列表等等。

(四)OSSIM 的部署

1.軟硬件配備。首先確定監(jiān)控范圍。需要監(jiān)控幾個網(wǎng)段內(nèi)的多少臺服務(wù)器，每臺設(shè)備的日最高流量為多大(需要按峰值考慮),每臺設(shè)備都需要能聯(lián)系到相應(yīng)的管理員。其次確定監(jiān)控對象，為了保證性能，不能無節(jié)制的打開各種服務(wù)。從人員配備上看，需由專人負(fù)責(zé)管理，維護(hù)OSSIM的人員，因該具有一定工作經(jīng)驗的Linux工程師。OSSIM是基于Debian Linux的系統(tǒng)，所以并沒有包含最新服務(wù)器的網(wǎng)卡驅(qū)動和Raid卡驅(qū)動，在選擇網(wǎng)卡時，應(yīng)注意選擇帶功能的網(wǎng)卡。

三、OSSIM 的使用

(一)安裝

首先在虛擬機上完成環(huán)境搭建，在官網(wǎng)下載最新版本的鏡像文件，虛擬機內(nèi)存默認(rèn)分配2G內(nèi)存。在虛擬機中按流程完成配置，配置IP地址：192.168.1.133。設(shè)置用戶名和密碼完成安裝。安裝完成后，通過Web界面訪問https://192.168.1.133登陸網(wǎng)頁界面實施操作。

(二)使用方法

OSSIM主主體采用B/S結(jié)構(gòu)，SIEM控制臺可以顯示大量日志和報警，在整體數(shù)量上看主要包括OSSEC,Syslog收集的各類時間以及Snort事件，其他事件的過濾可以通過選擇DataSource實現(xiàn)。

在SIEM中有很多過濾開關(guān)，首先是Search,他可以輸入日志的關(guān)鍵字，在單擊“Signature”按鈕,系統(tǒng)就會列出與之匹配的日志。然后在進(jìn)一步過濾，輸入IP地址。其次，我們可以使用“Sensor+數(shù)據(jù)源”組合過濾模式，我們可以輸入探測器的IP地址，然后輸入數(shù)據(jù)源種類來進(jìn)行過濾。

四、總結(jié)

OSSIM是目前一款非常流行和完整的開源安全架構(gòu)體系，通過將開源產(chǎn)品進(jìn)程，從而提供一種能夠?qū)崿F(xiàn)安全監(jiān)控功能的基礎(chǔ)平臺，能夠?qū)崿F(xiàn)收集分類日志，識別并解決重大安全事件(優(yōu)先級，標(biāo)識出有問題的日志)，滿足在安全監(jiān)控和日志存儲方面的審計和合規(guī)需求。作為一款日志分析產(chǎn)品而言，由于見兩年的大數(shù)據(jù)平臺以及ELK,Kafka等日志處理相關(guān)產(chǎn)品的發(fā)展，OSSIM已經(jīng)不適合大中型日志分析發(fā)展的需要了，最關(guān)鍵的原因是由于性能的問題，不適合分布式的部署，容易產(chǎn)生瓶頸。作為一款了解并且研究SIEM的基礎(chǔ)工具仍是綽綽有余。