OSSIM 介绍

（一）介绍

    OSSIM (Open Source Security Information Management)翻译为开源安全信息管理系统，它是一个开源安全信息和事件的管理系统，集成了一系列的能够帮助管理员更好的进行计算机安全，入侵检测和预防的工具。

    该项目开始于2003 Dominique Kar，Julio Casa，以及后来的Alberto Román之间的合作。2008成为公司AlienVault的基础。继收购尤里卡项目标签和完成研发,AlienVault开始销售OSSIM商业版本--AlienVault Unified Security Management（ALienVault 统一商业管理）。

     OSSIM自从创立以来已经有四个主要的版本，现在是5.xx的版本，为源代码增添了可视化是在Ossim发行的第八年，这个项目大概有740万行的代码。

    版本以及发行日期

版本发行日期1.042008年2月23日2.12009年7月10日3.02011年9月16日4.02012年7月17日5.02015年4月20日5.32016年8月2日5.42017年6月28日

    作为一个安全信息和事件管理系统，OSSIM是为了给安全分析师和管理人员查看它们的系统安全相关的所有方面，通过将日志管理、资产管理和发现与来自专用信息安全控制和检测系统的信息相结合。然后这些信息关联到一起，创建一个单独的信息不可见的上下文。

    OSSIM执行这些功能，使用了其他知名开源软件的安全组件，统一基于用户界面的单一的浏览器下。该接口为从底层开源软件组件收集的信息提供了图形化分析工具（其中许多是只记录纯文本文件的命令行工具），并允许对配置选项进行集中管理。

    该软件在GNU通用公共许可证下自由分发。不像它可以安装到现有系统的各个组成部分，OSSIM是分布式的设计安装ISO映像部署到物理或虚拟主机作为主机的核心操作系统。OSSIM是使用Debian GNU / Linux作为底层操作系统分布。

    （二）结构体系

    实际上，从过程上考虑，安全可以分为评估、防护、检测、响应这四个步骤，现在已经有了不少优秀的开源软件与这四个步骤相对应。但是问题在于这四个步骤属于 一个动态、无缝过程，而所有的开源工具只是针对单一安全问题，如何将现有的安全工具进行综合利用并将他们无缝综合，OSSIM给出了很好的答案，那就是 ——集成。

    OSSIM由数据收集、监视、检测、审计以及控制台这五个模块构成。这5个模块包含了目前安全领域从事件预防到事件处理一个完整的过程，在目前的安全架构 中，OSSIM是最为完备的。这五个功能模块又被划分为三个层次，分别是高层的安全信息显示控制面板、中层的风险和活动监控以及底层的证据控制台和网络监控，各个层次提供不同功能，共同保证系统的安全运转。
   在OSSIM中，整个过程处理被划分为两个阶段，这两个阶段反映的是一个事件从发生到处理的不同的历史时期，这两个阶段分别为预处理阶段，这一阶段的处理主要有监视器和探测器来共同完成，它们主要是为系统提供初步的安全控制；另一个事后处理阶段，这一阶段的处理更加集中，更多的是反映在事件发生之后系统安全策略的调整和整个系统的安全配置的改进。
在OSSIM的架构体系中，有三个部件比较引人注意，这是OSSIM中的三个策略数据库，是OSSIM事件分析和策略调整的信息来源，分别为以下三种数据库：
    ◆EDB(事件数据库)：在三个数据库中，EDB无疑是最大的，它存储的是所有底层的探测器和监视器所捕捉到的所有的事件。
    ◆KDB(知识数据库)：在知识数据库中，将系统的状态进行了参数化的定义，这些参数将为系统的安全管理提供详细的数据说明和定义。
    ◆UDB(用户数据库)：在用户数据库中，存储的是用户的行为和其他与用户相关的事件。

    （三）功能架构

    OSSIM的功能共划分为9个层次，各个层次之间是无逢连接的，底层的数据为上层的处理提供信息来源。下图就是OSSIM所提供的功能的层次结构图。

下图为OSSIM的工具集以及架构

    （四）组件

   

    Prads(Passive Real-time Asset Detection system)：被动实时资产监测系统，通过被动监视网络流量来识别主机和服务，在发布v4.0新增。
    OpenVAS：开放式漏洞评估系统，也可以说它是一个包含着相关工具的网络扫描器。
    Snort：入侵检测系统，与Nessus相关。
    suricata：入侵检测系统，从版本4.2来看，这是默认配置中使用的IDS。
    Tcptrack：用于提供攻击相关性的有用会话数据信息。
    Nagios：是一款开源的免费网络监视工具，能有效监控Windows、Linux和Unix的主机状态，交换机路由器等网络设备，打印机等。
    OSSEC：是一款开源的多平台的入侵检测系统，可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析，全面检测，root-kit检测。
    munin：是一款类似 RRD tool 的非常棒的系统监控工具,它能提供给你多方面的系统性能信息,例如 磁盘、网络、进程、系统和用户。
    NFSen/NFDump：用来收集和分析netFlows信息。
    Fprobe:是一款在 FreeBSD下运行的软件,它可以将其接口收到的数据转化为Netflow 数据,并发送至Netflow 分析端。

    OSSIM还包括自行开发的工具，最重要的是一个逻辑指令支持泛型关联引擎和日志集成插件。

    注意：项目Suricata和Snort不能同时使用。Snort是目前被淘汰，有利于项目Suricata。