基于OSSIM的安全信息和事件管理的系統研究

2019-10-14 03:46:50

福建質量管理 2019年18期

(華北電力大學北京 102206)

一、研究背景

SIEM(security information and event management)安全信息和事件管理，就是通過一些插件和設備來實現監測網絡數據是否異常并作出分析判斷甚至警報的系統。現在有許多優秀的SIEM系統，但他們大多價格昂貴，只適合大型公司使用，為了方便學習和研究，人們開始尋找更多開源的SIEM系統。在林林總總的系統中，很難有系統包含SIEM的各項基本要求，OSSIM作為開源系統中的集大成者，包括了SIEM的關鍵組件，事件收集，事件處理，事件的規范化，以及事件關聯。作為小型的部署系統，OSSIM體現出了它的巨大優勢。

二、OSSIM

(一)OSSIM的架構

第一層，數據采集層：使用各種采集技術采集流量信息、日志、各種資產信息，經過歸一化處理后傳入核心層；第二層，核心處理層：主要實現對各種數據的深入加工處理，包括運行監控、安全分析、風險評估、關聯分析、資產管理、脆弱性管理、事件管理、報表管理等；第三層，屬于數據管理層：主要負責完成與用戶之間的交互，達到安全預警和事件監控、安全運行監控、綜合分析的統一展示。形式上以圖形化方式展示給用戶。

(二)五大模塊

從軟件層面上看，OSSIM系統包括五大模塊：Agent模塊、Sever模塊、Database數據模塊、Frameworkd模塊以及Framework模塊。

(三)數據

1.Syslog。Syslog常被稱為系統日志或系統記錄，是一種用來在互聯網協議(TCP/IP)的網上傳遞記錄檔消息的標準。是Linux系統默認的日志守護進程，幾乎所有網絡設備都可以通過Syslog協議，將日志信息已用戶數據報協議(UDP)方式傳送到遠端服務器，遠端接受日志服務器必須通過Syslog監聽UDP端口，并根據syslog.conf配置處理本機，接受訪問系統的日志信息。

2.SNMP。簡單網絡協議，由一組網絡管理的標準組成，包含一個應用層協議(application layer protocol)、數據庫模型(database schema)和一組資源對象。該協議能夠支持網絡管理系統，用以監測連接到網絡上的設備是否有任何引起管理上關注的情況。該協議是互聯網工程工作小組(IETF，Internet Engineering Task Force)定義的internet協議簇的一部分。

3.WMI。WMI是Windows 2K/XP管理系統的核心，對于其他的Win32操作系統，WMI是一個有用的插件。通過它可以訪問、配置、管理和監視幾乎所有的Windows資源，比如用戶可以在遠程計算機器上啟動一個進程，查詢本地或遠程計算機的Windows事件日志，遠程啟動計算機，獲得本地或遠程計算機的已安裝程序列表等等。

(四)OSSIM 的部署

1.軟硬件配備。首先確定監控范圍。需要監控幾個網段內的多少臺服務器，每臺設備的日最高流量為多大(需要按峰值考慮),每臺設備都需要能聯系到相應的管理員。其次確定監控對象，為了保證性能，不能無節制的打開各種服務。從人員配備上看，需由專人負責管理，維護OSSIM的人員，因該具有一定工作經驗的Linux工程師。OSSIM是基于Debian Linux的系統，所以并沒有包含最新服務器的網卡驅動和Raid卡驅動，在選擇網卡時，應注意選擇帶功能的網卡。

三、OSSIM 的使用

(一)安裝

首先在虛擬機上完成環境搭建，在官網下載最新版本的鏡像文件，虛擬機內存默認分配2G內存。在虛擬機中按流程完成配置，配置IP地址：192.168.1.133。設置用戶名和密碼完成安裝。安裝完成后，通過Web界面訪問https://192.168.1.133登陸網頁界面實施操作。

(二)使用方法

OSSIM主主體采用B/S結構，SIEM控制臺可以顯示大量日志和報警，在整體數量上看主要包括OSSEC,Syslog收集的各類時間以及Snort事件，其他事件的過濾可以通過選擇DataSource實現。

在SIEM中有很多過濾開關，首先是Search,他可以輸入日志的關鍵字，在單擊“Signature”按鈕,系統就會列出與之匹配的日志。然后在進一步過濾，輸入IP地址。其次，我們可以使用“Sensor+數據源”組合過濾模式，我們可以輸入探測器的IP地址，然后輸入數據源種類來進行過濾。

四、總結

OSSIM是目前一款非常流行和完整的開源安全架構體系，通過將開源產品進程，從而提供一種能夠實現安全監控功能的基礎平臺，能夠實現收集分類日志，識別并解決重大安全事件(優先級，標識出有問題的日志)，滿足在安全監控和日志存儲方面的審計和合規需求。作為一款日志分析產品而言，由于見兩年的大數據平臺以及ELK,Kafka等日志處理相關產品的發展，OSSIM已經不適合大中型日志分析發展的需要了，最關鍵的原因是由于性能的問題，不適合分布式的部署，容易產生瓶頸。作為一款了解并且研究SIEM的基礎工具仍是綽綽有余。