欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

（一）OSSIM 介紹：

    OSSIM (OPEN Source Sevurity Informatiion System)：開(kāi)源安全信息管理系統，由美國的Alien Vault公司開(kāi)發(fā)，是目前一個(gè)非常流行和完整的開(kāi)源安全架構體系。Ossim通過(guò)將開(kāi)源產(chǎn)品進(jìn)行集成，從而提供一種能夠實(shí)現安全監控功能的基礎平臺，能夠實(shí)現收集分類(lèi)日志，識別并解決重大安全事件（優(yōu)先級，標識出有問(wèn)題的日志），滿(mǎn)足在安全監控和日志存儲方面的審計和合規需求。

   （二）網(wǎng)絡(luò )安全面臨的問(wèn)題

    目前來(lái)講，網(wǎng)絡(luò )管理員在維護網(wǎng)絡(luò )安全的時(shí)候，他往往會(huì )需要架設各種各樣的安全系統，包括它的防病毒系統，包括它的抓包系統系統，日志采集系統，漏洞掃描系統，入侵檢測系統，以及資產(chǎn)管理系統。這么多的安全系統，耗資比較多，效率比較低，沒(méi)法進(jìn)行統一的管理。

（三）集中化安全管理趨勢：

    作為一個(gè)企業(yè)的網(wǎng)絡(luò )，希望我們的網(wǎng)絡(luò )能夠達到一個(gè)什么樣的要求呢，就說(shuō)它所有的安全子系統，它的安全技術(shù)可以聯(lián)動(dòng)，而且它能實(shí)時(shí)查看各種信息，各種報表，能夠實(shí)時(shí)監測網(wǎng)絡(luò )的各個(gè)事件，能夠有一個(gè)統一的策略的管理。以前的防火墻也好，IDS也好，除非你是采購一家的，如果你采購不同家的，它的查看界面是不一樣的，它的策略部署也是不一樣的，盡管說(shuō)原理是一樣的，但有些細節是不一樣的，給管理員設置系統造成一些不方便，包括我們希望它的安全設備，它的配備管理是越簡(jiǎn)單越好，能夠減輕我們管理員的負擔。

接下來(lái)解釋管理所有的安全產(chǎn)品，以及產(chǎn)生的所有的數據。OSSIM能夠收集安全數據，并對收集的安全數據進(jìn)行關(guān)聯(lián)分析，另外一個(gè)就是分析安全數據，最后能夠產(chǎn)生相應的報告。

最后一個(gè)是難度最大的，構建企業(yè)內部的網(wǎng)絡(luò )信息安全庫。這個(gè)知識庫實(shí)際上就是收集到針對企業(yè)各種服務(wù)器的進(jìn)行的網(wǎng)絡(luò )攻擊的這么一個(gè)特征庫。有人會(huì )說(shuō)，IDS不就是做這個(gè)用的么，實(shí)際上并不僅僅是這些，網(wǎng)絡(luò )信息的知識庫，包括你的漏洞庫，安全庫，以及各種知識庫的規則的信息。

（四）感知技術(shù)：

    下面就要介紹感知技術(shù)，感知技術(shù)到底有什么作用，為什么會(huì )用到感知技術(shù)，我們歸根結底就是用感知技術(shù)，能夠發(fā)現異常的行為，能夠通過(guò)異常預測網(wǎng)絡(luò )的攻擊。什么叫異常行為，大家都在這開(kāi)會(huì )，有一個(gè)人一直打電話(huà)，如果發(fā)現了信息泄露的話(huà)，那個(gè)人的行為就叫異常行為。通過(guò)異常行為就有可能發(fā)現即將發(fā)生的網(wǎng)絡(luò )攻擊，比如說(shuō)對某種服務(wù)的暴力破解，對FTP，對SSH登錄 的暴力破解，我們發(fā)現大量的連接測試，用戶(hù)失敗的日志，這種對于管理員來(lái)講，就能預測出即將發(fā)生的網(wǎng)絡(luò )攻擊。

（五）網(wǎng)絡(luò )感知威脅流程

    首先是通過(guò)對日志收集，然后對這些日志收集進(jìn)行封包來(lái)進(jìn)行分析，這種功能我們可以交給Snort，這種開(kāi)源的IDS來(lái)做，由Agent，部署在各個(gè)網(wǎng)段的Agent以及部署在各個(gè)主機的Agent來(lái)收集各個(gè)主機的信息，發(fā)送到Server里面來(lái)進(jìn)行分析，我們可以根據收集到的信息，根據時(shí)間，來(lái)源，地址類(lèi)型等方式進(jìn)行預處理，歸一化處理，生成統一的標準格式，讓后將這些信息送到OSSIM里面的Server進(jìn)行關(guān)聯(lián)分析。

（六）OSSIM解決的問(wèn)題：

    開(kāi)源安全信息管理平臺OSSIM解決了如下的問(wèn)題：

    1，將nagios、Snort、OSSEC、Ntop、OpenVAS等開(kāi)源軟件無(wú)縫的結合在一起。

    2、OSSIM系統安裝部署極為方便

    3、實(shí)現了多平臺，多架構的的日志統一收集分析

（七）OSSIM工具集：

OSSIM定位于一個(gè)集成解決方案，其目標并不是要開(kāi)發(fā)一個(gè)新的系統，而是利用豐富的，強大的各種程序，包括：

常見(jiàn)的安全軟件類(lèi)的：

入侵檢測模塊：

  Snort，Snare，OSSEC，等入侵檢測系統

掃描和滲透模塊：

  Nessus：系統漏洞掃描和分析軟件

  NMap：最早是Linux下的網(wǎng)絡(luò )掃描和嗅探工具包。

  還用像P0f,Pads等。

監控模塊：

  Tcptrack（TCP會(huì )話(huà)實(shí)時(shí)監控）

  Nagios（主機及服務(wù)可用性監控）

  Ntop

還有像Spade（異常檢測引擎），OpenVAS（漏洞掃描）,Arpwatch（MAC異常檢測）等開(kāi)源軟件

  OSSIM雖然名字中含有SIM，其實(shí)它并不是一個(gè)SIM，因為它不具備大規模日志采集和存儲能力，而是一個(gè)SEM，更偏重于實(shí)時(shí)的安全監控，實(shí)時(shí)風(fēng)險評估，報警與處理。

它具有入侵檢測，漏洞掃描，資產(chǎn)管理，安全監控，日志分析，流量分析等功能。

（八）OSSIM架構

第一層，數據采集層：使用各種采集技術(shù)采集流量信息、日志、各種資產(chǎn)信息，經(jīng)過(guò)歸一化處理后傳入核心層。

第二層，屬于核心處理層，主要實(shí)現對各種數據的深入加工處理，包括運行監控、安全分析、風(fēng)險評估、關(guān)聯(lián)分析、資產(chǎn)管理、脆弱性管理、事件管理、報表管理等。

第三層，屬于數據展現層，主要負責完成與用戶(hù)之間的交互，達到安全預警和事件監控、安全運行監控、綜合分析的統一展示，形式上以圖形化方式展示給用戶(hù)。

（九）各個(gè)模塊之間的關(guān)系：

  OSSIM系統主要使用了PHP、Python、Perl和C等四種編程語(yǔ)言，從軟件層面上看OSSIM框架系統包括五大模塊：Agent模塊、Server模塊、Database數據庫模塊、Frameworkd模塊以及Framework模塊。

看一下這幾個(gè)模塊的流程。

①Agent至Server：來(lái)自各個(gè)傳感器的安全事件被對應Agent格式化后，以加密字符串傳給Server。

②Server至Agent：發(fā)送有關(guān)請求命令（request command），以字符串方式向Agent傳送，主要是要求Agent完成插件的啟動(dòng)停止及獲取信息等。

③Server至Frameworkd:發(fā)送請求命令，要求Frameworkd針對Alarm采取相應操作，例如執行外部程序或發(fā)出Email來(lái)通知管理員。

④Frameworkd至Server：發(fā)送請求命令至Server。要求Server通知Agent對插件（Plugins）進(jìn)行啟動(dòng)、停止等操作。

⑤Framework至Frameworkd:發(fā)送請求命令，要求Frameworkd啟動(dòng)OpenVas掃描進(jìn)程。

⑥Frameworkd至Framework:傳送OpenVas掃描結果在前端頁(yè)面中顯示。

⑦Database至Agent和Server：向Agent和Server提供數據。

⑧Server至Database：Server需要將Events、Alarms等數據存入數據庫并建立索引或更新操作。

⑨Database至Frameworkd:在Frameworkd中的Openvas掃描和動(dòng)作需要調用數據庫里的數據。

⑩Frameworkd至Database：在Frameworkd執行過(guò)程中將Openvas掃描結果存入數據庫。

⑾Database至Framework  :前端頁(yè)面顯示需要調用數據庫的告警事件。

⑿Framework至Database：用戶(hù)參數設置信息需要存入數據庫。

（十）關(guān)聯(lián)引擎：

關(guān)聯(lián)引擎（Server）是OSSIM安全集成管理系統的核心部分，它支持分布式運行，負責將Agents傳送來(lái)的歸一化安全事件進(jìn)行關(guān)聯(lián)分析，并對網(wǎng)絡(luò )資產(chǎn)進(jìn)行安全評估。工作流程如下：

Ossim使用了兩種關(guān)聯(lián)引擎進(jìn)行安全行為的關(guān)聯(lián)分析，分別是基于事件序列的關(guān)聯(lián)方法和啟發(fā)式的關(guān)聯(lián)方法。

事件關(guān)聯(lián)是將大量的安全事件過(guò)濾，壓縮，歸一化處理后，在提取最重要的的安全事件。

  有了好的事件處理機制，還要有好的關(guān)聯(lián)方法，而且不止一種關(guān)聯(lián)方法。從這個(gè)圖可以看到，大量標準化處理的事件被送入關(guān)聯(lián)引擎之后，它們會(huì )經(jīng)歷事件分類(lèi)處理，聚合，交叉關(guān)聯(lián)，啟發(fā)關(guān)聯(lián)等多種關(guān)聯(lián)方法，系統會(huì )根據數據庫中的安全事件進(jìn)行統計分類(lèi)，找出經(jīng)常導致安全事件的發(fā)源地和經(jīng)常被攻擊的端口，在這些階段都會(huì )產(chǎn)生事件告警。

 交叉關(guān)聯(lián)：它是最常見(jiàn)的數據關(guān)聯(lián)方式，是指事件與目標漏洞之間的關(guān)聯(lián)。通過(guò)將入侵檢測系統snort產(chǎn)生的告警信息與漏洞掃描工具nessus規則進(jìn)行交叉關(guān)聯(lián)。綜合評估威脅程度的方法?？梢詫踩录c網(wǎng)絡(luò )拓撲、系統開(kāi)放的服務(wù)、設備存在的漏洞進(jìn)行關(guān)聯(lián)匹配，以分析攻擊成功的可能性。利用這種關(guān)聯(lián)方法可以在OSSIM系統中關(guān)聯(lián)規則檢測到某些威脅，并實(shí)現自動(dòng)響應（比如發(fā)出告警等）。

（十一）OSSIM部署：

采用分布式的方式：

  有一個(gè)服務(wù)器service將所有傳感器傳輸過(guò)來(lái)的數據進(jìn)行處理，以及展示。

  需要在每一個(gè)需要監視的部分放置sensor探針，進(jìn)行數據的收集，以及歸一化處理，將處理好的數據發(fā)送個(gè)服務(wù)器service。

參考：開(kāi)源安全運維平臺李晨光著(zhù)