OSSIM平臺安全事件關聯分析實踐

OSSIM平臺安全事件關聯分析實踐

       在《開源安全運維平臺OSSIM最佳實踐》一書中敘述到，事件關聯是整個OSSIM關聯分析的核心，對於OSSIM的事件關聯須要海量處理能力，主要便於如今須要及時存儲從設備採集到的日誌，並能關聯匹配和輸出，進而經過Web UI展現。從實時性上看，關聯分析的整個處理過程不能間斷，這對系統的實時性要求較高，另外Ossim系統是基於規則的，Ossim內部具備多套高速規則分析引擎，以實現模式匹配和對關聯分析結果調用。因此係統的關聯引擎是一個典型數據處理系統，必須依靠強大的數據庫作支撐，在開源OSSIM系統中就採用了基於MySQL5.6數據庫的數據庫，在商業版採用MonogDB。

     普通日誌存入數據庫較容易，但若是是關聯引擎將報警存入數據庫的過程要複雜，到底它的壓力在哪兒？例如一個關聯規則須要在1秒鐘內，經過SQL語句獲取10條數據，那麼關聯引擎就須要在1秒鐘內進行10次磁盤存取，這個要求就比普通日誌存入數據庫高，而OSSIM數據庫中的表、字段、索引都爲了這種事務處理進行特殊設置，具備一次寫屢次讀的特性。對於複雜模式的匹配很是有用，例如，篩選出1分鐘內SSH登陸服務器，失敗次數超過5次的源IP地址，關聯分析引擎將定時進行SQL訪問，找到某個符合要求的事件記錄。

       許多安全管理者抱怨，已經設置了防火牆、入侵檢測、防病毒系統、網管軟件，爲何網絡安全管理仍很麻煩。當前網絡安全管理者面臨以下挑戰：

1) 安全設備和網絡應用產生的安全事件數量巨大，IDS誤報嚴重。一臺IDS系統，一天產生的安全事件數量成千上萬，一般99%的安全事件屬於誤報，而少許真正存在威脅的安全事件淹沒在誤報信息中，難以識別。

2) 安全事件之間存在的橫向和縱向方面（如不一樣空間來源、時間序列等）的關係未能獲得綜合分析，所以漏報嚴重，不能實現實時預測。一個攻擊活動以後經常接着另外一個攻擊活動，前一個攻擊活動爲後者提供基本條件；一個攻擊活動在多個安全設備上產生了安全事件；多個不一樣來源的安全事件實際上是一次協做攻擊，這些都缺少有效的綜合分析。

3) 安全管理者缺少對整個網絡安全態勢的全局實時感知能力。

      充分利用多種安全設備的檢測能力，集中處理的致命弱點是待分析處理的數據量巨大，那些龐大冗餘，獨立分散，安全事件顯然不能直接做爲響應依據，同時網絡安全防禦也有實時性要求，上述問題的根本解決途徑是網絡安全事件關聯處理，到底什麼是關聯分析呢，有幾個基本的概念你們須要瞭解。

1） 安全事件：本書一開始就提到了安全事件，包括服務器安全日誌，重要應用的告警以及日誌。

2） 數據源（DateSource），數據源是安全事件的來源，這裏包括防火牆、入侵檢測系統，重要主機、路由交換設備的日誌。

3） 數據關聯：將多個數據源的數據進行聯合（Association）、相關(Correlation)或組合（Combination）分析，以得到高質量的信息。它將不一樣空間設備的日誌，不一樣時間序列存在的問題進過特定關聯方法結合在一塊兒，最終肯定工具的分析方法。固然這些只是廣義的安全事件關聯方法，後面章節還會專門針對OSSIM講解具體的規則。

4） 交叉關聯：它是最多見的數據關聯方式，能夠將安全事件與網絡拓撲、系統開放的服務、設備存在的漏洞進行關聯匹配，以分析攻擊成功的可能性。利用這種關聯方法能夠在OSSIM系統中關聯規則檢測到某些威脅，並實現自動響應（好比發出告警等）。

下面舉幾個異常實例：

      完整性方面，文件完整監控工具發現系統中ls、ps、netstat、su等程序大小和全部者被改變，可判斷受到攻擊；系統方面，用戶帳號被修改及一些不能解釋的異常登陸行爲，在不可能的地方出現了新的文件、目錄或者丟失了文件、目錄大小急速增大、驟然減少、MD5簽名不匹配，這些跡象都說明明系統已遭受入侵。日誌方面，系統日誌縮減，日誌中出現了不明條目、異常的中斷消息都說明了系統遭受入侵。流量方面，若干節點大規模流量增大則可能遭受拒絕服務攻擊。

        爲了達到安全事件關聯分析的目的，就要有好的事件處理機制，好比前面講的日誌收集的歸一化處理，還得有好的關聯方法，並且不止一種關聯方法，將多種實時關聯方法結合到一塊兒效果更佳。大量標準化處理的事件被送入關聯引擎處理後，它們會經歷事件分類處理、聚合、交叉關聯、啓發式關聯等多種關聯方法，系統會根據數據庫中的安全事件進行統計分類，找出常常致使安全事件的發源地和常常被攻擊的端口，在這些階段都會產生事件告警，其安全事件關聯過程模塊，爲了更加詳細瞭解安全事件關聯分析原理和實踐，請參閱《開源安全運維平臺-OSSIM最佳實踐》。