¡¶¿ªÔ´°²È«ÔËάƽ̨-OSSIM×î¼Ñʵ¼ù¡·¼´½«³ö°æ
¾¶àÄêDZÐÄÑо¿¿ªÔ´¼¼Êõ£¬ÀúʱÈýÄê´´×÷µÄ¡¶¿ªÔ´°²È«ÔËάƽ̨OSSIM×î¼Ñʵ¼ù¡·Ò»Êé¼´½«³ö°æ¡£¸ÃÊéÓÃ100¶àÍò×ּǼÁË×÷Õß10¶àÄêµÄOSSIMÑо¿Ó¦Óóɹû£¬ÖصãչʾÁË¿ªÔ´°²È«¹ÜÀíƽ̨OSSIMÔÚ´óÐÍÆóÒµÍøÔËά¹ÜÀíÖеÄʵ¼ù¡£¹úÄÚÄ¿Ç°Ò²Óи÷ʽ¸÷ÑùµÄÔËάϵͳ£¬¾¹ý±ÊÕ߶ԱȷÖÎöµÃ³öÕâЩ¹¤¾ßÎÞÂÛÔÚ¹¦ÄÜÉÏ¡¢ÐÔÄÜÉÏ»¹ÊÇÔÚ°²È«ºÍÎȶ¨ÐÔÒ×ÓÃÐÔÉ϶¼ÎÞ·¨¸úOSSIMϵͳÏëæÇÃÀ£¬¶øÇҺܶà¹úÄڵĿªÔ´°²È«ÔËάÏîÄ¿ÔÚ·¢²¼¼¸Äêºó¾ÍÖð²½µ³öÁËÎę̀£¬¶øOSSIM³ÖÐø·¢Õ¹ÁËÊ®¶àÄê¡£
ÄÚÈÝÌáÒª
È«Êé¹²·ÖÈýƪ£¬10Õ£ºµÚһƪ£¨1~2Õ£©·ÖÖ÷Òª½éÉÜOSSIM¼Ü¹¹Ó빤×÷ÔÀí¡¢ÏµÍ³¹æ»®¡¢ÊµÊ©¹Ø¼üÒªËغ͹ýÂË·ÖÎöSIEMʼþµÄÒªÁì¡£µÚ¶þƪ£¨3~6Õ£©Ö÷Òª½éÉÜOSSIMËùÉæ¼°µÄ¼¸¸öºǫ́Êý¾Ý¿â£¬ÖصãÇ¿µ÷°²È«Ê¼þ·ÖÀà¾ÛºÏ¡¢ÌáÈ¡Á÷³Ì¡¢¹ØÁª·ÖÎöËã·¨¡¢Snort¹æÔò·ÖÎöµÈ¼¼ÇÉ¡£µÚÈýƪ£¨7~10Õ£©Ö÷Òª½éÉÜÈÕÖ¾ÊÕ¼¯·½·¨ºÍ±ê×¼»¯ÊµÏÖ˼·ÒÔ¼°ÔÚOSSIMÖÐÓÃHIDS/NIDS¡¢Netflow×¥°ü·ÖÎöÒì³£Á÷Á¿µÄ·½·¨£¬ÉîÈë·ÖÎöÁËOpenvas¼Ü¹¹ºÍ½Å±¾·ÖÎö·½·¨¡£
È«Êé×°Ö¡¾«ÃÀ£¬·´Ó³Á˹úÄÚÐÅÏ¢°²È«ÁìÓòµÄÇ°ÑØÎÊÌ⣬Ϊ°²È«Ê¼þ¹ØÁª·ÖÎöÌṩÁËÇÐʵ¿ÉÐеÄʵÏÖ·½·¨£¬½â¾öÁËÆóÒµÖа²È«Ê¼þ¿ÉÊÓ»¯·ÖÎöµÄÄÑÌ⣬¿ÉÒÔ×÷Ϊ¿ªÔ´¼¼ÊõÑо¿ÈËÔ±¡¢ÍøÂ簲ȫ¹ÜÀíÈËÔ±ÒÔ¼°¸ßУ¼ÆËã»úרҵʦÉúѧϰ²Î¿¼Ê¹Óá£
Ç° ÑÔ
Ò»¡¢ÎªÊ²Ã´ÒªÐ´×÷±¾Êé
1. ÏÖ×´
ÈÕ³£¹¤×÷ÖУ¬ÔËάÈËÔ±´ó²¿·Öʱ¼äºÍ¾«Á¦¶¼ÓÃÓÚ´¦Àí¼òµ¥¡¢Öظ´µÄÎÊÌ⣬ÓÉÓÚ¹ÊÕÏÔ¤¾¯»úÖƲ»ÍêÉÆ£¬ÍùÍù¹ÊÕÏ·¢Éúºó²Å»á½øÐд¦Àí£¬ÔËάÈËÔ±¾³£´¦ÓÚ±»¶¯¡°¾È»ð¡±×´Ì¬¡£
wKioL1ZrbzyTKQX_AAJQLaO7ncY789.jpg
ûÓиßЧµÄ¹ÜÀí¹¤¾ßÖ§³Ö£¬¾ÍºÜÄÑ¿ìËÙ´¦Àí¹ÊÕÏ¡£ÊÐÃæÉÏÓкܶàÔËά¼à¿Ø¹¤¾ß£¬ÀýÈçÉÌÒµ°æµÄ¡¢ Solarwinds¡¢ManageEngineÒÔ¼°WhatsUpµÈ£¬¿ªÔ´µÄMRTG¡¢Nagios¡¢Cacti¡¢Zabbix¡¢OpenNMS¡¢GangliaµÈ¡£ÓÉÓÚËüÃDZ˴ËÖ®¼äËùÉú³ÉµÄÊý¾ÝûÓйØÁª£¬ÎÞ·¨¹²Ïí£¬¼´±ã²¿ÊðÁËÕâЩ¹¤¾ß£¬ºÜ¶àÔËάÈËÔ±²¢Ã»ÓдÓÖÐÕæÕý½âÍѳöÀ´£¬³ÉǧÉÏÍòÌõ¾¯¸æÐÅÏ¢¶Ñ»ýÔÚÒ»Æ𣬺ÜÄÑʶ±ðÎÊÌâµÄ¸ùÔ´£¬½á¹û±»º£Á¿ÈÕÖ¾ËùÑÍû£¬ÎÞ·¨½âÍѳöÀ´¡£
ÁíÍâÔÚ´«Í³ÔËά»·¾³ÖУ¬µ±²é¿´¸÷ÖÖ¼à¿ØϵͳʱÐèÒª¶à´ÎµÇ¼£¬²é¿´·±¶àµÄ½çÃ棬¸üйÜÀí¾ø´ó¶àÊý¹¤×÷Ö÷ÒªÊÇÊÖ¹¤²Ù×÷£¬¼´Ê¹Ò»¸ö¼òµ¥µÄϵͳ±ä¸ü£¬ÐèÒªÔËάÈËÔ±ÖðÒ»µÇ¼ϵͳ£¬ÈôÓöµ½ÎÊÌ⣬¹ÜÀíÔ±±ã»áÔÚ¸÷ÖÖƽ̨¼äÀ´»Ø²éѯ£¬»ò¿¿ÈËÈⷽʽËÑË÷¹ÊÕϹؼü´Ê£¬²»¶ÏµÄÖظ´×ÅÕâÖÖ¹¤×÷·½Ê½¡£ÆóÒµÐèÒªÒ»ÖÖ¼¯³É°²È«µÄÔËάƽ̨£¬Âú×ãרҵ»¯¡¢±ê×¼»¯ºÍÁ÷³Ì»¯µÄÐèÒªÀ´ÊµÏÖÔËά¹¤×÷µÄ×Ô¶¯»¯¹ÜÀí£¬Í¨¹ý¹ØÁª·ÖÎö¼°Ê±·¢ÏÖ¹ÊÕÏÒþ»¼¡£
2. ÊÖ¹¤ÕûºÏµÄÑÝ»¯¹ý³Ì
ÔÚÈ˹¤¹ÜÀí³õÆÚ£¬Ö÷ÒªÒÀ¿¿Ò»Ð©¼òµ¥µÄShell½Å±¾Íê³ÉһЩ»ù´¡¹¤×÷£¬ºóÀ´ËäÈ»²ÉÓÃCactiÀ´×öÐÔÄܼà¿Ø£¬Nagios×öÖ÷»ú¼à¿Ø¡¢PHP+SSHµÈ·½Ê½½øÐйÜÀí£¬µ«¸÷ÖÖÔËά¹¤¾ßÈÔÎÞ·¨ÊµÏÖÊý¾Ý¹²Ïí£¬´ËʱÕû¸ö·ÀÓùÌåϵÃæ¶ÔÍøÂçÍþв¡°·´Ó¦³Ù¶Û¡±£¬Ã¿µ±¹ÊÕÏÀ´Ï®£¬×ÜÊÇ¡°ÂíºóÅÚ¡±£¬ÄÑÒÔ²éÕÒ¹¥»÷ÕßµÄ×Ù¼££¬¾ÍºÃÏñÒ»¸öÈË×ܱ»ÎÃ×Ó¶£Ò§£¬Ïë´òÎÃ×Ó¿ÉÊÖÑÛÓÖ¸ú²»Éϵĸоõ¡£
wKiom1Zrcr_RQ252AAEuqC03E9o484.jpg
¾¹ý·ÖÎöºó£¬¿ªÊ¼³¢ÊÔ½«×ʲú¹ÜÀíÄ£¿é¡¢ÈëÇÖ¼ì²âÄ£¿é¡¢Á÷Á¿¼à¿ØÄ£¿é¡¢Â©¶´É¨ÃèÄ£¿é¼¯³Éµ½Ò»Ì¨·þÎñÆ÷ÖнøÐÐͳһ¹ÜÀí£¬ÊµÏÖÁ˱ê×¼»¯ÈÕÖ¾¡¢Í³Ò»´¦ÀíµÈÈÎÎñ£¬ÔÚϵͳ¸ÄÔìÖÐÒÔÏÂÎÊÌâÓÈΪͻ³ö£º
l°²×°Ê±,¸÷Èí¼þ¼äÒÀÀµÎÊÌâÒÀÈ»ÄÑÒÔ½â¾ö¡£
l¸÷×Óϵͳ½çÃæÖظ´ÑéÖ¤ºÍ½çÃæ·ç¸ñ²»Í³Ò»¡£
l¸÷×Óϵͳ֮¼äÊý¾ÝÎÞ·¨¹²Ïí¡£
lÎÞ·¨ÊµÏÖÊý¾ÝÖ®¼ä¹ØÁª·ÖÎö¡£
lÎÞ·¨Éú³Éͳһ¸ñʽµÄ±¨±í¡£
lȱ·¦Í³Ò»µÄÒDZí°åÒÔչʾÖØÒªÐÅÏ¢¡£
lϵͳά»¤ÄѶÈÔö´ó¡£
½«ÕâЩ¿ªÔ´¹¤¾ß¼¯³É±È½ÏÀ§ÄÑ£¬¸Ã·½°¸¼Ü¹¹²¢²»ºÏÀí£¬³öÏÖÁËÐÔÄÜÆ¿¾±£¬¶ÔÓÚ°²È«Ê¼þµÄ¹ØÁª·ÖÎö¡¢ºÏ¹æ¹ÜÀí¼°ÖªÊ¶¿â²éѯÒÀÈ»ÎÞ·¨ÊµÏÖ,¶ø×Ô¼º½¨É迪·¢¶ÓÎé´ÓÍ·¿ªÊ¼×öCMDB¡¢¼à¿Ø¡¢×Ô¶¯»¯¡¢Á÷³ÌÕâÖÖ±ÕÃÅÔì³µµÄ·½°¸£¬³É±¾¿ªÏúºÜ´ó£¬ÁíÒ»ÖÖ¾ÍÊÇÑ°ÕÒ¿ªÔ´½â¾ö·½°¸¡£
3. ÖÕ¼«¹¤¾ß----OSSIM¼¯³É°²È«ÔËάµÄƽ̨
·¢ÏÖÒ»¸öºÃµÄ¹ÜÀíƽ̨²¢²»ÊÇżȻ£¬¹ÜÀíÔ±´Ó×îÔʼµÄÃüÁîÐеÄÔËάʱ´ú£¬½ø»¯µ½Í³Ò»¹ÜÀíƽ̨£¬µÄÈ·Òª×ߺܶàÍä·£¬ÆäʵÕâÒ»¹ý³Ì¾ÍÊÇÆÕͨ¹ÜÀíÔ±µ½×¨¼ÒµÄÍɱ䡣ֻÓоÀú¹ýÄ¥ÄѵĹÜÀíÔ±²ÅÄÜÉî¿ÌÌå»áµ½ÕâÒ»µã¡£Ò»¿îÓÅÐãµÄ°²È«ÔËάƽ̨£¬ÐèÒª½«Ê¼þÓëIT Á÷³ÌÏà¹ØÁª£¬É¸Ñ¡³öÔËάÈËÔ±×î¹ØÐĵÄʼþ£¬Ìá¸ß¹¤×÷ЧÂÊ¡£ÔÚ¿ªÔ´º£ÑóÖУ¬¸÷ÖÖ¼¼Êõ·ç¸ñåÄÒ죬Îĵµ²»È«£¬³ÉÊì¶ÈÓֵͣ¬¹Ü¿Ø·çÏÕ´ó£¬ÕâЩ¿ÓÄã¸ÏÀ´²ÈÂð£¿
wKiom1ZrdCejDp_YAAD8NM2YQJ0045.jpg
¾¹ý×÷Õß³¤ÆÚʵ¼ù£¬Ä¿Ç°ÄÜÂú×ãÉÏÊöÒªÇóµÄ¿ªÔ´²úƷΨÓÐOSSIMϵͳ£¬ËüÊÇΨһÄܽøÈëGartner ħÁ¦ÏóÏÞµÄϵͳ£¬ËüÓÉAlienvault¹«Ë¾¿ª·¢£¬ÏÖ·ÖΪ¿ªÔ´OSSIMºÍÉÌÒµ°æUSMÁ½ÖÖ£¬Í¨¹ý¸Ãƽ̨ʵÏÖ¶ÔÓû§²Ù×÷¹æ·¶µÄÔ¼ÊøºÍ¶Ô¼ÆËã»ú×ÊÔ´½øÐмà¿Ø£¬°üÀ¨·þÎñÆ÷¡¢Êý¾Ý¿â¡¢Öмä¼þ¡¢´æ´¢±¸·Ý¡¢ÍøÂç»ù´¡ÉèÊ©£¬Í¨¹ý×Ô¶¯¼à¿Ø¹ÜÀíƽ̨ʵÏÖ¹ÊÕÏ×ۺϴ¦ÀíºÍ¼¯ÖйÜÀí£¬Äܹ»ÎªÄúµÄÍøÂç¹¹½¨ÆðÒ»Ì×Ãô¸ÐµÄ¡¢È«·½Î»µÄÖÐÊàÉñ¾ÏµÍ³£¬´ïµ½¸ÐÖªÍøÂçÍþвµÄЧ¹û¡£OSSIM4ϵͳÖ÷Òª²Ëµ¥ÈçÏ£º
wKiom1Z3pRHxn-CDAAco_K_bLMU727.jpg
Ëü¹¦ÄÜÖ®¸´ÔÓ£¬Ô¶·Ç¸öÈËÔÚÄܶÌʱ¼äÄÚ¾ÍÄܽâ¾öµÄ£¬Èç¶ÔÓÚ¿ª·¢OSSIM£¬¸üÊÇÐèÒªÁ˽â¸ü¶à֪ʶ£¬ËüµÄ×é¼þ¡¢Êý¾Ý¿âºÍÉæ¼°¿ª·¢¹¤¾ß£¬ÈçÏÂͼËùʾ¡£
wKioL1Z3pzDhwT0tAAL25EWVjuI259.jpg
¶ÔÓÚÉÏÊöÄѵãÎÊÌ⣬¾ÍÐèÒªÒ»±¾×¨ÒµÊé¼®£¬ÄÜ°ïÖúÓû§½â¾ö¡£ÔÚ¸ÃÊéû³öÊÀ֮ǰ£¬Ö»ÄÜ¡°Ó²¿Ð¡±¡£
¶þ¡¢´´×÷¹ý³Ì
˵ÆðÀ´£¬ÎÒºÍOSSIM»¹ÊÇͦÓÐÔµ·Ö¡£Ñо¿ÉúʱÔø¿ª·¢¹ý¿ªÔ´Í³Ò»°²È«¹ÜÀíƽ̨ÏîÄ¿£¬Ö÷ҪĿ±êÊǽ«²»Í¬ÍøÂçÉ豸ºÍ·þÎñÆ÷µÄÈÕÖ¾£¬Í¨¹ý±ê×¼»¯×ª»¯ÎªÊ¼þ£¬È»ºóͳһ½øÐÐÈÕÖ¾·ÖÎöÓëÉ豸Áª¶¯¡£ÔÚÍê³ÉÕâ¸öÏîÄ¿¹ý³ÌÖУ¬Ö÷Òª²Î¿¼OSSIMÔ´´úÂ룬ÏȺó³¢ÊÔÁË»ùÓÚͳ¼Æ¡¢»ùÓÚ¾àÀëºÍ»ùÓÚ¾ö²ßÊ÷µÄËã·¨£¬¹¥ÆÆÁËÍøÂ簲ȫʼþ¾ÛºÏµÄÄÑÌâ¡£
ÕâЩÄêÏȺóΪ¼¸Ê®¼Òµ¥Î»³É¹¦²¿ÊðÁËOSSIMϵͳ£¬²¢Ìṩ¼¼ÊõÖ§³Ö¡£ÔÚOSSIMÏîĿʵʩ¹ý³ÌÖ⻶Ï×ܽáÓöµ½µÄ¸÷ÖÖÎÊÌ⣬¾¹ýÈýÄêµÄ¼¼Êõ³ÁµíÓë»ýÀÛ£¬Ä¿Ç°ÒѾ׫д³ö600¶àÒ³µÄOSSIMÓ¦Óý̳̣¬µ«ÊÇÕâЩÁãÉ¢µÄÊָ岻³ÉÌåϵ¡£´Ó2015Äê³õ£¬¿ªÊ¼½«ÕâЩϵͳ²¿ÊðµÄ¾Ñé½øÐкÏÀí×éÖ¯£¬È«Êé¹æ»®³ÉÈýƪ£¬¹²Ê®ÕÂÄÚÈÝ£¬ÕâЩÄÚÈÝ°üº¬OSSIMϵͳµÄ¸÷ÖÖ֪ʶºÍ¼¼ÇÉ£¬Ê¹¶ÁÕß½ñºóÔÙÓöµ½ÎÊÌâÄܹ»¾ÙÒ»·´Èý¡£¼´Ê¹OSSIM¸üÐÂÉý¼¶ºó£¬¶ÁÕßÒ²ÄܽáºÏÊéÖнéÉܵĸÅÄîºÍ²Ù×÷·½·¨£¬Í¬ÑùÄܹ»ÕÆÎÕ£¬ÄÇô±¾ÊéµÄÄ¿±ê¾Í´ïµ½ÁË¡£
´ÓÊÂIT¹¤×÷µÄÈ˶¼±È½Ï棬ºÜÉÙÓÐÍêÕûµÄʱ¼äÄÜÇåÏÐÏÂÀ´£¬¶ÔÓÚÒ»°ãÈ˶øÑÔûÓÐʱ¼ä£¬¾ÍÊÇ×îºÃµÄ»Ï×Ó£¬¶øÉÆÓÚÀûÓÃʱ¼äµÄÈËÍùÍùÄܹ»ÀûÓø÷ÖÖ¼ä϶£¬½øÐд´×÷¹¹Ë¼¡£ÔÚ±¾Êé´´×÷Öв¢²»ÊÇÒ»·«·ç˳£¬ÓÐʱºòΪÁËÑéÖ¤Ò»¸ö¼¼ÊõÎÊÌ⣬ÐèÒª·´¸´ÊµÑ飬ΪÁËÒ»¾ä»°ÐèÒª¾¹ý·´¸´ÍÆÇá£
³õ¸å³ö¯£¬±ØÐë¾¹ý²»¶ÏÐÞ¸ÄÈóÉ«£¬²ÅÊʺÏÔĶÁ£¬±¾Êé¸Õ¸ÕдÍêʱ²Å500¶àÒ³£¬µ«ÊÇÔÚÒ»±éÓÖÒ»±éµÄÐ޸ıÊÎóºÍ´í±ð×ÖÖ®ºó£¬ÃÈ·¢³öеÄÏë·¨£¬Ã¿¸´²éÒ»±é£¬ÎÒ¶¼»á¶ÔÔ¸å×öһЩ¸Ä¶¯£¬ÊýÁ¿ÉÏÒªÊýµÚÒ»´Î¸Ä¶¯À©³ä×î´ó£¬ÒÔºóÖð½¥¼õÉÙ£¬Ö±µ½ÂúÒâΪֹ¡£
±¾Êé²»ÊÇʲôÉñ¹¦Ãؼ®£¬ÎÞ·¨ÈÃÄãÔÚ¶Ìʱ¼äÄÚ´ÓÒ»¸öС°×±ä³ÉÒ»¸öÅ£ÈË¡£ÊéÖÐÒÔOSSIM 4ƽ̨Ϊ»ù´¡½øÐн²½â£¬½«¸÷ÖÖ¿ªÔ´Èí¼þºÏÀíµÄÈÚÈë½øÀ´£¬²¢°Ñ±¾È˶àÄêOSSIMʵʩ¾ÑéÒÔ°¸ÀýµÄÐÎʽ±í´ï³öÀ´¡£Ñ§Ï°OSSIMµÄµÀ·²¢²»ÊÇÒ»·«·ç˳£¬Ï£Íû¶ÁÕßÅóÓÑÔÙÓöµ½À§ÄÑʱ£¬±¾ÊéÄܹ»ÎªÄú´ðÒɽâ»ó¡£
Èý¡¢ÆªÕ½ṹ
ÊéµÄ½á¹¹ºÃ±È¿ò¼Ü£¬¶øÄÚÈÝÔòÊǾßÌå×é³ÉÔªËØ£¬±¾Êé²ÉÓÃÁËÎÄ×Ö¡¢Í¼±íºÍ·¶ÀýµÈÐÎʽ£¬½«OSSIM¸´ÔӵĽṹºÍ¹¤×÷Á÷³ÌÖ±¹ÛµÄÕ¹ÏÖ¸ø¶ÁÕß¡£È«Êé·ÖΪÈý²¿·Ö£¬¹²10Õ¡£
1. »ù´¡Æª
µÚ1Õ£º±¾Õ´ÓOSSIMÆðÔ´½²Æ𣬽éÉÜÁËÄ¿Ç°ÔËάÈËÔ±ÏÖ×´£¬Öð²½Ì¸µ½Ó¦ÓÃSIEMµÄ±ØÒªÐÔ£¬½ø¶ø½éÉÜOSSIM¼Ü¹¹Óë×é³ÉÔÀí£¬ÁíÍ⻹½éÉÜÁË»ùÓÚ²å¼þµÄÈÕÖ¾²É¼¯Ë¼Â·£¬Ìá³ö±ê×¼»¯°²È«Ê¼þµÄÈ«ÐÂÀíÄÏêϸ·ÖÎöÁËOSSIMµÄ¸ß¿ÉÓüܹ¹ÓëʵÏÖ·½·¨¡£
µÚ2Õ£º±¾Õ´ÓOSSIMʵʩ¹Ø¼üÒªËØ¡¢°²×°²ßÂÔ¡¢Ó²¼þÑ¡ÐÍ¿ªÊ¼£¬ÉîÈë·ÖÎöµ¥»ú²¿Ê𣬷ֲ¼Ê½Ìåϵ¡¢´«¸ÐÆ÷ÉèÖõÈÖØÒª°²×°¹¤×÷¡£·ÖÎöÁË°²×°¹ý³ÌÒÔͼÎIJ¢Ã¯µÄ·½Ê½£¬Ö¸³öÁËϵͳÅäÖùý³Ì£¬°üÀ¨ÊµÌå»ú£¬ÐéÄâ»ú²»Í¬»·¾³Öеݲװ·½·¨¼°×¢ÒâÊÂÏî¡£×îºóÖصã·ÖÎöÁËSIEMʼþ¿ØÖÆ̨µÄʹÓúÍʼþ¹ýÂË·½·¨¡£
2. Ìá¸ßƪ
µÚ3Õ£º±¾Õ¶ÔÓÚOSSIM¿ª·¢ÈËÔ±ºÜÓаïÖú£¬³ýÁ˽éÉÜOSSIMÊý¾Ý¿â×é³É¡¢±í½á¹¹£¬ÒÔ¼°ÏµÍ³Ç¨ÒƱ¸·ÝµÈ¼¼ÇÉ£¬ÒÔÍ⻹°üÀ¨¸÷ÖÖ³£¼ûMySQL¹ÊÕϵÈÄÚÈÝ¡£
µÚ4Õ£º±¾Õ´ӹØÁª·ÖÎö»ù´¡½²Æð£¬Öð²½ÉîÈëµ½OSSIM°²È«Ê¼þÌáÈ¡¹ý³Ì£¬½éÉÜÁ˳£ÓõĹØÁª·ÖÎöËã·¨¡£»¹¶Ô±¨¾¯Ê¼þµÄ¾ÛºÏÔÀí×÷ÁËÏêϸ·ÖÎö£¬²¢½áºÏOSSIMÏÖ×´²ÉÓöà¸öʵÀý½²½â¹ØÁª¹æÔòºÍ×Ô¶¨Òå²ßÂÔµÄʹÓ÷½·¨¡£
µÚ5Õ£º±¾ÕÂÖ÷Òª½éÉܸ÷ÖÖOSSIMϵͳÖеļà¿Øµ÷ÊÔ¹¤¾ßµÄʹÓã¬ÒÔ¼°ÏµÍ³Æ¿¾±µÄÕï¶Ï·½·¨¡£
µÚ6Õ£º±¾ÕÂÖصã½éÉÜÁËSnort ÔÀíºÍÔ¤´¦Àí³ÌÐò·¢»ÓµÄ×÷Ó㬰üÀ¨Snort±¨¾¯·½·¨¡£ÉîÈë·ÖÎöSnort¹æÔò±àдÔÚOSSIMÖеÄÓ¦Óü¼ÇÉÒÔ¼°ÍøÂçÒì³£ÐÐΪ·ÖÎö·½·¨¡£
3. ʵսƪ
µÚ7Õ£º±¾Õ´ÓÈÕÖ¾±ê×¼»¯ºÍÊÕ¼¯·ÖÎö·½·¨½²Æð£¬Ïêϸ·ÖÎö¸÷ÖÖ·þÎñ¡¢ÍøÂçÉ豸Ëù²úÉúµÄÈÕÖ¾£¬°üÀ¨Apache¡¢Ftp¡¢Squid¡¢DhcpµÈ£¬²¢Í¨¹ýʵÀýÏêϸ½éÉÜOSSIM²å¼þ¿ª·¢¹ý³Ì¡£
µÚ8Õ£º±¾Õ½²½âNetflow½øÐÐÒì³£Á÷Á¿·ÖÎöµÄ·½·¨£¬°üÀ¨NetflowÊý¾Ý²É¼¯ºÍ¹ýÂË·½·¨£¬½éÉÜÁË·Ö²¼Ê½»·¾³ÖУ¬ÀûÓÃNetflow¼à²âÒì³£Á÷Á¿µÄ¼¼ÇÉ£¬Í¬Ê±Õë¶ÔOSSIMÖÐNtop¡¢Nagios¡¢NetflowÈýÖÖ¼ì²â¹¤¾ßµÄʹÓ÷½·¨½øÐÐÁ˶Աȡ£×îºó»¹½éÉÜÁËCactiºÍZabbixµÚÈý·½¿ªÔ´¼à¿ØÈí¼þ¼¯³ÉµÄ·½·¨¡£
µÚ9Õ£º±¾Õ´ÓOSSIM¿ØÖƹÜÀíÖÐÐĽÇɫȨÏÞ¿ØÖƽ²Æð£¬È«Ãæ½éÉÜÁËOSSIM Web UIµÄ½á¹¹£¬½²½âÁËOssecÈÕÖ¾·ÖÎö¹¤¾ßµÄÅäÖÃʹÓúͣÁgentµÄ°²×°·½·¨¡£½éÉÜÁËOSSIMÖйÜÀíÍøÂç×ʲúµÄʵÀý£¬²¢¶ÔOpenvasɨÃèÄ£¿é¡¢½Å±¾ÒÔ¼°¹æÔò×öÁËÉîÈë·ÖÎö¡£Õ¹Ê¾Á˶à¸öÀûÓÃOSSIM½øÐи߼¶¹¥»÷¼ì²âµÄʵÀý£¬ÒÔ¼°ÀûÓÃOSSIM½øÐкϹæ¹ÜÀíºÍϵͳͳһ±¨±íÊä³öµÄ·½·¨¡£
µÚ10Õ£º±¾ÕÂÖ÷Òª½²½â»ùÓÚWeb·½Ê½ÏµÄ×¥°ü¼°Êý¾Ý°ü¹ýÂË·½·¨£¬²¢²ÉÓøù¤¾ßÔ¶³Ì½â¾öÍøÂç¹ÊÕϵķ½·¨£¬Öصã½éÉÜÁËtshark¡¢tcpdumpµÈ×¥°ü¹¤¾ßµÄ¸ß¼¶Ê¹Ó÷½·¨£¬×îºóÒÔÒ»¸öµäÐÍIEä¯ÀÀÆ÷µÄ0 day©¶´¹¥»÷µÄʵÀýÀ´¼ìÑéÕâÖÖ¹¤¾ßËù·¢»ÓµÄ×÷Óá£
ËÄ¡¢±¾ÊéÔ¼¶¨
£¨1£©¹ØÓÚ°æ±¾
±¾ÊéÈí¼þµÄ°²×°»·¾³ÎªDebianLinux 6.0£¨Squeeze£©£¬ÄÚºËΪ2.6.32¡£ÔÚ°²×°ÆäËûÈí¼þʱ£¬±ØÐë·ûºÏ¸Ã°æ±¾ÒªÇó¡£
£¨2£©¹ØÓڲ˵¥µÄÃèÊö
OSSIMµÄǰ̨½çÃ渴ÔÓ£¬ÊéÖо³£»áÓÃÒ»´®´ø¼ýÍ·µÄµ¥´Ê±í´ï²Ëµ¥µÄ·¾¶£¬ÀýÈçWeb UI µÄDashboards¡úOverview¡úExecutive£¬±íʾWeb½çÃæÏÂÊó±êÒÀ´Î¾¹ý²Ëµ¥Dashboards¡¢Overview×îºóµ½´ïExecutiveÒDZí°å¡£
£¨3£©Â·¾¶ÎÊÌâ
±¾ÊéÖгýÌرð˵Ã÷£¬ËùÉ漰·¾¶¾ùÖ¸ÔÚOSSIMϵͳϵķ¾¶£¬¶ø²»ÊÇÆäËûµÄLinux·¢Ðа档Öն˿ØÖÆָ̨ͨ¹ýrootµÇ¼ϵͳ£¬È»ºóÊäÈë¡°ossim-setup¡±Æô¶¯OSSIMÖն˿ØÖÆ̨µÄ½çÃ棬Èçͼ1Ëùʾ¡£
wKiom1ZrUxrSL_lXAAFTHlEA0xQ452.jpg
ͼ1 Öն˿ØÖÆ̨
ÔÚÖն˿ØÖÆ̨Ï£¬Ñ¡ÔñJailbreakSystem²Ëµ¥¾ÍÄܽøÈëRootshell£¬µÇ¼ÈÕÖ¾»á±£´æÔÚ/var/log/ossim/root_access.logÎļþÖС£
£¨4£©SIEMʼþ·ÖÎö¿ØÖÆ̨
ÊéÖеÄSIEM¿ØÖÆ̨ÊÇָͨ¹ýWeb UI ½øÈëϵͳ£¬Ôڲ˵¥Analysis¡úSIEMϵĽçÃ棬Èçͼ2Ëùʾ¡£
wKiom1ZrU1ayrSjHAAGkTqkCBAs883.jpg
ͼ2 SIEMʼþ·ÖÎö¿ØÖÆ̨
£¨5£©¹ØÓÚOSSIM Server¶ËÓëSensor¶ËµÄÔ¼¶¨
±¾Êé¸÷ÕÂÖн²ÊöµÄOSSIMServer¶Ë£¬ÊÇָͨ¹ýAlienvaultUSM°²×°µÄϵͳ£¬°üÀ¨OSSIMËÄ´ó×é¼þ£¬Sensor¶ËÊÇͨ¹ýAlienvault Sensor°²×°µÄϵͳ¡£
£¨6£©¹ØÓÚµØͼÏÔʾÎÊÌâ
ËùÓеØͼÐÅÏ¢Òý×ԹȸèµØͼ£¬´ó¼ÒÔÚ×öʵÑéÇ°È·±£ÄÜÁ¬ÉϹȸèµØͼ£¬¶øÇÒʹÓÃϵͳÖÐOTX£¬Ç°ÌáÌõ¼þÒ²ÐèÒªÄÜÁ¬½Óµ½¹È¸è¡£
£¨7£©ä¯ÀÀÆ÷Ô¼¶¨
OSSIM Web UIÊʺϲÉÓÃSafari7.0ÒÔÉÏ¡¢Google Chrome44.0ÒÔÉÏIE10.0ÒÔÉÏä¯ÀÀÆ÷·ÃÎÊ¡£
Îå¡¢±¾Êé¶ÁÕ߶ÔÏó
±¾ÊéÖ÷ÒªÃæÏòÒÔÏÂÀàÐͶÁÕߣº
l»¥ÁªÍøºÍ°²È«ÐÐÒµµÄϵͳ°²È«´ÓÒµÈËÔ±¡£
lÒøÐС¢Ö¤¾íºÍ±£ÏÕÐÐÒµITÔËάÈËÔ±¡£
lÕþ¸®¡¢¸ßУºÍ¿ÆÑлú¹¹µÈµ¥Î»ITÔËάÈËÔ±¡£
Áù¡¢¹âÅÌÄÚÈÝ
±¾ÊéÅäÌ×¹âÅÌ°üÀ¨£ºOSSIMÈëÃŶàýÌå½Ì³Ì¡¢OSSIM°²×°ISO¡¢OSSIMÔ´ÂëÈý²¿·ÖÄÚÈÝ£¬ÆäÖÐÊÓƵÄÚÈÝÓÐÒÔÏÂÕ½ڣº
lµÚÒ»¼¯£ºOSSIMµÄÓÉÀ´¼°Ó¦Óò¿Êð
lµÚ¶þ¼¯£ºÍøÂçÍþв¸ÐÖª¼¼Êõ̽ÌÖ
lµÚÈý¼¯£ºOSSIMµ¥»ú²¿Êð°²×°Óë·Ö²¼Ê½°²×°
lµÚËļ¯£ºOSSIMÒDZíÅ̲Ù×÷³õ²½
lµÚÎ弯£ºSIEM¿ØÖÆ̨ÓëAlarmʼþ¸æ¾¯½âÎö
lµÚÁù¼¯£º×ʲú¹ÜÀíÓ멶´É¨Ãè
lµÚÆß¼¯£ºOpenvas×é³É¼°Éý¼¶Êµ¼ù
lµÚ°Ë¼¯£ºNetflowÓ¦ÓÃ
lµÚ¾Å¼¯£ºOSSIMȨÏÞÉèÖÃÓë²ßÂÔ¹ÜÀí
lµÚÊ®¼¯£ºÓÃOSSIM·¢ÏÖÈä³æ¹¥»÷
lµÚʮһ¼¯£º±¨±íºÏ¹æ¹ÜÀí
lµÚÊ®¶þ¼¯£ºÃüÁîÐÐģʽÏ¿ØÖÆ̨×ۺϹÜÀí
Æß¡¢¹ØÓÚ×÷Õß
À¹â£¬±ÏÒµÓÚÖйú¿ÆѧԺÑо¿ÉúÔº£¬Ä¿Ç°¾ÍÖ°ÓÚÊÀ½ç500Ç¿ÆóÒµ£¬×ÊÉîÍøÂç¼Ü¹¹Ê¦¡¢51CTOѧԺ½²Ê¦¡¢IBM¾«Ó¢½²Ê¦¡¢UNIX/Linuxϵͳ°²È«×¨¼Ò£¬ÏÖÈÎÖйú¼ÆËã»úѧ»á£¨CCF£©¸ß¼¶»áÔ±£»ÔÚ¹úÄÚ¡¶¼ÆËã»ú°²È«¡·¡¢¡¶³ÌÐòÔ±¡·¡¢¡¶¼ÆËã»úÊÀ½ç¡·¡¢¡¶ÍøÂçÔËάÓë¹ÜÀí¡·¡¢¡¶ºÚ¿Í·ÀÏß¡·µÈרҵÔÓÖ¾·¢±íÂÛÎÄÁùÊ®Óàƪ¡£Ôø¶ÀÖø³©ÏúÊ顶LinuxÆóÒµÓ¦Óð¸Àý¾«½â¡·¡¢¡¶LinuxÆóÒµÓ¦Óð¸Àý¾«½âµÚ2°æ¡·£¬¡¶Unix/LinuxÍøÂçÈÕÖ¾·ÖÎöÓëÁ÷Á¿¼à¿Ø¡·µÈ¾µäѧϰ½Ì³Ì£¬¾ù±»ÖпÆԺͼÊé¹Ý¡¢¹úÄÚÖصã¸ßУͼÊé¹ÝºÍ¹úÁ¢Ì¨Íå´óѧͼÊé¹ÝµÈ200¶à¼ÒͼÊé¹ÝÊղء£¡¶Unix/LinuxÍøÂçÈÕÖ¾·ÖÎöÓëÁ÷Á¿¼à¿Ø¡·Ò»Ê飬ÓÚ2015Äê»ñ×îÊܶÁÕßϲ°®µÄ±¾°æÀàͼÊé½±¡£
wKiom1Zra2uDA3lHAABZpvAyuLU749.jpg
ÔøÖøͼÊé¼ÛÖµ
±¾ÈËËùÖøͼÊéÈ«²¿ÊÕ¼ÔÚ¹úÄÚ211¡¢985Öصã¸ßУºÍ¿ÆÑлú¹¹Í¼Êé¹Ý¡£
wKiom1ZuKDOTJrZjAAUhcReTrMc802.jpg
²éѯ½á¹û³ö×Ô£ºhttp://www.las.ac.cn/
wKiom1ZuHs_gEuZCAAf5oYE-XiU533.jpg
¶à²¿Öø×÷»ñ½±²¢ÖØÓ¡
wKioL1ZuH0uj4OQ7AAR_P6_qVzU112.jpg
¶ÁÕߺÃÆÀÂÊ95%ÒÔÉÏ
wKioL1ZuIK_Cf6xlAAphZBqIr-o863.jpg
¡¶Öлª¶ÁÊ鱨¡·±¨µÀ¸ÃÊéµÄÔÎÄ£ºhttp://epaper.gmw.cn/zhdsb/images/2015-01/28/19/2015012819_pdf.pdf
¡¶ÍøÂçÔËάÓë¹ÜÀí¡·ÔÓÖ¾ÓÚ2014Äê7Ô·ݿ¯·¢Á˱¾ÈËÈËÎïר·Ã¡£
±¾È˾³£ÊÜÑûÔÚ¹úÄÚϵͳ¼Ü¹¹Ê¦´ó»áºÍÍøÂçÐÅÏ¢°²È«´ó»á·¢±í¼¼ÊõÑݽ²£¬2012Äêµ£ÈÎÖйúϵͳ¼Ü¹¹Ê¦´ó»á£¨SACC£©ÔËά¿ª·¢×¨³¡¼Î±öÖ÷³ÖÈË¡£2013ÄêÔÚIT168¾Ù°ìÆóÒµÄÚÍøÐÅÏ¢°²È«Êµ¼ùɳÁú»î¶¯ÔÚ·¢±í¼¼ÊõÑݽ²¡£2014£¨µÚÊ®½ì£©ÖйúÍøÂçÖ÷¹ÜÂÛ̳±±¾©Õ¾·¢±í¼¼ÊõÑݽ²¡£2014Ä꡶ÍøÂçÔËάÓë¹ÜÀí¡·ÔÓÖ¾¶Ô±¾È˽øÐжÀ¼Òר·Ã²¢¿¯·¢ÓÚ13ÆÚÔÓÖ¾ÖС¢2015Äê4ÔÂÔÚWOT»¥ÁªÍøÔËάÓ뿪·¢Õß´ó»á·¢±í¼¼ÊõÑݽ²£¬Èçͼ3Ëùʾ¡£
wKiom1ZrU8eA3VZVAAEEkvYWUe8055.jpg
ͼ3 ×÷ÕßÔÚ¸÷ÖÖÈ«¹ú´ó»áÖз¢±í¼¼ÊõÑݽ²
°Ë¡¢Ö§³ÖÓ뿱Îó
ÓÉÓÚOSSIM±¾Éí½á¹¹¸´ÔÓ£¬ÖªÊ¶µãÖڶ࣬ÔÚ±¾Êé׫д¹ý³ÌÖÐÄÑÃâÓÐËùÊè©£¬Ï£Íû¹ã´ó¶ÁÕßÄÜ°ÑÎÊÌâ·´À¡¸ø±ÊÕߣ¬±¾È˲»Ê¤¸Ð¼¤¡£ÎªÁË·½±ã¶ÁÕßѧϰʵ¼ù£¬ÊéÖÐÉæ¼°ËùÓÐÈí¼þºÍʵÑé»·¾³¶¼ÒÑ·¢²¼ÔÚ×÷Õß²©¿Íhttp://chenguang.blog.51cto.com/350944/1679097£¬Ôڴ˲©¿ÍÖеÄOSSIMרÀ¸°üº¬ÁË´óÁ¿ÊµÕ½¾Ñ飬´ó¼Ò¿ÉÒÔÒ»±ßÔĶÁ±¾Ê飬һ°ã²Î¿¼²©¿Í£¬»¥ÎªÓ¡Ö¤£¬ÈçÓÐÎÊÌâ´ó¼Ò¿ÉÒÔÁôÑÔ£¬ÎÒ½«¶¨ÆÚΪ¶ÁÕß½â´ð¡£
¾Å¡¢ÖÂл
Ê×ÏȸÐлÎҵĸ¸Ä¸¶àÄêÀ´ÑøÓýÖ®¶÷£¬¸ÐлÎÒÔÚ¸÷¸öÇóѧ½×¶ÎµÄÀÏʦÃÇ£¬¸Ðлÿһλ¶ÁÕߣ¬ÄãÃǽ«ÊDZ¾Êé¼ÌÐøÍêÉƵÄж¯Á¦£¬ÓÈÆäÒª¸ÐлÎÒµÄÆÞ×Ó£¬ÓÐÁËËý¾«ÐĵÄÕչˣ¬ÎÒ²ÅÄÜÈ«ÉíÐÄͶÈëµ½´´×÷ÖС£×îºóÒª¸ÐлÇ廪´óѧ³ö°æÉçµÄ±à¼ÃÇ£¬ÎªÁËÌáÉý±¾ÊéÖÊÁ¿ËûÃÇ»¨·ÑÁË´óÁ¿ÐÄѪ¡£±¾ÊéÈôÓв»×ãÖ®´¦£¬¾´Çë¶ÁÕß²»ÁßÖ¸Õý¡£
À¹â
2015Äê9ÔÂ
±¾Êé¹Ø¼ü´Ê£º
ÈÕÖ¾±ê×¼»¯£» ¿ÉÊÓ»¯Ê¼þ£» ÍøÂ簲ȫ̬ÊƸÐÖª¼¼Êõ£» ¹ØÁª·ÖÎö£» ÍøÂç·çÏÕÆÀ¹À£» ©¶´É¨Ã裻ÐÒé·ÖÎö£» Á÷Á¿·ÖÎö£» ºÏ¹æ¹ÜÀí£» ±¨±íÊä³ö£» ·Ö²¼Ê½²¿Ê𣻠IDS/NIDS/HIDS; IPÐÅÓþÆÀ¼Û£»¿ª·ÅÍþв½»»»OTX£»ÖªÊ¶¿â£»Êý¾Ý¿â±¸·Ý
Ŀ ¼
µÚһƪ »ù´¡Æª
µÚ1Õ OSSIM¼Ü¹¹ÓëÔÀí
1.1 OSSIM¸Å¿ö 2
1.1.1 ´ÓSIMµ½OSSIM 3
1.1.2 °²È«ÐÅÏ¢ºÍʼþ¹ÜÀí£¨SIEM£© 4
1.1.3 OSSIMµÄÇ°ÊÀ½ñÉú 5
1.2 OSSIM¼Ü¹¹Óë×é³É 11
1.2.1 Ö÷Ҫģ¿éµÄ¹Øϵ 12
1.2.2 °²È«²å¼þ£¨Plugins£© 14
1.2.3 ²É¼¯Óë¼à¿Ø²å¼þµÄÇø±ð 15
1.2.4 ¼ì²âÆ÷£¨Detector£© 18
1.2.5 ´úÀí£¨Agent£© 18
1.2.6 ±¨¾¯¸ñʽµÄ½âÂë 19
1.2.7 OSSIM Agent 20
1.2.8 ´úÀíÓë²å¼þµÄÇø±ð 24
1.2.9 ´«¸ÐÆ÷£¨Sensor£© 24
1.2.10 ¹ØÁªÒýÇæ 26
1.2.11 Êý¾Ý¿â£¨Database£© 28
1.2.12 Web ¿ò¼Ü£¨Framework£© 29
1.2.13 Ajax´´½¨½»»¥ 30
1.2.14 ¹éÒ»»¯´¦Àí 31
1.2.15 ±ê×¼µÄ°²È«Ê¼þ¸ñʽ 31
1.2.16 OSSIM·þÎñ¶Ë¿Ú 35
1.3 »ùÓÚ²å¼þµÄÈÕÖ¾²É¼¯ 37
1.3.1 °²È«Ê¼þ·ÖÀà 37
1.3.2 ²É¼¯Ë¼Â· 37
1.4 AgentʼþÀàÐÍ 43
1.4.1 ÆÕͨÈÕÖ¾¾ÙÀý 43
1.4.2 plugin_idÒ»¶Ô¶à¹Øϵ 44
1.4.3 MACʼþÈÕÖ¾¾ÙÀý 46
1.4.4 ²Ù×÷ϵͳʼþÈÕÖ¾¾ÙÀý 46
1.4.5 ϵͳ·þÎñʼþÈÕÖ¾¾ÙÀý 46
1.5 RRDTool»æͼÒýÇæ 47
1.5.1 ±³¾° 47
1.5.2 RRD ToolÓë¹ØϵÊý¾Ý¿âµÄ²»Í¬ 48
1.5.3 RRD»æͼÁ÷³Ì 48
1.6 OSSIM¹¤×÷Á÷³Ì 49
1.7 »º´æÓëÏûÏ¢¶ÓÁÐ 49
1.7.1 »º´æϵͳ 49
1.7.2 ÏûÏ¢¶ÓÁд¦Àí 50
1.7.3 RabbitMQ 51
1.7.4 Ñ¡ÔñKey/Value´æ´¢ 52
1.7.5 OssimϲÙ×÷Redis 53
1.7.6 Redis ServerÅäÖÃÏê½â 56
1.7.7 RabbitMQ¡¢RedisÓëMemcached¼à¿Ø 57
1.8 OSSIM ¸ß¿ÉÓüܹ¹ 59
1.8.1 OSSIM¸ß¿ÉÓÃʵÏÖ¼¼Êõ 59
1.8.2 °²×°»·¾³ 60
1.8.3 ÅäÖñ¾µØÖ÷»ú 60
1.8.4 ÅäÖÃÔ¶³ÌÖ÷»ú 61
1.8.5 ͬ²½Êý¾Ý¿â 61
1.8.6 ͬ²½±¾µØÎļþ 61
1.9 OSSIM·À»ðǽ 62
1.9.1 Àí½âFilter»úÖÆ 62
1.9.2 ¹æÔòÆ¥Åä¹ý³Ì 64
1.9.3 Iptables¹æÔò¿â¹ÜÀí 65
1.10 OSSIMµÄ¼Æ»®ÈÎÎñ 66
1.10.1 Linux¼Æ»®ÈÎÎñ 66
1.10.2 OSSIMÖеļƻ®ÈÎÎñ 68
1.11 С½á 70
µÚ2Õ OSSIM²¿ÊðÓë°²×°
2.1 OSSIM°²×°²ßÂÔ 71
2.1.1 ¶¨ÖÆIDS²ßÂÔ 71
2.1.2 ´«¸ÐÆ÷λÖà 72
2.2 ·Ö²¼Ê½OSSIMÌåϵ 73
2.2.1 ÌرðÓ¦Óà 74
2.2.2 ¶àIDSϵͳӦÓà 74
2.3 °²×°Ç°µÄ×¼±¸¹¤×÷ 75
2.3.1 ÈíÓ²¼þÅ䱸 75
2.3.2 ´«¸ÐÆ÷²¿Êð 76
2.3.3 ·Ö²¼Ê½OSSIMϵͳ̽Õë²¼¾Ö 78
2.3.4 OSSIM·þÎñÆ÷µÄÑ¡Ôñ 78
2.3.5 Íø¿¨µÄÑ¡Ôñ 80
2.3.6 ÊÖ¶¯¼ÓÔØÍø¿¨Çý¶¯ 80
2.3.7 ²ÉÓöàºË»¹Êǵ¥ºËCPU 81
2.3.8 ²éÕÒÓ²¼þÐÅÏ¢ 81
2.3.9 OSSIM USMºÍSensor°²×°Ä£Ê½µÄÇø±ð 82
2.3.10 OSSIMÉÌÒµ°æºÍÃâ·Ñ°æ±È½Ï 83
2.3.11 OSSIMʵʩÌصã 84
2.3.12 OSSIM¹ÜÀíÔ±·Ö¹¤ 85
2.4 »ìºÏ·þÎñÆ÷/´«¸ÐÆ÷°²×°Ä£Ê½ 86
2.4.1 °²×°Ç°µÄ×¼±¸¹¤×÷ 86
2.4.2 ¿ªÊ¼°²×°OSSIM 86
2.4.3 ÒÅÍüWeb UIµÇ¼ÃÜÂëµÄ´¦Àí·½·¨ 90
2.5 ³õʼ»¯ÏµÍ³ 90
2.5.1 ÉèÖóõʼҳÃæ 91
2.5.2 OTX----Ç鱨½»»»ÏµÍ³ 97
2.6 Vmware ESXiÏ°²×°OSSIM×¢ÒâÊÂÏî 100
2.6.1 ÉèÖ÷½·¨ 100
2.6.2 ÐéÄâ»úÏÂÎÞ·¨ÕÒµ½´ÅÅÌµÄ¶Ô²ß 102
2.7 OSSIM·Ö²¼Ê½°²×°Êµ¼ù 102
2.7.1 »ùÓÚOpenSSLµÄ°²È«ÈÏÖ¤ÖÐÐÄ 102
2.7.2 °²×°²½Öè 102
2.7.3 ·Ö²¼Ê½²¿Êð£¨VPNÁ¬½Ó £©¾ÙÀý 103
2.7.4 °²×°¶ą̀OSSIM£¨Sensor£© 105
2.7.5 SensorÖØ×°Á÷³Ì 110
2.8 Ìí¼ÓVPNÁ¬½Ó 111
2.8.1 ÐèÇó 111
2.8.2 Server¶ËÅäÖã¨10.0.0.30£© 111
2.8.3 ÅäÖÃsensor£¨10.0.0.31£© 112
2.9 °²×°×îºó½×¶Î 113
2.10 OSSIM°²×°ºóÐø¹¤×÷ 114
2.10.1 ʱ¼äͬ²½ÎÊÌâ 114
2.10.2 ϵͳÉý¼¶ 115
2.10.3 apt-get ³£¼û²Ù×÷ 118
2.10.4 ɨÃè×ʲú 119
2.10.5 ͨ¹ý´úÀíÉý¼¶ÏµÍ³ 119
2.10.6 ·À»ðǽÉèÖà 120
2.10.7 ÈÿØÖÆ̨֧³Ö¸ß·Ö±æÂÊ 121
2.10.8 ÊÖ¶¯Ð޸ķþÎñÆ÷ IPµØÖ· 121
2.10.9 ÐÞ¸ÄϵͳÍø¹ØºÍDNSµØÖ· 121
2.10.10 ¸ü¸ÄĬÈÏÍøÂç½Ó¿Ú 122
2.10.11 Ïû³ýµÇ¼²Ëµ¥ 122
2.10.12 ½øÈëOSSIMµ¥Óû§Ä£Ê½ 122
2.11 OSSIMÆô¶¯ÓëÍ£Ö¹ 123
2.12 °²×°Ô¶³Ì¹ÜÀí¹¤¾ß 125
2.12.1 °²×°Webmin¹ÜÀí¹¤¾ß 125
2.12.2 °²×°PhpmyAdmin 125
2.12.3 ÓÃPhpmyAdminͬ²½¹¦ÄÜǨÒÆÊý¾Ý¿â 127
2.13 ·Ö²¼Ê½ÏµÍ³²é¿´´«¸ÐÆ÷״̬ 128
2.13.1 ÉèÖÃָʾÆ÷ 128
2.13.2 ×¢ÒâÊÂÏî 130
2.14 °²×°×ÀÃæ»·¾³ 131
2.14.1 °²×°GNOME»·¾³ 131
2.14.2 °²×°FVWM»·¾³ 132
2.14.3 °²×°ÐéÄâ»ú 135
2.15 ×Ô¶¯»¯ÅäÖùÜÀí¹¤¾ßAnsible 137
2.15.1 SSHµÄºËÐÄ×÷Óà 138
2.15.2 AnsibleÅäÖÃ 139
2.15.3 Ansibleʵս 139
2.15.4 ·á¸»µÄÄ£¿é 144
2.15.5 Ansible ÓëÆäËûÅäÖùÜÀíµÄ¶Ô±È 144
2.16 SIEM¿ØÖÆ̨»ù´¡ 144
2.16.1 SIEM¿ØÖÆ̨ÈÕÖ¾¹ýÂ˼¼ÇÉ 145
2.16.2 ½«ÖØÒªÈÕÖ¾¼ÓÈ뵽֪ʶ¿â 151
2.16.3 SIEMÖÐÏÔʾ²»Í¬Àà±ðÈÕÖ¾ 153
2.16.4 ³£¼ûËÑË÷ÐÅÏ¢ 156
2.16.5 ÒDZíÅÌÏÔʾ 156
2.16.6 ʼþɾ³ýÓë»Ö¸´ 157
2.16.7 ÉîÈëʹÓÃSIEM¿ØÖÆ̨ 158
2.16.8 SIEMʼþ¾ÛºÏ 162
2.16.9 SIEMÒªËØ 163
2.16.10 SIEM¾¯±¨ÖÐÏÔʾ¼ÆËã»úÃû 170
2.16.11 SIEMʼþ±£´æÆÚÏÞ 170
2.16.12 SIEMÊý¾ÝÔ´Óë²å¼þµÄ¹Øϵ 171
2.16.13 SIEMÈÕÖ¾ÏÔʾÖгöÏÖ0.0.0.0µØÖ·µÄº¬Òå 172
2.16.14 ÎÞ·¨ÏÔʾSIEM°²È«Ê¼þʱ´¦Àí·½·¨ 173
2.16.15 SIEMÊý¾Ý¿â»Ö¸´ 173
2.16.17 EPSµÄº¬Òå 174
2.16.17 ³£¼ûOSSIM °²×°/ʹÓôíÎó 175
2.17 ¿ÉÊÓ»¯ÍøÂç¹¥»÷±¨¾¯Alarm·ÖÎö 177
2.17.1 ±¨¾¯Ê¼þµÄ²úÉú 177
2.17.2 ±¨¾¯Ê¼þ·ÖÀà 178
2.17.3 ÎåÀ౨¾¯Êý¾Ý°üÑù±¾ÏÂÔØ 183
2.17.4 ±¨¾¯·Ö×é 183
2.17.5 ʶ±ð¸æ¾¯Õæα 185
2.17.6 ´¥·¢OSSIM±¨¾¯ 185
2.18 С½á 193
µÚ¶þƪ Ìá¸ßƪ
µÚ3Õ OSSIMÊý¾Ý¿â¸ÅÊö
3.1 OSSIMÊý¾Ý¿â×é³É 195
3.1.1 MySQL 195
3.1.2 ±¾µØ·ÃÎÊ 196
3.1.3 ¼ì²é¡¢·ÖÎö±í 198
3.1.4 ÆôÓÃMySQLÂý²éѯ¼Ç¼ 199
3.1.5 Ô¶³Ì·ÃÎÊ 199
3.1.6 MongoDB 200
3.1.7 SQLite 201
3.2 OSSIMÊý¾Ý¿â·ÖÎö¹¤¾ß
3.2.1 ¸ºÔØÄ£Äâ·½·¨ 202
3.2.2 ÓÃMySQL Workbench¹¤¾ß·ÖÎö Êý¾Ý¿â 203
3.3 ²é¿´OSSIMÊý¾Ý¿â±í½á¹¹½âÎö 209
3.4 MySQL»ù±¾²Ù×÷ 212
3.5 OSSIMϵͳǨÒÆ 213
3.5.1 ǨÒÆ×¼±¸ 213
3.5.2 »Ö¸´OSSIM 214
3.6 OSSIMÊý¾Ý¿â³£¼ûÎÊÌâ½â´ð 216
1.µ±OSSIM 4ϵͳÊý¾Ý¿â·¢ÉúËð»µÊ±£¬ÈçºÎÖؽ¨Êý¾Ý¿â¡£
2.ÈçºÎ²éѯOSSIMÊý¾Ý¿âµÄhost¿ªÍ·µÄ±í¡£
3.ÈçºÎ±¸·ÝOSSIMµÄSIEMÊý¾Ý¿â¡£
4.ÈçºÎ²é¿´MySQLÊý¾Ý¿âÐÅÏ¢¡£
5.ÈçºÎ²é¿´OSSIMϵͳµÄSIEMÊý¾Ý¿â±¸·ÝÇé¿ö¡£
6.ÈçºÎÖÕÖ¹OSSIMÊý¾Ý¿âµÄ½©Ê¬½ø³Ì¡£
7.Èç¹û¸ºÔعý´óÔÚOSSIM ϵͳÖгöÏÖ¡°MySQL :ERROR 1040:Too many connections¡±Çé¿öÈçºÎ´¦Àí¡£
8.ÈçºÎÔ¶³Ìµ¼³öOSSIMÊý¾Ý¿â±í½á¹¹¡£
9.OSSIMϵͳ³öÏÖacid±í´íÎóʱÈçºÎ´¦Àí¡£
10.ÄÜÐÞ¸ÄOSSIMϵͳÖÐMySQLÊý¾Ý¿âÃÜÂ룿
11.µ±ÒâÍâÖжÏÊý¾Ý¿âд²Ù×÷»á»á¶ÔÊý¾Ý¿âµÄ±íÔì³ÉË𻵣¬ÈçºÎ¼ì²é±í¡£
12.ÈçºÎÇåÀíOSSIMÊý¾Ý¿â¡£
13.ÈçºÎÓÃxtrabackup±¸·ÝOSSIM Êý¾Ý¿â¡£
14.ÈçºÎ¿ìËÙÇå³ýSIEMÊý¾Ý¿â¡£
15.ÈçºÎ¼Ç¼OSSIMÊý¾Ý¿âµÄÖ´Ðйý³Ì¡£
16.ÈçºÎÓÅ»¯±í¡£
17.ÈçºÎÓÃmysqldump±¸·ÝÊý¾Ý¿â¡£
3.7 С½á 226
µÚ4Õ OSSIM¹ØÁª·ÖÎö¼¼Êõ
4.1 ¹ØÁª·ÖÎö¼¼Êõ±³¾° 227
4.1.1 µ±Ç°µÄÌôÕ½ 227
4.1.2 »ù±¾¸ÅÄî 228
4.1.3 °²È«Ê¼þÖ®¼äµÄ¹Øϵ 228
4.2 ¹ØÁª·ÖÎö»ù´¡ 229
4.2.1 ´Óº£Á¿Êý¾Ýµ½¾«×¼Êý¾Ý 229
4.2.2 ÍøÂ簲ȫʼþµÄ·ÖÀà 230
4.2.3 AlarmÓëTicketµÄÇø±ð 234
4.2.4 ʹÓÃTicket 235
4.2.5 ¼ÓÈë֪ʶ¿â 236
4.2.6 °²È«Ê¼þÌáÈ¡ 237
4.2.7 OSSIMµÄ¹ØÁªÒýÇæ 238
4.2.8 ʼþµÄ½»²æ¹ØÁª 239
4.3 ±¨¾¯¾ÛºÏ 240
4.3.1 ±¨¾¯Ñù±¾¾ÙÀý 240
4.3.2 ʼþ¾ÛºÏ 241
4.3.3 ʼþ¾ÛºÏ¾ÙÀý 242
4.3.4 ʼþ¾ÛºÏÔÚOSSIMÖеıíÏÖÐÎʽ 243
4.3.5 SIEMÖеÄÈßÓ౨¾¯ 244
4.3.6 ºÏ²¢ÏàËÆʼþ 245
4.3.7 ͬÀàʼþµÄÅбð 245
4.3.8 ºÏ²¢Á÷³Ì 246
4.3.9 ʼþÓ³Éä 246
4.3.10 Ossec µÄ±¨¾¯ÐÅÏ¢µÄ¾ÛÀà 247
4.3.11 OssecÓëSnort ʼþºÏ²¢ 248
4.4 ·çÏÕÆÀ¹À·½·¨ 249
4.4.1 ·çÏÕÆÀ¹ÀÈýÒªËØ 249
4.4.2 Risk & Priority & ReliabilityµÄ¹ØϵʵÀý 250
4.4.3 ¶¯Ì¬¿ÉÐŶÈÖµ£¨Reliability£© 253
4.4.4 ²é¿´SIEM²»Í¬Ê¼þ 254
4.5 OSSIMϵͳ·çÏÕ¶ÈÁ¿·½·¨ 256
4.5.1 ·çÏÕÅж¨ 256
4.5.2 ʼþ»ýÀÛ¹ý³Ì 258
4.6 OSSIMÖеĹØÁª·ÖÀà 259
4.6.1 ¹ØÁª·ÖÀà 259
4.6.2 ¹ØÁªÖ¸Áî·ÖÀà 260
4.6.3 Ö¸Áî×é³É 262
4.6.4 ¶Á¶®Ö¸Áî¹æÔò 264
4.6.5 Directive Info 265
4.7 н¨¹ØÁªÖ¸Áî 266
4.8 OSSIMµÄ¹ØÁª¹æÔò 270
4.8.1 ¹ØÁªÖ¸ÁîÅäÖýçÃæ 271
4.8.2 ¹¹½¨¹æÔò 274
4.9 ÉîÈë¹ØÁª¹æÔò 276
4.9.1 »ù±¾²Ù×÷ 276
4.9.2 Àí½â¹æÔòÊ÷ 277
4.9.3 ¹¥»÷³¡¾°¹¹½¨ 281
4.9.4 ±¨¾¯¾ÛºÏ¼ÆËã·½·¨ 282
4.10 ×Ô¶¨Òå²ßÂÔʵÏÖSSHµÇ¼ʧ°Ü¸æ¾¯ 282
4.11 С½á 286
µÚ5Õ OSSIMϵͳ¼à²â¹¤¾ß
5.1 LinuxÐÔÄÜÆÀ¹À 287
5.1.1 ÐÔÄÜÆÀ¹À¹¤¾ß 287
5.1.2 ²éÕÒÏûºÄ×ÊÔ´µÄ½ø³Ì 289
5.2 OSSIMѹÁ¦²âÊÔ 289
5.2.1 ÈíÓ²¼þ²âÊÔ»·¾³ 289
5.2.2 ²âÊÔÏîÄ¿ 290
5.2.3 ²âÊÔ¹¤¾ß 290
5.2.4 IDS²âÊÔ¹¤¾ßNidsbench 293
5.3 ÐÔÄÜ·ÖÎö¹¤¾ßʵÀý 295
5.3.1 sar 296
5.3.2 vmstat 296
5.3.3 ÓÃiostat·ÖÎöI/O×Óϵͳ 297
5.3.4 dstat 298
5.3.5 iotop 300
5.3.6 atop 300
5.3.7 Ìæ´únetstatµÄ¹¤¾ßss¡£ 300
5.4 OSSIMƽ̨ÖÐMySQLÔËÐÐ×´¿ö 301
5.4.1 Ó°ÏìMySQLÐÔÄܵÄÒòËØ 301
5.4.2 ϵͳµÄIOPS 302
5.5 2SyslogѹÁ¦²âÊÔ¹¤¾ß----MustsyslogʹÓà 303
5.5.1 °²×°mustsyslog 304
5.5.2 ÈÕ־ģ°åÉè¼Æ 306
5.5.3 ÈÕÖ¾±êǩ˵Ã÷ 306
5.5.4 Óò±êÇ©¾ÙÀý 306
5.6 ³£¼ûÎÊÌâ½â´ð
1.OSSIMϵͳ¿Õ¼ä²»×ãÔÚÄÄÀï²éÕÒ´óÐÍÎļþ¡£
2. ºÎʱӦ¿¼ÂÇÔö¼ÓϵͳÄÚ´æ¡£
3.¼ì²âOSSIMϵͳÕûÌå״̬µÄÃüÁîÐй¤¾ß
4.¼à¿ØMySQLÀûÆ÷-mytop
5.¼à¿ØLinuxϵͳ×ÊÔ´ºÍ½ø³ÌµÄ¹¤¾ß¡£
6.ÈçºÎÕÒ³ö×îÏûºÄÄÚ´æµÄ½ø³Ì£¨smem£©
7.ÈçºÎ¶ÔOSSIMϵͳĿ¼´óС½øÐÐÅÅÐò?(ncdu)¡£
8.OSSIMµÄÁ÷Á¿¼à¿Ø¹¤¾ßiftop¡£
9.ÈçºÎÀûÓÃApache×Ô´ø¹¤¾ßab²âÊÔOSSIM ÏìÓ¦Ëٶȡ£
10.ÈçºÎÏêϸÁ˽âOSSIMϵͳ½ø³ÌµÄÍøÂç´ø¿íÕ¼ÓÃÇé¿ö
11.ΪOSSIMϵͳ½øÐÐѹÁ¦²âÊÔtcpreplay¡£
12.ѹÁ¦²âÊÔ¹¤¾ßTsungʹÓá£
13. hping3µÄʹÓÃ
5.7 С½á 322
µÚ6Õ Snort¹æÔò·ÖÎö
6.1 Ô¤´¦Àí³ÌÐò 323
6.1.1 Ô¤´¦ÀíÆ÷½éÉÜ 323
6.1.2 µ÷ÕûÔ¤´¦Àí³ÌÐò 330
6.1.3 ÍøÂç¹¥»÷ģʽ·ÖÀà 330
6.2 SnortÈÕÖ¾·ÖÎöÀûÆ÷ 332
6.3 SnortÈÕÖ¾·ÖÎö 333
6.3.1 ¹¤×÷ģʽ¼°Êä³ö²å¼þ 333
6.3.2 Êý¾Ý°ü¼Ç¼ģʽ 335
6.3.3 ÍøÂçÈëÇÖ¼ì²âģʽHIDS 338
6.3.4 Êä³ö²å¼þ 338
6.4 Snort ¹æÔò±àд 345
6.4.1 Snort ¹æÔò·ÖÎö 346
6.4.2 ¹æÔò×é³É¼°º¬Òå 347
6.4.3 ±àдSNORT¹æÔò 353
6.4.4 ÊÖ¹¤ÐÞ¸ÄSuricata¹æÔò 356
6.4.5 ÆôÓÃн¨µÄET¹æÔò 356
6.4.6 Ó¦ÓÃйæÔò 357
6.4.7 Ö÷¶¯Ì½²âÓë±»¶¯Ì½²â 358
6.5 ¿ÉÒÉÁ÷Á¿¼ì²â¼¼Êõ 358
6.5.1 ͨ¹ýÌØÕ÷¼ì²â 358
6.5.2 ¼ì²â¿ÉÒɵÄÔØºÉ 358
6.5.3 ¼ì²â¾ßÌåÔªËØ 359
6.5.4 OSSIMÖеÄSnort¹æÔòÓëSPADE¼ì²â 360
6.5.5 ¶ñÒâ´úÂëÐÐΪÌØÕ÷·ÖÎö 360
6.5.6 ÃÛ¹Þ¼ì²â 361
6.6 Snort¹æÔò½ø½× 362
6.6.1 ¿ÉÒÉÁ÷Á¿µÄ±¨¾¯ 362
6.6.2 ¿Õ»á»°¹¥»÷©¶´±¨¾¯ 363
6.6.3 Óû§È¨ÏÞ»ñÈ¡ 363
6.6.4 ʧ°ÜµÄȨÏÞÌáÉý±¨¾¯¹æÔò 364
6.6.5 Æóͼ»ñÈ¡¹ÜÀíԱȨÏÞ 364
6.6.6 ³É¹¦»ñÈ¡¹ÜÀíԱȨÏÞ 364
6.6.7 ¾Ü¾ø·þÎñ 365
6.7 ¸ßËÙÍøÂç»·¾³µÄÓ¦Óà 367
6.7.1 Suricata VS Snort 367
6.7.2 PF_RING¹¤×÷ģʽ 368
6.8 ÍøÂçÒì³£ÐÐΪ·ÖÎö 368
6.8.1 Á÷³Ì·ÖÎö 368
6.8.2 ¾ÙÀý 370
6.10 С½á 371
µÚÈýƪ ʵսƪ
µÚ7Õ OSSIMÈÕÖ¾ÊÕ¼¯Óë·ÖÎö
7.1 ÈÕÖ¾·ÖÎöÏÖ×´ 324
7.1.1 ÈÕÖ¾¼Ç¼ÄÚÈÝ 325
7.1.2 ÈÕÖ¾ÖÐÄÜ¿´³öʲô£¿ 326
7.1.3 ÈÕÖ¾·ÖÎöµÄ»ù±¾¹¤¾ß¼°È±ÏÝ 327
7.1.4 º£Á¿ÈÕÖ¾ÊÕ¼¯·½Ê½ 327
7.2 ÈÕÖ¾ÏûÏ¢¸ñʽÓë´æ´¢ 327
7.2.1 ÈÕÖ¾ÏûÏ¢¸ñʽ 327
7.2.2 OSSIMϵÄÈÕÖ¾²éѯ±È½Ï 328
7.2.3 ÈÕÖ¾µÄµ¼³ö 330
7.2.4 ÈÕÖ¾·ÖÀà¿ÉÊÓ»¯ 331
7.2.5 »ùÓÚÎı¾¸ñʽµÄÈÕÖ¾ 332
7.2.6 »ùÓÚѹËõģʽµÄÈÕÖ¾Îļþ 333
7.2.7 ÈÕ־ת´¢µ½Êý¾Ý¿â 334
7.2.8 ÈÕÖ¾´¦Àí¼°±£´æʱ¼ä 335
7.2.9 ÈÕ־ϵͳ±£»¤ 335
7.2.10 ÈÕÖ¾ÂÖѯ 335
7.2.11 OSSIM·Ö²¼Ê½ÏµÍ³ÖÐÈÕÖ¾´æ´¢ÎÊÌâ 336
7.3 ÈÕÖ¾ÐÒéSyslog 336
7.3.1 ³£¼ûÈÕÖ¾ÊÕ¼¯·½Ê½ 337
7.3.2 ÈÕÖ¾µÄ±ê×¼»¯ 338
7.3.3 Ö÷Á÷ÈÕÖ¾¸ñʽ½éÉÜ 338
7.3.4 SyslogÈÕÖ¾¼Ç¼¼¶±ð 340
7.3.5 Syslog.confÅäÖÃÎļþ 340
7.3.6 ÓÃTcpdump·ÖÎöSyslogÊý¾Ý°ü 342
7.3.7 SyslogµÄ°²È«Â©¶´ 342
7.3.8 ÅäÖÃSNMP 342
7.4 ÔʼÈÕÖ¾¸ñʽ¶Ô±È 343
7.5 ²å¼þÅäÖò½Öè 344
7.6 ²å¼þµ¼Èë 345
7.7 ²å¼þ×¢²á²Ù×÷ʵÀý 345
7.8 Agent²å¼þ´¦ÀíÈÕÖ¾¾ÙÀý 349
7.8.1 ÊÕ¼¯Óë´¦Àí¹ý³Ì 349
7.8.2 ³£¼ûWindowsÈÕ־ת»»syslog¹¤¾ß 352
7.8.3 WindowsÈÕÖ¾ÉóºË 353
7.8.4 ÊÕ¼¯Windowsƽ̨ÈÕÖ¾ 353
7.8.5 ÊÕ¼¯Cisco ·ÓÉÆ÷ÈÕÖ¾ 354
7.9 rsyslog 355
7.9.1 RsyslogÅäÖÃÏê½â 355
7.9.2 rsyslogÅäÖòÎÊýº¬Òå 356
7.9.3 Ñ¡ÔñºÏÊʵÄÈÕÖ¾¼¶±ð 356
7.10 ÍøÂçÉ豸ÈÕÖ¾·ÖÎöÓë¾ÙÀý 357
7.10.1 ·ÓÉÆ÷ÈÕÖ¾·ÖÎö 358
7.10.2 ½»»»»úÈÕÖ¾·ÖÎö 358
7.10.3 ·À»ðǽÈÕÖ¾·ÖÎö 360
7.10.4 ÊÕ¼¯CheckPointÉ豸ÈÕÖ¾ 362
7.10.5 Aruba£¨ÎÞÏßAP£©µÄÈÕÖ¾ 364
7.11 ApacheÈÕÖ¾·ÖÎö 364
7.11.1 ÈÕÖ¾×÷ÓÃ 364
7.11.2 ÈÕÖ¾¸ñʽ·ÖÎö 365
7.11.3 ÈÕ־ͳ¼Æ¾ÙÀý 365
7.11.4 ´íÎóÈÕÖ¾·ÖÎö 367
7.12 NginxÈÕÖ¾·ÖÎö 369
7.12.1 »ù±¾¸ñʽ 369
7.12.2 ½«NginxÈÕÖ¾·¢Ë͵½Syslog 370
7.13 FTPÈÕÖ¾·ÖÎö 370
7.13.1 FTPÈÕÖ¾·ÖÎö 371
7.13.2 ·ÖÎövsftpd.logºÍxferlog 372
7.13.3 ½«LinuxµÄ VsftpÈÕÖ¾·¢Ë͵½OSSIM 373
7.14 iptables ÈÕÖ¾·ÖÎö 375
7.14.1 iptablesÈÕÖ¾·ÖÎö 375
7.14.2 iptablesÈÕÖ¾¹ÜÀí·¶Àý 377
7.14.3 Êä³öiptablesÈÕÖ¾µ½Ö¸¶¨Îļþ 378
7.15 Squid·þÎñÈÕÖ¾·ÖÎö 380
7.15.1 SquidÈÕÖ¾·ÖÀà 381
7.15.2 µäÐÍSquid·ÃÎÊÈÕÖ¾·ÖÎö 381
7.15.3 Squidʱ¼ä´Áת»» 382
7.15.4 ½«SquidµÄÈÕÖ¾ÊÕ¼¯µ½OSSIM 383
7.16 DHCP ·þÎñÆ÷ÈÕÖ¾ 384
7.17 ÊÕ¼¯WindowsÈÕÖ¾ 386
7.17.1 OSSIMÈÕÖ¾´¦ÀíÁ÷³Ì 387
7.17.2 ͨ¹ýSnareת·¢WindowsÈÕÖ¾ 387
7.17.3 ͨ¹ýWMIÊÕ¼¯WindowsÈÕÖ¾ 391
7.17.4 ÅäÖÃOSSIM 392
7.17.5 SnareÓëWMIµÄÇø±ð 394
7.18 С½á 394
µÚ8Õ OSSIMÁ÷Á¿·ÖÎöÓë¼à¿Ø
8.1 ÓÃNetFlow·ÖÎöÒì³£Á÷Á¿ 395
8.1.1 Á÷Á¿²É¼¯¶ÔÒµÎñµÄÓ°Ïì 396
8.1.2 NetFlow µÄCache¹ÜÀí 397
8.1.3 NetFlowµÄÊä³ö¸ñʽ 397
8.1.4 NetFlowµÄ²ÉÑù»úÖÆ 397
8.1.5 NetFlow²ÉÑù¹ýÂË 397
8.2 NetFlowÔÚ¼à²â¶ñÒâ´úÂëÖеÄÓÅÊÆ 399
8.2.1 NetFlowµÄÐÔÄÜÓ°Ïì 400
8.2.2 NetFlowÔÚÈä³æ²¡¶¾¼à²âµÄÓ¦Óà 400
8.2.3 ÍøÂçɨÃèºÍÈä³æ¼ì²âµÄÎÊÌâ 401
8.2.4 NetFlowÓë¹È¸èµØͼµÄ¼¯³ÉÏÔʾ 404
8.2.5 ÆäËûÒì³£Á÷Á¿¼ì²â½á¹û·ÖÎö 405
8.3 OSSIMÏÂNetFlowʵս 406
8.3.1 NetFlow×é³É 406
8.3.2 ¹Ø¼ü²ÎÊý½âÊÍ 408
8.3.3 SensorÖÐÆôÓÃNetFlow 409
8.3.4 NfsenÊý¾ÝÁ÷µÄ´æ´¢Î»Öà 410
8.3.5 NetFlows³éÑùÊý¾Ý±£´æʱ¼ä 412
8.3.6 NetFlowµÄ¶ÁÈ¡·½Ê½ 412
8.3.7 nfdumpµÄ×÷Óà 414
8.3.8 ½«NetFlowÊý¾Ý¼¯³Éµ½Web UIµÄÒDZíÅÌ 414
8.3.9 ·Ö²¼Ê½»·¾³ÏÂNetFlowÊý¾ÝÁ÷´¦Àí 415
8.4 OSSIMÁ÷Á¿¼à¿Ø¹¤¾ß×ÛºÏÓ¦Óà 419
8.4.1 NtopÁ÷Á¿²É¼¯·½Ê½ 419
8.4.2 Ntop¼à¿Ø 420
8.4.3 Êý¾Ý´óС·ÖÎö 425
8.4.4 Á÷Á¿·ÖÎö 426
8.4.5 ÐÒé·ÖÎö 430
8.4.6 ¸ºÔØ·ÖÎö 431
8.4.7 NtopÓ¦ÓÃ-ÍøÂçÊÓƵµÄ¼àÊÓ 432
8.4.8 Ntop µÄ·çÏÕÆìÖıêʾ 434
8.4.9 Éý¼¶µ½Ntopng 437
8.5 ¹ÊÕÏÅųý 439
8.5.1 ¶àÍø¿¨ÎÊÌâ 439
8.5.2 Ntop WebÒ³Ãæ´ò¿ª»ºÂý¶Ô²ß 439
8.5.3 ¡°Sensor not available¡±¹ÊÕÏ¶Ô²ß 440
8.5.4 ÔÝÍ£Ntop·þÎñ 440
8.5.5 ¹ÜÀíÔ±ÃÜÂëÒÅÍü¶Ô²ß 441
8.6 ÓÃNagios¼àÊÓ 441
8.6.1 NagiosʵÏÖÔÀí 442
8.6.2 ÀûÓÃNRPE ²å¼þʵÏÖ·þÎñÆ÷¼à¿Ø 443
8.6.3 NagiosµÄWeb ½çÃæ 445
8.6.4 Naigos²å¼þ 451
8.6.5 NagiosÀ©Õ¹NRPE 456
8.6.6 ¼à¿Ø¿ªÏú 457
8.6.7 OSSIMϵͳÖÐÓ¦ÓÃNagios¼à¿Ø×ÊÔ´ 457
8.6.8 Nagios±¨´í´¦Àí 459
8.6.9 ±»¶¯×ʲú¼ì²âPRADS 460
8.6.10 ÐÔÄܼà¿ØÀûÆ÷Munin 461
8.7 NagiosÅäÖÃÎļþ 462
8.7.1 Ö÷»ú¶¨Òå 463
8.7.2 ·þÎñ¶¨Òå 464
8.8 µÚÈý·½¼à¿Ø¹¤¾ß¼¯³É 464
8.8.1 OSSIM 2.3µÄ¼¯³É 465
8.8.2 OSSIM 4.1µÄ¼¯³É 466
8.8.3 OSSIM 4.6µÄ¼¯³É 466
8.8.4 Sensor°²×°Cacti 467
8.8.5 °²×°Zabbix 469
8.9 Ó²¼þ¼à¿Ø 470
8.9.1 IPMI 470
8.9.2 lm-sensors 472
8.9.3 hddtemp 473
8.10 С½á 473
µÚ9Õ OSSIMÓ¦ÓÃʵս
9.1ʹÓÃOSSIMϵͳ 474
9.1.1 ³õʶOSSIM WebUI 474
9.1.2 OSSIM 4.8½çÃæ 477
9.1.3 OSSIM¿ØÖÆÖÐÐÄ£ºAlienVault Center 480
9.1.4 »ùÓÚ½ÇÉ«µÄ·ÃÎÊȨÏÞ¿ØÖÆ 480
9.1.5 ÒDZíÅÌÏê½â 483
9.2 OSSIMµÄWeb UI²Ëµ¥½á¹¹ 485
9.3 OSSEC¼Ü¹¹ÓëÅäÖà 487
9.3.1 OSSEC¼Ü¹¹ 487
9.3.2 OSSEC Agent¶Ë½ø³Ì 488
9.3.3 OSSEC Server¶Ë 491
9.3.4 OSSECÅäÖÃÎļþºÍ¹æÔò¿â 492
9.3.5 ²âÊÔ¹æÔò 494
9.3.6 ·Ö²¼Ê½ÏµÍ³ÖÐOSSEC AgentµÄ¹ÜÀí 495
9.3.7 OSSECÈÕÖ¾´æ´¢ 496
9.3.8 OSSEC Agent°²×° 496
9.3.9 OSSEC´¥·¢µÄ¹ØÁª·ÖÎö±¨¾¯ 507
9.3.10 ÆäËûHIDSÓ¦Óà 510
9.4 ×ʲúAssets¹ÜÀí 512
9.4.1 ×ʲú·¢ÏÖ 512
9.4.2 ×ʲúµØͼ¶¨Î» 513
9.4.3 ɨÃè¿ØÖƲÎÊý 514
9.4.4 ×ʲúÁбí 514
9.4.5 ×ʲú¹ÜÀí¹¤¾ß 516
9.4.6 ×ʲú·Ö×é 518
9.4.7 ×ʲú¿ìËÙ²éÕÒ 519
9.4.8 ÉèÖÃNmapɨÃèƵÂÊ 520
9.4.9 OCS¼ì²âƵÂÊ 520
9.5 OpenvasɨÃèÄ£¿é·ÖÎö 520
9.5.1 ɨÃèÁ÷³Ì¿ØÖÆ 521
9.5.2 ɨÃè²å¼þ·ÖÎö 522
9.5.3 ½Å±¾¼ÓÔعý³Ì 526
9.5.4 NASL½Å±¾½éÉÜ 527
9.6 OpenVAS½Å±¾·ÖÎö 527
9.6.1 OpenVAS½Å±¾Àà±ð 528
9.6.2 ͬ²½Openvas²å¼þ 528
9.7 ©¶´É¨Ãèʵ¼ù 533
9.7.1 ©¶´¿â 533
9.7.2 ³£¼û©¶´·¢²¼ÍøÕ¾ 535
9.7.3 ÊÖ¶¯¸üÐÂCVE¿â 536
9.7.4 ²ÉÓÃOpenVASɨÃè 536
9.7.5 ɨÃè¹ý³Ì 541
9.7.6 ±ä¸üɨÃè²ßÂÔ 543
9.7.7 NmapÓëOpenvasµÄÇø±ð 546
9.7.8 ·Ö²¼Ê½Â©¶´É¨Ãè 547
9.7.9 ÉèÖÃɨÃèÓû§Æ¾Ö¤ 548
9.7.10 ɨÃèƵÂÊ 549
9.7.11 ©¶´É¨Ã賬ʱÎÊÌâ 550
9.8 OpenvasɨÃè¹ÊÕÏÅųý 550
9.8.1 ³£¼ûOpenvas¹ÊÕÏÈýÔò 550
9.8.2 OpenVAS¹ÊÕÏ·ÖÎö 554
9.9 ÅäÖÃOSSIM±¨¾¯ 558
9.9.1 »ù±¾²Ù×÷ 558
9.9.2 ʵÀý 559
9.10 OSSIMÔÚÈä³æÔ¤·ÀÖеÄÓ¦Óà 562
9.10.1 ¶àά¶È·ÖÎö¹¦ÄÜ 563
9.10.2 ·¢ÏÖÒì³£Á÷Á¿ 563
9.10.3 Èä³æ·ÖÎö 564
9.10.4 Á÷Á¿·ÖÎö 565
9.10.5 ÐÒé·ÖÎö 567
9.11 ʱ¼äÏß·ÖÎö·½·¨ 568
9.11.1 ʱ¼äÏß·ÖÎö·¨µÄÓÅÊÆ 568
9.11.2 ʵÀý 568
9.12 ÀûÓÃOSSIM½øÐи߼¶¹¥»÷¼ì²â 570
9.12.1 ÎóÓüì²âÓëÒì³£¼ì²â 570
9.12.2 »æÖÆShellcode´úÂëÖ´ÐÐÁ÷³Ìͼ 573
9.12.3 ÊÕ¼¯Òì³£ÐÐΪÁ÷Á¿Ñù±¾ 574
9.13 ºÏ¹æ¹ÜÀí¼°Í³Ò»±¨±íÊä³ö 575
9.13.1 ºÏ¹æ¹ÜÀíÄ¿±ê 575
9.13.2 Ö÷Òª¼¼Êõ 575
9.13.3 ʲôÊǺϹ棿 576
9.13.4 Àí½âPCIºÏ¹æ×ñ´Ó 576
9.13.5 ±¨±íÀàÐÍ 579
9.13.6 ÈÕÖ¾ºÏ¹æ¼ì²â 581
9.13.7 ±¨±íºÏ¹æÐÔ 584
9.14 С½á 587
µÚ10Õ »ùÓÚB/S¼Ü¹¹µÄÊý¾Ý°ü²¶»ñ·ÖÎö
10.1 Êý¾Ý°ü²¶»ñ 588
10.1.1 Êý¾Ý°ü²¶»ñÉ趨 589
10.1.2 ×¥°üÇøÓò˵Ã÷ 590
10.1.3 ×¥°üʱÌáʾ¡°This traffic capture is empty¡±µÄ½â¾ö°ì·¨
10.1.4 Ô¶³Ì¹ÊÕÏÅųý°¸Àý 591
10.2 Êý¾Ý°ü¹ýÂËÖÖÀà 592
10.3 ¹ýÂËÆ¥Åä±í´ïʽʵÀý 594
10.3.1 ¹ýÂË»ù´¡ 594
10.3.2 ÐÒé¹ýÂË 594
10.3.3 ¶Ô¶Ë¿ÚµÄ¹ýÂË 595
10.3.4 ¶Ô°ü³¤¶ÈµÄ¹ýÂË 595
10.3.5 ngrep¹ýÂË 596
10.4 ÃüÁîÐй¤¾ßtsharkºÍdumpcap 597
10.4.1 tsharkÓ¦Óûù´¡ 597
10.4.2 DumpcapʹÓà 598
10.4.3 ÓÃtshark·ÖÎöpcap 599
10.5 ʹÓÃtcpdump¹ýÂËÆ÷ 601
10.5.1 tcpdump¹ýÂËÆ÷»ù´¡ 602
10.5.2 ÆäËû³£¼û¹ýÂËÆ÷ʹÓ÷½·¨ 603
10.5.3 ͨ¹ýTraffic Capture×¥°ü´æ·ÅλÖà 604
10.6 Õë¶ÔIEä¯ÀÀÆ÷©¶´µÄ¹¥»÷·ÖÎö 604
10.6 С½á 611
²Î¿¼ÎÄÏ× 620
´ËÍ⣬ÔÚËæÊé¹âÅÌÖÐÌṩOSSIM °²×°¾µÏñ+ѧϰÊÓƵ+OSSIMÔ´Â룬×÷Õß²©¿ÍÖл¹ÌṩÁËÊéÖÐÉæ¼°µÄÐéÄâ»ú»·¾³£¬¸÷ÖÖ¹¤¾ßÈí¼þºÍ¶ÁÕß´ðÒÉ·þÎñ¡£
Ðí¶à³õѧÕß²Ù×÷OSSIMÓÌÈçÎÞÍ·²ÔÓ¬£¬Ê²Ã´¶¼ÏëÑо¿£¬Ï²»¶×êÅ£½Ç¼â£¬Óöµ½ÎÊÌâ×ÜÊÇÏÈÎÊ£¬ÔÙ½â¾öÎÊÌâ¡££¬ÈκÎÎÊÌⶼÐèÒª¶¨Î»·ÖÎö£¬ÔÙ½â¾ö£¬ÔÙ×ܽᡣÃæ¶ÔÎÊÌâÒª¾²ÏÂÐÄÀ´Í¨¹ý×Ô¼º¶Ô»ù´¡µÄÈÏʶÀ´·ÖÎö¿ÉÄܵÄÔÒò£¬È»ºóÖð²½ËõС·¶Î§£¬×îºóλÎÊÌâ¡£
±ù¶³Èý³ß£¬·ÇÒ»ÈÕÖ®º®,Õâ±¾ÊéÏ£Íû¶ÁÕßÅóÓÑÄܹ»ÔÚÑо¿SIEM¾À½áµÄʱºòÏëÆ𻹿ÉÒÀÀµËü¡£ÒòΪ±¾Êé²»½ö½öÔÚ½²½âһЩ֪ʶ£¬Í¬Ê±Ò²°üº¬ÁË×÷ÕßÒÔ¼°Éí±ßͬʵÄһЩ¹¤×÷¾Àú£¬ÒÔ¼°ÄÇЩʹ¿àÓë¾À½á£¬ÎÒÃÇÏ£ÍûÔÚÕâ±¾ÊéµÄÅã°éÏ£¬ÄãÔÚ¾À½á֮ʱѡÔñµÄ²»ÊÇ·ÅÆú×ÔÎÒ£¬¶øÊǼá³Öµ½Ê¤ÀûµÄÄÇÒ»¿Ì¡£
huiteng ÓÚ 2016-01-11 11:54:45·¢±í:
·¹ý¿´Ò»ÏÂ