注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

^_^ china.ygw的博客

软件开发/c/c++/数据库/开源/linux/windows/安全/网络...

 
 
 

日志

 
 
 
 

简述ossim的三种关联引擎  

2012-02-11 21:25:03|  分类: ossim |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

        ossim即开放源代码安全管理信息系统(Open Source Security Information Management System)。

        ossim使用了三种关联引擎进行安全行为的关联分析,分别是交叉关联、资产关联、逻辑关联。最终关联结果是确认两个风险系数:优先级(priority)及可靠性(reliability)。其中,优先级系数描述一次成功攻击所造成的危害程度,取值0到5,值越大,则危害程度越大;可靠性系数描述一次攻击可能成功的概率,取值0到10,分别对应0%到100%的概率。ossim服务器接收到ossim代理发送的采集数据后,依据一定规则计算安全系数(即优先级与可靠性系数的值),并依据结果进行相应处理,如告警等。

        交叉关联用于关联指定事件可能涉及的漏洞信息。交叉关联结果会影响可靠性系数。一个基本的交叉关联规则是:如果snort发现基于一个目标IP的攻击,则说明该目标IP主机有漏洞,则其可靠性系数为10(即100%攻击成功)。

        资产关联主要用于减少无关紧要事件的数量。资产关联结果会影响可靠性系数。资产关联只关联如下五种类型数据:

        1)操作系统类型

        2)端口号

        3)协议

        4)服务名称

        5)服务版本号

        资产关联依据如下规则进行可靠性系数的修改:       

简述ossim的三种关联引擎 - china.ygw - ^_^ china.ygw的博客

         逻辑关联是ossim的核心部分,可以在不知道特定攻击的情况下产生告警,其结果会影响优先级系数与可靠性系数。逻辑关联通过一个基于XML的多层逻辑规则树来进行攻击的判定。关联时通过层层匹配,每匹配一层,则修改优先级系数与可靠性系数为该层逻辑规则所对应的数值。

  评论这张
 
阅读(1073)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018