OSSIM让网络***无所遁形

OSSIM让网络***无所遁形 如今网络安全事件的复杂程度不断攀升，从传统的病毒到蠕虫、***的过程，这是一种网络威胁进化的过程，你再用传统的监控工具就OUT了。要想对抗***，首先需要发现***，通过抓包的常规做法比较滞后，而且也只能发现局部问题，已不满足我们对可视化网络安全运维的需要,你选择的多数软件都无法满足对网络***可视化的需求。若想更佳方便的发现网络异常，这里我们还是使用OSSIM平台，下面看几个网络常见的***类型和OSSIM对策：   上图中用System Compromise表示疑似被***或遭受损失的***类型；Exploitation表示含有漏洞，或出现漏洞利用的***类型；Delivery表示交付和***类型；Reconnaissance &Probing 表示侦测和探测，有试图发现网络***的行为；Environmental表示政策违规，易受***的或可疑的通讯； 在我们的身边，每一秒都有可能有一个恶意软件新样本产生，高达83%的企业遭受过高级持续威胁的***…大数据不仅仅是客户所面临的挑战，对安全产品供应商也同样。如果说，风险等于威胁乘以资产再乘以漏洞，那么大数据时代，风险正变得更加讳深莫测。OSSIM把这一切难题变得更加简单易行。下面看几个典型***实例面对OSSIM的表现吧。1. ICMP***
主要包括利用大量ICMP Redirect包修改系统路由表的***和使用ICMP协议实施的拒绝服务***.  2.扫描***- nmap扫描 

聚合后的事件，如下图所示。 在OSSIM中利用上面的***图和告警关联工具可以结合在一起，进行危害评估，告警关联工具可将一些特殊的，多步***（往往是APT）产生的零散报警，“凭凑”在一起，以便把***者的意图展现给分析人员。  3.特洛伊******最早的Zeusbot通过直接与它的C&C服务器进行通信来下载配置数据和上传窃取的信息。

   4.蠕虫***，例如Win32.Koobface.ACWin32.Koobface.AC是一种通过Facebook社交网站进行传播的蠕虫.它通过发送信息到被感染用户社交网站上的联系列表进行传播。如您看不懂这些也可先查询恶意代码知识百科

5. 检查出感染恶意软件

6.发现挂马*** EK是ExploitKit的缩写，表示Angler钓鱼工具套件或工具包

7.发现用指令控制服务器C&C（控制僵尸网络）

8.发觉疑似MySQL***

9. 实现手法

    这种识别技术源于旁路监听，即采用将网卡设置为混杂模式接入Switch镜像口的方式实现网络设局的实时旁路捕获，并对所获得的网络数据进行检测，它的基础就在于NIDS基本体制。在NIDS中采用了基于精细的协议解析分流网络数据，通过一些小特征库进行并行匹配，由于在Snort时代是单线程处理，所以系统的效率瓶颈问题一直是匹配速度问题，目前升级到Suricata后情况有所缓解。NIDS检测的速度和检测颗粒度就跟协议解析深度、特征匹配的速度以及特征库的质量息息相关。从某种角度上看OSSIM是一个网络病毒传播的监控系统，核心功能之一是在OSSIM中用到了关联分析引擎搭配中间件和缓存系统辅助，要了解详情请参考《开源安全运维平台-OSSIM最佳实践》一书。