OSSIM

OSSIM明確定位為一個集成解決方案，其目標並不是要開發一個新的功能，而是利用豐富的、強大的各種程式(包括Snort、Rrd、Nmap、 Nessus以及Ntop等開源系統安全軟體)。在一個保留他們原有功能和作用的開放式架構體系環境下，將他們集成起來。而OSSIM項目的核心工作在於負責集成和關聯各種產品提供的信息，同時進行相關功能的整合。由於開源項目的優點，這些工具已經是久經考驗，同時也經過全方位測試、是可靠的工具。

實際上，從過程上考慮，安全可以分為評估、防護、檢測、回響這四個步驟，現在已經有了不少優秀的開源軟體與這四個步驟相對應。但是問題在於這四個步驟屬於 一個動態、無縫過程，而所有的開源工具只是針對單一安全問題，如何將現有的安全工具進行綜合利用並將他們無縫綜合，OSSIM給出了很好的答案，那就是 ——集成。

OSSIM由數據收集、監視、檢測、審計以及控制台這五個模組構成。這5個模組包含了目前安全領域從事件預防到事件處理一個完整的過程，在目前的安全架構 中，OSSIM是最為完備的。這五個功能模組又被劃分為三個層次，分別是高層的安全信息顯示控制臺、中層的風險和活動監控以及底層的證據控制台和網路監控，各個層次提供不同功能，共同保證系統的安全運轉。

在OSSIM中，整個過程處理被劃分為兩個階段，這兩個階段反映的是一個事件從發生到處理的不同的歷史時期，這兩個階段分別為預處理階段，這一階段的處理主要有監視器和探測器來共同完成，它們主要是為系統提供初步的安全控制；另一個事後處理階段，這一階段的處理更加集中，更多的是反映在事件發生之後系統安全策略的調整和整個系統的安全配置的改進。

在OSSIM的架構體系中，有三個部件比較引人注意，這是OSSIM中的三個策略資料庫，是OSSIM事件分析和策略調整的信息來源，分別為以下三種資料庫：

◆EDB(事件資料庫)：在三個資料庫中，EDB無疑是最大的，它存儲的是所有底層的探測器和監視器所捕捉到的所有的事件。

◆KDB(知識資料庫)：在知識資料庫中，將系統的狀態進行了參數化的定義，這些參數將為系統的安全管理提供詳細的數據說明和定義。

◆UDB(用戶資料庫)：在用戶資料庫中，存儲的是用戶的行為和其他與用戶相關的事件。

OSSIM的功能共劃分為9個層次，各個層次之間是無逢連線的，底層的數據為上層的處理提供信息來源。下圖就是OSSIM所提供的功能的層次結構圖。