OSSIM信息安全管理事件关联是OSSIM关联分析为核心，批量处理能力相关的开发活动，主要是现在需要存储从设备日志收集和相关匹配和输出，然后通过Web界面显示。从时间上来看，不是整个过程的相关分析不连续，系统的实时性较高，而开发的系统是基于规则的，Ossim高转速发动机匹配和多套规则分析，相关分析结果调用模式。因此，关联引擎系统是一个典型的数据处理系统，我们必须依靠强大的数据库支持，在开源开发的系统采用的是基于MongoDB数据库的mysql5.6用于商业版。
    充分利用各种安全设备的检测能力，其致命的弱点，集中处理是用大量的数据分析，巨大的冗余，独立，安全事件显然不能直接作为反应的基础上，同时保护了网络的安全性也有实时性的要求，为解决上述问题基本方式是处理网络安全事件的相关性，相关性分析是什么，还有你需要知道的几个基本概念。
1）  安全事件：本书开头提到安全事件，包括服务器安全日志、应用程序告警和日志。
2）  数据源（DateSource），数据源是一个安全事故，包括防火墙，入侵检测系统，一个重要的主机、路由及交换设备。
3）  数据关联：多个数据源组合（关联），（相关性）或组合（组合）分析，以获得高质量的信息。它结合了不同空间设备的日志，将不同时间序列的问题转化为特定的关联方法，最后确定了刀具分析方法。当然，这只是一个广泛的安全事件关联方法，后面章节还将专门为OSSIM解释的具体规则。
4）  交叉相关数据关联：它是最常见的方式，可以关联，安全事件和网络拓扑，开放系统，服务设备的脆弱性，成功的可能性攻击分析。通过使用这种方法，一些威胁可以在OSSIM关联规则的系统检测和自动响应（如报警等）是可以实现的。
    现在很多安全管理人员抱怨，入侵检测、防火墙、防病毒系统、网络管理软件已经设置，为什么网络安全管理仍然很麻烦。当前网络安全管理人员面临以下挑战：
1）  安全事件安全设备和网络应用号，IDS严重误报。一个入侵检测系统，安全事故的数量产生成千上万的一天，通常99%的安全事件都是假阳性，而少数真正威胁的事件淹没在信息的安全性，很难确定。DevOps
2）  在安全事件（如不同来源的水平和垂直空间之间，时间序列之间的关系）没有得到全面的分析，所以情况严重，不能实现实时预测。攻击一次又一次的攻击后，前一次的攻击活动为后者提供了基本的条件；安全事件中攻击了多个安全设备；许多不同来源的安全事件是协同攻击，缺乏有效的综合分析。
3） 安全管理人员缺乏全局实时感知整个网络安全态势。

以下是一些例外：
    完整性，文件完整性监控工具来识别系统的ls，ps，netstat，su和主程序大小改变时，可以识别攻击；
    系统：用户帐户被修改和一些异常登录行为是不能解释的，在不可能的地方出现了一个新的文件目录，或丢失的文件、目录大小迅速增加，突然降低，MD5签名不匹配，这些迹象都明确表示系统已被入侵。日志中，系统日志减少，日志出现在未知条目中，异常的中断消息显示系统已被攻破。流量，大量节点增加流量可能遭受拒绝服务攻击。

超赞的资料，学习中