亚洲欧洲国产欧美一区精品,激情五月亚洲色五月,最新精品国偷自产在线婷婷,欧美婷婷丁香五月天社区

　　事件分析系統(tǒng)
　　由于我們的網(wǎng)絡(luò)大都用交換式以太網(wǎng)交換機(jī)連接，所以建立事件分析系統(tǒng)的目的是實(shí)現(xiàn)對(duì)多種網(wǎng)絡(luò)防火墻設(shè)備的探測(cè)，以及多種采集方式（如基于Snmp、Syslog數(shù)據(jù)信息的采集）日志的支持，并提供一定的事件日志處理，統(tǒng)計(jì)、分析和查詢功能。

　　事件分析系統(tǒng)是IDS的核心模塊，主要功能是對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為，如何建立是重點(diǎn)也是難點(diǎn)。如果自己能或與人合作編寫(xiě)軟件系統(tǒng)，就需要做好嚴(yán)謹(jǐn)?shù)那捌陂_(kāi)發(fā)準(zhǔn)備，如對(duì)網(wǎng)絡(luò)協(xié)議、黑客攻擊、系統(tǒng)漏洞有著比較清晰的認(rèn)識(shí)，接著開(kāi)始制定規(guī)則和策略，它應(yīng)該基于標(biāo)準(zhǔn)的技術(shù)標(biāo)準(zhǔn)和規(guī)范，然后優(yōu)化算法以提高執(zhí)行效率，建立檢測(cè)模型，可以模擬進(jìn)行攻擊及分析過(guò)程。

　　事件分析系統(tǒng)把檢測(cè)引擎駐留在監(jiān)視網(wǎng)段中，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配、協(xié)議分析和行為分析。當(dāng)檢測(cè)到某種誤用模式時(shí)，產(chǎn)生對(duì)應(yīng)的警告信息并發(fā)送給響應(yīng)系統(tǒng)。目前來(lái)看，使用協(xié)議分析是實(shí)時(shí)檢測(cè)的最好方式。

　　這個(gè)系統(tǒng)一種可能的方式是由協(xié)議分析器作為主體，可以在現(xiàn)成的、開(kāi)放式的協(xié)議分析工具包基礎(chǔ)上來(lái)構(gòu)建；協(xié)議分析器可以顯示分組級(jí)網(wǎng)絡(luò)傳輸流，基于網(wǎng)絡(luò)協(xié)議規(guī)則的警告進(jìn)行自動(dòng)分析來(lái)快速探測(cè)攻擊的存在；由此，網(wǎng)絡(luò)程序員和管理員可監(jiān)控并分析網(wǎng)絡(luò)活動(dòng)，從而主動(dòng)檢測(cè)并定位故障。用戶可以嘗試一下一個(gè)叫Ethereal的免費(fèi)網(wǎng)絡(luò)協(xié)議分析器，它支持Windows系統(tǒng)。用戶可以對(duì)由事件產(chǎn)生系統(tǒng)抓取后保存在硬盤上的數(shù)據(jù)進(jìn)行分析。你能交互式地瀏覽抓取到的數(shù)據(jù)包，查看每一個(gè)數(shù)據(jù)包的摘要和詳細(xì)信息。Ethereal有多種強(qiáng)大的特征，如支持幾乎所有的協(xié)議、豐富的過(guò)濾語(yǔ)言、易于查看TCP會(huì)話經(jīng)重構(gòu)后的數(shù)據(jù)流等。

　　響應(yīng)系統(tǒng)

　　響應(yīng)系統(tǒng)是面向人、物的交互系統(tǒng)，可以說(shuō)是整個(gè)系統(tǒng)的中轉(zhuǎn)站和協(xié)調(diào)站。人即是系統(tǒng)管理員、物是其他所有組件。詳細(xì)說(shuō)來(lái)，響應(yīng)系統(tǒng)這個(gè)協(xié)調(diào)員要做的事很多：按照預(yù)置定義的方式，記錄安全事件、產(chǎn)生報(bào)警信息（如E-mail形式）、記錄附加日志、隔離入侵者、終止進(jìn)程、禁止受害者的端口和服務(wù)、甚至反戈一擊；可以采取人工響應(yīng)和自動(dòng)響應(yīng)（基于機(jī)器的響應(yīng)），兩者結(jié)合起來(lái)會(huì)比較好。

　　響應(yīng)系統(tǒng)的設(shè)計(jì)要素

　　(1) 接受自事件產(chǎn)生系統(tǒng)經(jīng)事件分析系統(tǒng)過(guò)濾、分析、重建后的事件警報(bào)信息，然后交互給用戶（管理員）查詢并做出規(guī)則判斷和采取管理行為。

　　(2) 給管理員提供管理事件數(shù)據(jù)庫(kù)系統(tǒng)的一個(gè)接口，可以修改規(guī)則庫(kù)、根據(jù)不同網(wǎng)絡(luò)環(huán)境情況配置安全策略、讀寫(xiě)數(shù)據(jù)庫(kù)系統(tǒng)。

　　(3)作用于前端系統(tǒng)時(shí)，可管理事件產(chǎn)生、分析系統(tǒng)（合稱事件探測(cè)器），對(duì)該系統(tǒng)采集、探測(cè)、分析的事件進(jìn)行分類、篩選，可針對(duì)不同安全狀況，重新對(duì)安全規(guī)則進(jìn)行洗牌。

　　響應(yīng)系統(tǒng)和事件探測(cè)器通常是以應(yīng)用程序的形式實(shí)現(xiàn)。

　　設(shè)計(jì)思路：響應(yīng)系統(tǒng)可分為兩個(gè)程序部分，監(jiān)聽(tīng)和控制。 監(jiān)聽(tīng)部分綁定某個(gè)空閑端口，接收從事件探測(cè)器發(fā)出的分析結(jié)果和其他信息，并轉(zhuǎn)化存儲(chǔ)文件到事件數(shù)據(jù)庫(kù)系統(tǒng)中，作為管理員可根據(jù)用戶權(quán)限調(diào)用來(lái)只讀、修改以及特別的操作�？刂撇糠挚捎肎TK＋來(lái)編寫(xiě)GUI，開(kāi)發(fā)出較為直觀的圖形用戶界面，目的主要是給用戶一個(gè)更方便友好的界面來(lái)瀏覽警告信息。