返回
snort日志分析和管理工具

snort日志分析和管理工具

ID:35515422

大小:101.50 KB

页数:9页

时间:2019-03-25

snort日志分析和管理工具_第1页
snort日志分析和管理工具_第2页
snort日志分析和管理工具_第3页
snort日志分析和管理工具_第4页
snort日志分析和管理工具_第5页
资源描述:

《snort日志分析和管理工具》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、snort日志分析和管理工具2001年08月20日13:57:03  简介  1.什么是入侵检测  2.什么是snort  3.什么是日志分析  4.snort的日志格式  4.1.基于文本的格式  4.2.tcpdump格式  4.3.数据库  5.工具  5.1.管理基于文本日志的工具  5.2.基于tcpdump日志文件的分析工具  5.3.数据库分析工具  总结  参考  简介  snort是一个轻量级的网络入侵检测系统,它可以记录所有可能的入侵企图。记录信息的文件可以是文本、XML、libpcap格式,

2、也可以把把信息记录到syslog或者数据库。本文将介绍一些用于snort日志管理的工具。不过,本文无法囊括所有的分析工具。因为snort作为一个自由、健壮的入侵检测系统,受到很多人的关注,因此针对它开发的工具层出不穷。  本文将介绍的工具主要针对三种输出格式:文本、libpcap(也就是tcpdump格式)和数据库。我们将主要介绍这些工具的安装和功能。  1.什么是入侵检测  入侵检测就是一个监视计算机系统或者网络上发生的事件,然后对其进行安全分析的过程。大多数的入侵检测系统都可以被归入到基于网络、基于主机以及分

3、布式三类。基于网络的入侵检测系统能够监视网络数据发现入侵或者攻击的蛛丝马迹;基于主机的入侵检测系统能够监视针对主机的活动(用户的命令、登录/退出过程,使用的数据等等),以此来判断入侵企图;分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。  各种入侵检测系统使用的检测方法可以分为两类:基于特征码的检测方法和异常检测。使用基于特征码检测方法的系统从网络获得数据,然后从中发现以知的攻击特征。例如:在某些URL中包含一些奇怪的

4、Unicode编码字符就是针对IISUnicode缺陷的攻击特征。此外各种模式匹配技术的应用,提高了这种检测方法的精确性。使用异常检测的系统能够把获得的数据与一个基准进行比较,检测这些数据是否异常。例如:如果一个雇员的工作时间是上9点到下午5点,但是在某个晚上他的计算机记录了他曾经在半夜登录了公司的邮件服务器,这就是一个异常事件,需要深入调查。现在,大量的统计学方法用于这个领域。  2.什么是snort  snort是一个基于libpcap的轻量级网络入侵检测系统。它运行在一个“传感器(sensor)”主机上,监

5、听网络数据。这台机器可能是一台简陋的运行FreeBSD系统的Pentium100PC,并且至少有一个网卡。不过建议使用最好的机器作为进行入侵检测的主机。snort能够把网络数据和规则集进行模式匹配,从而检测可能的入侵企图;或者使用SPADE插件,使用统计学方法对网络数据进行异常检测。  snort使用一种易于扩展的模块化体系结构,感兴趣的开发人员可以加入自己编写的模块来扩展snort的功能。这些模块包括:HTTP解码插件、TCP数据流重组插件、端口扫描检测插件、FLEXRESP插件以及各种日志输入插件等。  sn

6、ort还是一个自由、简洁、快速、易于扩展的入侵检测系统,已经被移植到了各种UNIX平台和WinY2K上。同时,它也是目前安全领域中,最活跃的开放源码工程之一。snort还是昂贵的商业入侵检测系统最好的替代产品之一。  3.什么是日志分析  入侵检测系统(例如:snort)安装成功后,并不表示一切都万事大吉了,你还有许多事情要做。snort启动后,它会在的硬盘上记录大量的报警信息。因此,你需要工具对日志或者报警文件进行分析。不同你的需要和安全形势,要求你使用不同的工具。你可能只要一个日志汇总,或者你的经理要求你提供

7、一个最近15次攻击的报告。还有,对于某个报警你可能需要获取更多的信息,以便做进一步的研究。不管是出于什么目的,日志分析可以帮助你从日志中获取有用的信息,使你可以针对攻击威胁采取必要措施。  4.snort的日志格式  你可以通过修改配置文件来设置snort的报警形式。基于文本的格式、libpcap格式和数据库是snort最重要的三种报警形式。本文中,我将主要对每种报警形式及其配置进行介绍,然后我将针对这些数据格式介绍一些分析工具。  4.1.基于文本的格式  报警文件  如果在启动snort时,你使用了-A[fa

8、st

9、full

10、none]选项,snort就会把报警信息保存到一个文件中。例如:  [**]INFO-ICQAccess[**]  [Classification:content:"MKD/"][Priority:0]  05/10-10:02:31.95308910.1.1.1.:54835->10.2.2.5:80  TCPTTL:127TOS:0x0ID:13690

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。