当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 日志分析:充分利用日志保护网络

安全基础
清扬内网管理软件禁用BT等下载工具
重新安装操作系统避免病毒入侵的方法
通过注册表删除多余本地连接
无线网络2种故障现象和解决办法
IE不能上网浏览的问题原因和解决办法
手工杀毒的一些心得
安装Photo story时出现1606错误
轻松识别网络购物五类典型诈骗
无法用域账号登陆计算机
Windows任务管理器隐藏的秘密
Partition Magic Pro合并/拆分操作丢失分区
用U盘作启动盘给笔记本重新做系统
syssafe.exe病毒处理过程
为您解析Flash软件漏洞的SWF挂马方式
什么是电脑肉鸡?(新手应该知道)
网民如何防范和应对挂马网页
病毒程序和木马经常修改的系统文件和注册表
黑客在网上公开明码标价出售电脑肉鸡
你的电脑已经成为肉鸡的几种现象
新手认识;网银账号相关知识

安全基础 中的 日志分析:充分利用日志保护网络


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 69 ::
收藏到网摘: n/a

  本文是分为两部分的安全日志分析的第二部分。第一部分讨论了日志监测分析的重要性。第二部分帮助你如何利用日志有效地保护你的网络和增强网络的安全。

  日志数据在管理计算机或者网络方面是一种有价值的和实用的工具。事先监测日志数据以寻找可疑的活动迹象的能力或者在发生安全事件时分析日志数据是非常有价值的。

  第一步是确保你的系统和设备进行了正确的配置,以便检查和记录事件。假设日志数据已经被捕捉和存储,你需要一个有效的工作流程来检查和分析这些数据。下面的一些建议可以向你提供一些指南并且确保你最有效和最充分地使用你的日志数据。

  1.有规律地检查日志数
  虽然日志数据在安全事件发生时用作法院的证据是非常有效的,但是,如果有规律地分析这些日志数据,这种安全事件也许根本就不会发生。

  应该建立一个工作流程,确定多长时间检查和分析一次收集到的日志数据。定期分析由整个网络中的各种应用程序和设备收集到的海量日志数据有助于找出和诊断故障,还可能发现正在进行中的攻击。

  2.以开放的眼光查看日志信息

  在分析日志数据时常见的错误是要具体找出已知的事件或者日志项。然而,日志数据中多数有价值的内容似乎存在于表面上很好或者正常的日志项目中。通过以开放的眼光检查这些日志项目,你也许会找到可疑的活动迹象。如果你仅仅查看错误信息,这种迹象很可能会漏掉。

  如果把日志审查的重点放在查找已知的恶意活动方面,任何新出现的威胁或者对客户的攻击都会由于失察而漏掉。

  3.通过一个透镜查看数据

  整个网络中的设备和应用程序将收集日志数据。遗憾的是没有一种通用的格式或者方法来记录和显示事件的信息。

  为了进行准确的比对,某种形式的转化便产生了,也就是对日志数据实施“正常化”。一旦数据压缩为通用的组件,就很容易把这个网络作为一个整体进行分析,而不是作为一个单独的日志项目进行分析。这样就可以更好地根据轻重缓急对发现的问题进行处理或者做出反应。

  日志数据的处理是很困难的。日志信息中包含珍贵的钻石信息。但是,你需要挖掘很多泥土才能找到这些钻石。海量的日志数据使有效地利用这些数据成为表明上不可克服的挑战。然而,有SEM(安全事件管理器)等工具软件能够帮助你查找数据。但是,没有确定如何使用日志数据的流程,没有能够有效地分析日志数据并且对日志数据中发现的信息做出反应的经过培训的人员,这种工具将毫无用处。