当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 日志分析两部曲:充分利用日志保护网络

安全基础
实现高效安全的网络访问控制的解决方案
学会利用加密方法保障电子邮件系统安全
新手入门:常见的病毒前缀的解释
通讯录导进Gmail的经验操作技巧
保障局域网访问internet的速度与安全的技巧
局域网的网上邻居中隐藏共享文件夹
常用的防范sniffer的方法
排除无线网络安全隐患的八大主流技术
outlook或foxmail邮件转入evolution的方法
在浏览器中直接查看照片的EXIF信息
U盘病毒彻底防御办法
多余的本地连接删除的方法
v6677.cn强制设为首页后怎么办?
电脑感染木马桌面多IE图标无法删除
正版用户如何删除产品密钥
如何全面防范邮件病毒的侵蚀
局域网内部禁止修改IP地址
网络钓鱼诈骗也可以专挑有钱人?
视频文件会存在病毒怎么杀毒?
看似不起眼的小动作破坏你计算机安全策略

安全基础 中的 日志分析两部曲:充分利用日志保护网络


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 57 ::
收藏到网摘: n/a

 

  本文是分为两部分的安全日志分析的第二部分。第一部分讨论了日志监测分析的重要性。第二部分帮助你如何利用日志有效地保护你的网络和增强网络的安全。

  日志数据在管理计算机或者网络方面是一种有价值的和实用的工具。事先监测日志数据以寻找可疑的活动迹象的能力或者在发生安全事件时分析日志数据是非常有价值的。

  第一步是确保你的系统和设备进行了正确的配置,以便检查和记录事件。假设日志数据已经被捕捉和存储,你需要一个有效的工作流程来检查和分析这些数据。下面的一些建议可以向你提供一些指南并且确保你最有效和最充分地使用你的日志数据。

  1.有规律地检查日志数据

  虽然日志数据在安全事件发生时用作法院的证据是非常有效的,但是,如果有规律地分析这些日志数据,这种安全事件也许根本就不会发生。

  应该建立一个工作流程,确定多长时间检查和分析一次收集到的日志数据。定期分析由整个网络中的各种应用程序和设备收集到的海量日志数据有助于找出和诊断故障,还可能发现正在进行中的攻击。

  2.以开放的眼光查看日志信息

  在分析日志数据时常见的错误是要具体找出已知的事件或者日志项。然而,日志数据中多数有价值的内容似乎存在于表面上很好或者正常的日志项目中。通过以开放的眼光检查这些日志项目,你也许会找到可疑的活动迹象。如果你仅仅查看错误信息,这种迹象很可能会漏掉。

  如果把日志审查的重点放在查找已知的恶意活动方面,任何新出现的威胁或者对客户的攻击都会由于失察而漏掉。

  3.通过一个透镜查看数据

  整个网络中的设备和应用程序将收集日志数据。遗憾的是没有一种通用的格式或者方法来记录和显示事件的信息。

  为了进行准确的比对,某种形式的转化便产生了,也就是对日志数据实施“正常化”。一旦数据压缩为通用的组件,就很容易把这个网络作为一个整体进行分析,而不是作为一个单独的日志项目进行分析。这样就可以更好地根据轻重缓急对发现的问题进行处理或者做出反应。

  日志数据的处理是很困难的。日志信息中包含珍贵的钻石信息。但是,你需要挖掘很多泥土才能找到这些钻石。海量的日志数据使有效地利用这些数据成为表明上不可克服的挑战。然而,有SEM(安全事件管理器)等工具软件能够帮助你查找数据。但是,没有确定如何使用日志数据的流程,没有能够有效地分析日志数据并且对日志数据中发现的信息做出反应的经过培训的人员,这种工具将毫无用处。