Windows 2000 审核和入侵检测(17)_动易Cms教程

核心 MOM 2000 治理程序包会收集显示在系统事件日志、应用程序事件日志和安全事件日志中的事件，并将这些结果组合到一个集中的事件存储库。

注重：MOM 2000 会将它的信息存储在 SQL Server 数据库中，并提供几种检索和分析存档数据的方法。治理员可使用 Operations Manager 治理控制台、Web 控制台或 Operations Manager 报告来查看、打印或者发布数据。每个视图都包含一些预定义的用于分析存档数据的视图，并答应定义自定义视图和报告。

事件日志收集的第三方解决方案

目前有若干第三方产品可提供集中的事件日志收集和检查。评估这些第三方产品时，应在标准中添加下列功能：

• 支持所有 Windows 2000 日志
除了支持应用程序日志、安全日志和系统日志之外，还应提供 DNS 服务器、目录服务和 FRS 日志的支持。

• 使用数据库后端
该工具应答应事件日志存储在数据库结构中，从而答应检查以前的事件日志项来分析趋势，以及将多个服务器之间的事件进行关联。

• 搜索和报告功能
该工具应答应您根据提供的条件搜索特定的事件。结果应以一种可读的方式呈现。


提供事件收集功能的第三方产品有：

• Event Log Monitor - TNT Software www.tntsoftware.com（英文）

• Event Archiver - Dorian Software Creations www.doriansoft.com（英文）

• LogCaster - RippleTech www.rippletech.com（英文）


主动检测方法
主动入侵检测系统会在应用层分析传入的网络通讯，查找已知的攻击方法或可疑的应用层负载。假如收到了一个可疑的数据包，入侵检测系统通常会丢弃该数据包，并在日志文件中记录一项。有些入侵检测系统还可在检测到严重攻击时向治理员发出通知。

用于入侵检测的第三方解决方案
网络入侵检测系统和端点入侵检测系统都有第三方解决方案。这些第三方解决方案会提供除超文本传输协议 (HTTP) 之外的一些协议的支持，还会针对联网的计算机扫描一些已知的攻击。

入侵检测系统应识别的常见攻击类型有：

• 侦察攻击
这些攻击发生在入侵者监视网络查找漏洞时。潜在的攻击包括 ping 攻击，DNS 区域传输、电子邮件侦察、端口扫描以及下载网站内容，以查找有漏洞的脚本和示例页。

• 利用攻击
这些攻击发生在入侵者利用隐藏功能或错误来获取对系统的访问时。通常，攻击点是通过以前的利用攻击来识别的。

• 拒绝服务 (DoS) 攻击
这些攻击的入侵者过分使用资源，从而使计算机上运行的服务面临崩溃。这样的资源有网络链接、CPU 或者磁盘子系统。入侵者不是尝试获取信息，而是尝试阻止使用计算机。


好的入侵检测系统应能识别所有三种形式的攻击。有两个不同的方法可识别攻击：

• 异常检测
此方法使用网络中的基准计算机。基准发生变化表示存在入侵尝试。例如，非高峰时间增加的登录尝试可能就表明一个计算机遭到破坏。异常检测的优点在于，它能在不明确攻击发生方式时识别攻击。

• 特征识别
此方法会根据已知的模式识别攻击。很多 Web 服务器攻击都使用一些易于识别的常用模式。通过将外来应用程序通讯与数据库中的特征字符串进行比较，入侵检测系统可识别这些攻击。这种入侵检测方法的缺点是，特征数据库必须经常更新才能识别新的攻击特征。


可用于测试和部署的部分第三方产品包括：

• BlackIce Defender http://blackice.iss.net/（英文）

• Cisco Secure IDS http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/prodlit/netra_ds.htm（英文）

• eTrust Intrusion Detection http://www3.ca.com/Solutions/Product.asp?ID=163（英文）

查看更多 动易Cms教程  动易Cms模板