[粗]網(wǎng)管員在日志分析中的五個誤區(qū)

2010-08-28 10:46:04來源:西部e網(wǎng)作者:

    在使用日志的過程中,人們常常會面臨五大誤區(qū)?朔@些誤區(qū),不僅可以大大提升安全設施的價值,而且能夠及時化解潛在風險。

  為了應對不斷涌現(xiàn)的安全威脅,許多企業(yè)都部署了多種安全設備。這些設備生成大量的日志信息。為了利用這些信息,許多企業(yè)還部署了日志收集和分析程序。即使如此,許多用戶仍然認為安全設備的作用沒有達到期望值。之所以發(fā)生這種情況,常常是由于人們在日志分析中的五個誤區(qū)所造成的。

  不查看日志

  許多用戶都會犯一個低級錯誤—不查看日志。雖然收集和存儲日志很重要,但只有經(jīng)常查看日志,了解網(wǎng)絡環(huán)境中發(fā)生了哪些情況,才能及時做出響應。一旦部署了安全設備并且收集了日志,用戶需要對其進行持續(xù)監(jiān)控,以及時發(fā)現(xiàn)可能發(fā)生的安全事件。

  一些用戶只在重大事件之后才審查日志,盡管這些用戶能夠獲得事后分析的好處,但沒能獲得事前預防的好處。主動查看日志有助于用戶更好地實現(xiàn)安全設施的價值,了解攻擊行為將在何時發(fā)生并及時采取措施。

  許多用戶總愛抱怨入侵檢測系統(tǒng)( IDS )不能起作用。造成這一問題的重要原因就是,IDS經(jīng)常產(chǎn)生誤報,使人們無法根據(jù)其警告信息采取行動。如果人們將IDS日志與其他日志(如防火墻日志)進行全面關聯(lián)分析,就能充分發(fā)揮IDS的作用。

  沒區(qū)分日志的優(yōu)先次序

  日志已經(jīng)收集完畢,存儲時間也足夠長,并且日志格式也統(tǒng)一了,接下來網(wǎng)管員應該從何處著手呢?建議用戶設法獲得高水平的摘要以查看最近的安全事件。這需要克服另外一個錯誤,即不區(qū)分日志記錄的優(yōu)先次序。一些網(wǎng)管員理不清優(yōu)先次序就研究大量的日志數(shù)據(jù),結果就會半途而廢。

  有效優(yōu)先化的第一步就是對策略進行定義;卮鹣铝袉栴}會有助于定義策略:“最擔心什么?”“攻擊得逞了嗎?”“以前發(fā)生過這種攻擊嗎?” 可幫助用戶開始制定優(yōu)先化策略,減輕用戶每天收集日志數(shù)據(jù)的負擔。

    日志格式不統(tǒng)一

  日志格式不統(tǒng)一十分普遍:有的基于簡單網(wǎng)絡管理協(xié)議,有的則基于Unix系統(tǒng)。缺乏統(tǒng)一的日志格式,導致企業(yè)需要不同的專家來從事日志分析,這是因為并非所有通曉Unix日志格式的管理人員都能看懂Windows事件日志記錄,反之亦然。多數(shù)網(wǎng)管員通常只對少數(shù)系統(tǒng)熟悉,將設備生成的日志信息轉換為統(tǒng)一的格式有利于網(wǎng)管員進行關聯(lián)分析和進行決策。

  日志存儲時間太短

  許多用戶認為自己擁有進行監(jiān)控和調查所需要的所有日志,但是在遭遇安全事件之后才發(fā)現(xiàn),相應的日志信息已經(jīng)被刪除了。安全事件通常是在攻擊或濫用行為發(fā)生后很長時間才被發(fā)現(xiàn)。 如果費用緊缺,建議用戶將保留的日志分為兩個部分:短期的在線存儲和長期的離線存儲。將舊日志信息存儲在磁帶中,既能節(jié)約離線存儲的成本,還能長久保存以備未來分析。

  只查找已知的不良信息

  即使最先進和最注意安全的用戶有時也會陷入網(wǎng)絡陷阱。這種網(wǎng)絡陷阱十分陰險,會嚴重降低日志分析的價值。如果用戶只查看已知的不良信息時,這種事情就會發(fā)生。

  交換機在查找日志文件中已定義的不良信息時,顯得十分有效。然而要充分實現(xiàn)日志數(shù)據(jù)的價值,就需要進行日志的深度挖掘。在沒有預先想定所需要的不良信息前提下,用戶可以在日志文件中發(fā)現(xiàn)一些有用信息,包括遭受攻擊和感染的系統(tǒng)、新的攻擊、內部濫用和知識產(chǎn)權偷竊等。怎樣才能提高發(fā)現(xiàn)潛在攻擊行為的機率呢?這需要借助數(shù)據(jù)挖掘方法,數(shù)據(jù)挖掘可以使用戶快速查找日志數(shù)據(jù)中的異常信息。

關鍵詞:網(wǎng)管員

贊助商鏈接: