日志_告警关联分析技术重点.pptVIP

“ ” 安全事件关联分析技术 关联分析意义 日志记录计算机犯罪的大量“痕迹”，是计算机和网络系统用于记录发生在计算机本地系统或者网络中的事件的重要审计凭据，为打击计算机犯罪非常重要的线索和证据来源。 如何充分利用日志资源在重点范围内实时发掘有效的计算机证据，重建入侵事件，追踪入侵肇事者，是计算机取证研究领域中亟待解决的一个非常重要的问题。 安全事件定义 计算机和网络上时刻发生着各种可以被观察到的现象，如通过网络连接到另一个系统、发送数据包、浏览网页等，这些现象可能是由一些恶意的人为行为引起的。 我们将安全事件定义为那些影响计算机系统和网络安全的不正当行为。这些不正当行为包括对系统的破坏、未经授权的情况下使用另一个账户或系统的特殊权以及执行恶意代码并毁坏数据等。 根据上述对安全事件的定义，我们可将安全事件分为两类：一种是其发生环境局限于本地主机，称之为主机安全事件；另外一种是发生于网络环境中的事件，称之为网络安全事件。 对于安全事件，我们一般只能通过专门的工具或设备如防火墙、IDS（入侵检测系统）等检测出。所以安全事件的最终表现形式为这些工具或设备产生的报警信息和日志信息。另外必须指出报警的发生和真正事件的发生并不等价，有可能是误告警 基本方法 针对系统日志取证进行分析的方法有： 基于日志规则库的分析方法，即通过收集人侵攻击和系统缺陷的相关日志知识来构成日志知识库，并利用日志知