2012年snort日志分析和管理工具.docVIP

snort日志分析和管理工具2001年08月20日13:57:03　　1.什么是入侵检测2.什么是snort3.什么是日志分析4.snort的日志格式4.1.基于文本的格式4.2.tcpdump格式4.3.数据库5.工具5.1.管理基于文本日志的工具5.2.基于tcpdump日志文件的分析工具5.3.数据库分析工具　　参考　　简介　　snort是一个轻量级的网络入侵检测系统，它可以记录所有可能的入侵企图。记录信息的文件可以是文本、XML、libpcap格式，也可以把把信息记录到syslog或者数据库。本文将介绍一些用于snort日志管理的工具。不过，本文无法囊括所有的分析工具。因为snort作为一个自由、健壮的入侵检测系统，受到很多人的关注，因此针对它开发的工具层出不穷。libpcap(也就是tcpdump格式)和数据库。我们将主要介绍这些工具的安装和功能。1.什么是入侵检测(用户的命令、登录/退出过程，使用的数据等等)，以此来判断入侵企图；分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视，中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。URL中包含一些奇怪的Unicode编码字符就是针对IIS Unicode缺陷的攻击特征。此外各种模式匹配技术的应用，提高了这种检测方法的精确性。使用