核心 MOM 2000 治理程序包會收集顯示在系統(tǒng)事件日志、應(yīng)用程序事件日志和安全事件日志中的事件，并將這些結(jié)果組合到一個集中的事件存儲庫。

注重：MOM 2000 會將它的信息存儲在 SQL Server 數(shù)據(jù)庫中，并提供幾種檢索和分析存檔數(shù)據(jù)的方法。治理員可使用 Operations Manager 治理控制臺、Web 控制臺或 Operations Manager 報告來查看、打印或者發(fā)布數(shù)據(jù)。每個視圖都包含一些預(yù)定義的用于分析存檔數(shù)據(jù)的視圖，并答應(yīng)定義自定義視圖和報告。

事件日志收集的第三方解決方案

目前有若干第三方產(chǎn)品可提供集中的事件日志收集和檢查。評估這些第三方產(chǎn)品時，應(yīng)在標(biāo)準(zhǔn)中添加下列功能：

• 支持所有 Windows 2000 日志
除了支持應(yīng)用程序日志、安全日志和系統(tǒng)日志之外，還應(yīng)提供 DNS 服務(wù)器、目錄服務(wù)和 FRS 日志的支持。

• 使用數(shù)據(jù)庫后端
該工具應(yīng)答應(yīng)事件日志存儲在數(shù)據(jù)庫結(jié)構(gòu)中，從而答應(yīng)檢查以前的事件日志項(xiàng)來分析趨勢，以及將多個服務(wù)器之間的事件進(jìn)行關(guān)聯(lián)。

• 搜索和報告功能
該工具應(yīng)答應(yīng)您根據(jù)提供的條件搜索特定的事件。結(jié)果應(yīng)以一種可讀的方式呈現(xiàn)。


提供事件收集功能的第三方產(chǎn)品有：

• Event Log Monitor - TNT Software www.tntsoftware.com（英文）

• Event Archiver - Dorian Software Creations www.doriansoft.com（英文）

• LogCaster - RippleTech www.rippletech.com（英文）


主動檢測方法
主動入侵檢測系統(tǒng)會在應(yīng)用層分析傳入的網(wǎng)絡(luò)通訊，查找已知的攻擊方法或可疑的應(yīng)用層負(fù)載。假如收到了一個可疑的數(shù)據(jù)包，入侵檢測系統(tǒng)通常會丟棄該數(shù)據(jù)包，并在日志文件中記錄一項(xiàng)。有些入侵檢測系統(tǒng)還可在檢測到嚴(yán)重攻擊時向治理員發(fā)出通知。

用于入侵檢測的第三方解決方案
網(wǎng)絡(luò)入侵檢測系統(tǒng)和端點(diǎn)入侵檢測系統(tǒng)都有第三方解決方案。這些第三方解決方案會提供除超文本傳輸協(xié)議 (HTTP) 之外的一些協(xié)議的支持，還會針對聯(lián)網(wǎng)的計算機(jī)掃描一些已知的攻擊。

入侵檢測系統(tǒng)應(yīng)識別的常見攻擊類型有：

• 偵察攻擊
這些攻擊發(fā)生在入侵者監(jiān)視網(wǎng)絡(luò)查找漏洞時。潛在的攻擊包括 ping 攻擊，DNS 區(qū)域傳輸、電子郵件偵察、端口掃描以及下載網(wǎng)站內(nèi)容，以查找有漏洞的腳本和示例頁。

• 利用攻擊
這些攻擊發(fā)生在入侵者利用隱藏功能或錯誤來獲取對系統(tǒng)的訪問時。通常，攻擊點(diǎn)是通過以前的利用攻擊來識別的。

• 拒絕服務(wù) (DoS) 攻擊
這些攻擊的入侵者過分使用資源，從而使計算機(jī)上運(yùn)行的服務(wù)面臨崩潰。這樣的資源有網(wǎng)絡(luò)鏈接、CPU 或者磁盤子系統(tǒng)。入侵者不是嘗試獲取信息，而是嘗試阻止使用計算機(jī)。


好的入侵檢測系統(tǒng)應(yīng)能識別所有三種形式的攻擊。有兩個不同的方法可識別攻擊：

• 異常檢測
此方法使用網(wǎng)絡(luò)中的基準(zhǔn)計算機(jī)。基準(zhǔn)發(fā)生變化表示存在入侵嘗試。例如，非高峰時間增加的登錄嘗試可能就表明一個計算機(jī)遭到破壞。異常檢測的優(yōu)點(diǎn)在于，它能在不明確攻擊發(fā)生方式時識別攻擊。

• 特征識別
此方法會根據(jù)已知的模式識別攻擊。很多 Web 服務(wù)器攻擊都使用一些易于識別的常用模式。通過將外來應(yīng)用程序通訊與數(shù)據(jù)庫中的特征字符串進(jìn)行比較，入侵檢測系統(tǒng)可識別這些攻擊。這種入侵檢測方法的缺點(diǎn)是，特征數(shù)據(jù)庫必須經(jīng)常更新才能識別新的攻擊特征。


可用于測試和部署的部分第三方產(chǎn)品包括：

• BlackIce Defender http://blackice.iss.net/（英文）

• Cisco Secure IDS http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/prodlit/netra_ds.htm（英文）

• eTrust Intrusion Detection http://www3.ca.com/Solutions/Product.asp?ID=163（英文）

查看更多 動易Cms教程  動易Cms模板