核心 MOM 2000 治理程序包會(huì)收集顯示在系統(tǒng)事件日志、應(yīng)用程序事件日志和安全事件日志中的事件，并將這些結(jié)果組合到一個(gè)集中的事件存儲(chǔ)庫(kù)。

注重：MOM 2000 會(huì)將它的信息存儲(chǔ)在 SQL Server 數(shù)據(jù)庫(kù)中，并提供幾種檢索和分析存檔數(shù)據(jù)的方法。治理員可使用 Operations Manager 治理控制臺(tái)、Web 控制臺(tái)或 Operations Manager 報(bào)告來(lái)查看、打印或者發(fā)布數(shù)據(jù)。每個(gè)視圖都包含一些預(yù)定義的用于分析存檔數(shù)據(jù)的視圖，并答應(yīng)定義自定義視圖和報(bào)告。

事件日志收集的第三方解決方案

目前有若干第三方產(chǎn)品可提供集中的事件日志收集和檢查。評(píng)估這些第三方產(chǎn)品時(shí)，應(yīng)在標(biāo)準(zhǔn)中添加下列功能：

• 支持所有 Windows 2000 日志
除了支持應(yīng)用程序日志、安全日志和系統(tǒng)日志之外，還應(yīng)提供 DNS 服務(wù)器、目錄服務(wù)和 FRS 日志的支持。

• 使用數(shù)據(jù)庫(kù)后端
該工具應(yīng)答應(yīng)事件日志存儲(chǔ)在數(shù)據(jù)庫(kù)結(jié)構(gòu)中，從而答應(yīng)檢查以前的事件日志項(xiàng)來(lái)分析趨勢(shì)，以及將多個(gè)服務(wù)器之間的事件進(jìn)行關(guān)聯(lián)。

• 搜索和報(bào)告功能
該工具應(yīng)答應(yīng)您根據(jù)提供的條件搜索特定的事件。結(jié)果應(yīng)以一種可讀的方式呈現(xiàn)。


提供事件收集功能的第三方產(chǎn)品有：

• Event Log Monitor - TNT Software www.tntsoftware.com（英文）

• Event Archiver - Dorian Software Creations www.doriansoft.com（英文）

• LogCaster - RippleTech www.rippletech.com（英文）


主動(dòng)檢測(cè)方法
主動(dòng)入侵檢測(cè)系統(tǒng)會(huì)在應(yīng)用層分析傳入的網(wǎng)絡(luò)通訊，查找已知的攻擊方法或可疑的應(yīng)用層負(fù)載。假如收到了一個(gè)可疑的數(shù)據(jù)包，入侵檢測(cè)系統(tǒng)通常會(huì)丟棄該數(shù)據(jù)包，并在日志文件中記錄一項(xiàng)。有些入侵檢測(cè)系統(tǒng)還可在檢測(cè)到嚴(yán)重攻擊時(shí)向治理員發(fā)出通知。

用于入侵檢測(cè)的第三方解決方案
網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和端點(diǎn)入侵檢測(cè)系統(tǒng)都有第三方解決方案。這些第三方解決方案會(huì)提供除超文本傳輸協(xié)議 (HTTP) 之外的一些協(xié)議的支持，還會(huì)針對(duì)聯(lián)網(wǎng)的計(jì)算機(jī)掃描一些已知的攻擊。

入侵檢測(cè)系統(tǒng)應(yīng)識(shí)別的常見(jiàn)攻擊類型有：

• 偵察攻擊
這些攻擊發(fā)生在入侵者監(jiān)視網(wǎng)絡(luò)查找漏洞時(shí)。潛在的攻擊包括 ping 攻擊，DNS 區(qū)域傳輸、電子郵件偵察、端口掃描以及下載網(wǎng)站內(nèi)容，以查找有漏洞的腳本和示例頁(yè)。

• 利用攻擊
這些攻擊發(fā)生在入侵者利用隱藏功能或錯(cuò)誤來(lái)獲取對(duì)系統(tǒng)的訪問(wèn)時(shí)。通常，攻擊點(diǎn)是通過(guò)以前的利用攻擊來(lái)識(shí)別的。

• 拒絕服務(wù) (DoS) 攻擊
這些攻擊的入侵者過(guò)分使用資源，從而使計(jì)算機(jī)上運(yùn)行的服務(wù)面臨崩潰。這樣的資源有網(wǎng)絡(luò)鏈接、CPU 或者磁盤(pán)子系統(tǒng)。入侵者不是嘗試獲取信息，而是嘗試阻止使用計(jì)算機(jī)。


好的入侵檢測(cè)系統(tǒng)應(yīng)能識(shí)別所有三種形式的攻擊。有兩個(gè)不同的方法可識(shí)別攻擊：

• 異常檢測(cè)
此方法使用網(wǎng)絡(luò)中的基準(zhǔn)計(jì)算機(jī)�；鶞�(zhǔn)發(fā)生變化表示存在入侵嘗試。例如，非高峰時(shí)間增加的登錄嘗試可能就表明一個(gè)計(jì)算機(jī)遭到破壞。異常檢測(cè)的優(yōu)點(diǎn)在于，它能在不明確攻擊發(fā)生方式時(shí)識(shí)別攻擊。

• 特征識(shí)別
此方法會(huì)根據(jù)已知的模式識(shí)別攻擊。很多 Web 服務(wù)器攻擊都使用一些易于識(shí)別的常用模式。通過(guò)將外來(lái)應(yīng)用程序通訊與數(shù)據(jù)庫(kù)中的特征字符串進(jìn)行比較，入侵檢測(cè)系統(tǒng)可識(shí)別這些攻擊。這種入侵檢測(cè)方法的缺點(diǎn)是，特征數(shù)據(jù)庫(kù)必須經(jīng)常更新才能識(shí)別新的攻擊特征。


可用于測(cè)試和部署的部分第三方產(chǎn)品包括：

• BlackIce Defender http://blackice.iss.net/（英文）

• Cisco Secure IDS http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/prodlit/netra_ds.htm（英文）

• eTrust Intrusion Detection http://www3.ca.com/Solutions/Product.asp?ID=163（英文）

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板