首先第一步,MARS要收集原始数据(即Events)到系统里面来,这就涉及到MARS与被管理的设备的交互,可以通过如下协议进行交换(例如IPS和MARS的交互使用SDEE)
Syslog,SNMP,RDEP,OPSEC-LEA (Clear and encrypted),POP,SDEE,HTTPS,HTTP,JDBC,RPC,SQLNet
第二步,Parser and Normalization
Parser这是一套动态或静态的参数,它和Normalization一块使各个厂家不同设备收集上来的Events形成MARS统一识别的一种方式(即起到了一个翻译的作用,翻译成MARS统一识别的语言,注意:也就是在这里可以使用内置的custom parser tool做开发,来支持那些MARS所不支持的设备)。以便于MARS进一步对其进行处理。
第三步,Sessionazation
在这里需要把收集上来的原始数据(Events)进行关联,大幅度减少,形成Session。当多个Events的source IP, destination IP, source and destination port(s), and protocol 这5个部分匹配,再给它敲上一个 time stamp,就会形成一个Session。
第四步,Incident
Session的最终结果是要形成Incident,在形成Incident之前要经过两个Rule,Rules是根据事件的 behaviors, specific event messages, certain fields in messages, 或者occurrences over time定义的。Rules是不可以删除的,人为的只可以对其状态进行激活或者睡眠。
第一个Rule ,Drop Rule,一旦Drop Rule匹配,则就会认为该Session 不具备威胁性,会放到Database里面以备今后审计。没有匹配Drop Rule的Session则初步认为是具有威胁性的,会送到第二个Inspection Rule里面去。一旦在Inspection Rule里面匹配则还要对其进行误报分析,之后再对可疑主机进行弱点评估,以过滤虚假信息。。如果其不是误报,则最终的具有威胁性的Incident形成。
第四步,
Incident也会被放入Database里面,之后会被关联到你前期所得到的拓扑图上,即在我们的拓扑图上呈现攻击路径。
IP卡
狗仔卡
发表于 2008-4-9 14:41:03
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
发表于 2008-12-23 16:48:00
