【正文】 g L I K E “ % r e b o o t % ”S 2S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % r o o t p w d c h a n g e d % ”S 4 該規(guī)則包含四個(gè)狀態(tài)節(jié) 點(diǎn)： S1 定義為 SIP=、 Msg LIKE “ ％ ssh login％ ” ； S2 定義為 SIP=、 Msg LIKE “ ％ reboot％ ” ； S3 定義為 SIP=、 Msg LIKE “％ syslogd stop％”； S4 定義為 SIP=、 Msg LIKE “％ root pwd changed％”。 分 支選擇結(jié)構(gòu)規(guī)則 S 1S 2 S 3D e v t y p e = 1 0S E V E R I T Y _ I D = 2S 1A P P _ S E V E R I T Y = 3T 2A P P _ S E V E R I T Y 3T 3D e v t y p e = 1 0S I P = p r e E v e n t . S I PM s g L I K E “ % f a i l d o w n % ”S 2D e v t y p e = 1 0S I P = p r e E v e n t . S I PM s g L I K E “ % r e b o o t % ”S 3 該規(guī)則包含三個(gè)狀態(tài)節(jié)點(diǎn)： S1 定義為 Devtype= SEVERITY_ID=2； S2 定義為 Deytype= SIP=、 Msg LIKE “％ fail down％”； S2 定義為 Deytype= SIP=、 Msg LIKE “％ reboot％”。 這種規(guī)則是描述了，當(dāng)某種類(lèi)型編號(hào)為 10 的設(shè)備產(chǎn)生告警等級(jí)為 2的安全事件后，根據(jù)該事件的應(yīng)用告警等級(jí)的不同，分別可能會(huì)產(chǎn)生不同的情況： 當(dāng)應(yīng)用告警等級(jí)大于或等于 3時(shí)，該設(shè)備后續(xù)可能產(chǎn)生導(dǎo)致系統(tǒng)癱瘓的安全事件； 當(dāng)應(yīng)用告警等級(jí)小于 3時(shí)，該設(shè)備后續(xù)可能產(chǎn)生導(dǎo)致系統(tǒng)重啟的安全事件。 激活 S3 的條件： 當(dāng) S1 與 S2都被擊穿后， S3 才被激活。當(dāng)雙機(jī)熱備的數(shù)據(jù)庫(kù)都出現(xiàn)癱瘓，而且應(yīng)用服務(wù)器確實(shí)無(wú)法連接數(shù)據(jù)庫(kù)時(shí)，則表示產(chǎn)生了該應(yīng)用系統(tǒng)無(wú)法正常使用的安全事件。 該規(guī)則包含兩個(gè)條件的分支： T2 定義為 {}30； T3 定義為 {}=30。 規(guī)則 /規(guī)則實(shí)例（ Rule/RuleInstance） 規(guī)則是對(duì)一組相關(guān)安全事件描述，用于在進(jìn)行規(guī)則匹配操作時(shí)捕獲一系列相關(guān)聯(lián)的事件。在設(shè)計(jì)上，規(guī)則實(shí)例中包含一些規(guī)則在匹配過(guò)程的動(dòng)態(tài)信息以及匹配過(guò)程需要使用的方法，而規(guī)則則是一種純靜態(tài)信息描述。 規(guī)則是由一系列狀態(tài)組成的類(lèi)似于有向圖的數(shù)據(jù)結(jié)構(gòu)，規(guī)則中的每一個(gè)單元都是一個(gè)狀態(tài)。當(dāng)然，這種上下層之間的關(guān)系是相對(duì)的，狀態(tài)之間的關(guān)系更類(lèi)似于前驅(qū)后續(xù)的關(guān)系，前驅(qū)與后續(xù)之間的關(guān)系會(huì)隨著規(guī)則的匹配進(jìn)行發(fā)生改變。狀態(tài)實(shí)例是在系統(tǒng)運(yùn)行中，實(shí)際參與匹配過(guò)程的狀態(tài)的副本。二者在結(jié)構(gòu)上是相同。 規(guī)則的激活點(diǎn) 匹配規(guī)則的過(guò)程中，系統(tǒng)維護(hù)一個(gè)容器，該容器存儲(chǔ)的是激活的狀態(tài)，當(dāng)頂層的狀態(tài)匹配成功時(shí)，下層的狀態(tài)全部被激活，將頂層的對(duì)象在容器中刪除，再將激活的狀態(tài)加入到容器中，事件來(lái)時(shí)只匹配激活點(diǎn)，如圖所示 靜態(tài)容器（ RuleContainer） 規(guī)則關(guān)聯(lián)引擎分中，存放規(guī)則實(shí)例的有兩個(gè)容器，靜態(tài)容器和動(dòng)態(tài)容器。靜態(tài)樹(shù)容器中的數(shù)量與規(guī)則的數(shù)量相同，與規(guī)則一一對(duì)應(yīng)，當(dāng)對(duì)規(guī)則進(jìn)行增刪改操作時(shí)，通知系統(tǒng)將靜態(tài)樹(shù)容器做相應(yīng)的調(diào)整，并立即生效。動(dòng)態(tài)容器是一個(gè)鏈表。為解決誤報(bào) ，就需要對(duì)通過(guò)規(guī)則關(guān)聯(lián)分析以后的安全事件進(jìn)一步做脆弱性關(guān)聯(lián)分析。 脆弱性關(guān)聯(lián)分析進(jìn)一步將來(lái)自聚合引擎或者規(guī)則關(guān)聯(lián)引擎的安全事件與系統(tǒng)中已掌握的脆弱性信息進(jìn)行關(guān)聯(lián)分析，以 CVE、 Bugtraq、受影響操作系統(tǒng)、監(jiān)控對(duì)象開(kāi)放端口以及漏洞的發(fā)現(xiàn)及發(fā)布時(shí)間為依據(jù)進(jìn)行匹配分析，根據(jù)不同的匹配結(jié)果定義出不同的匹配結(jié)果等級(jí)，以便 NetEye 安全管理平臺(tái)系統(tǒng)更加準(zhǔn)確地判斷 安全事件 的等級(jí)及危害情況。 N o t I D SI s I D S ?NYD o C o r r e l a t i o n F o r A s s e t s ?E x i s t A s s e t ? N o A s s e tS c a n E x i t s ?0 N o t e n o u g h i n f o r m a t i o nE x i s t s S c a n C V E ?E x i s t s I D S C V E ?NNNYYYY6 V u l n e r a b l eM a t c h ?YNNNP r o t o c o l = I C M P | | P o r t M a t c h ?1 P o r t n o t v u l n e r a b l eYNH a v e S c a n C V E amp。 H a v e I D S C V E ?NP o r t o c o l = I C M P ?Y0 N o t e n o u g h i n f o r m a t i o nY3 D e s t i n a t i o n p o r t o p e n2 O p e r a t i n g s y s t e m n o t v u l n e r a b l eO S M a t c h ?NYI D S M a x D a t e S c a n M i n D a t e ?4 M a y b e v u l n e r a b l e5 L i k e l y v u l n e r a b l eYNYN 進(jìn)行脆弱性信息匹配過(guò)程中，可能存在如下幾種狀態(tài)： 1) NotIDS：表示進(jìn)入 VC 的事件并不是 IDS 設(shè)備所產(chǎn)生的事件。 3) 0 Not enough information：沒(méi)有足夠的信息來(lái)完成脆弱性關(guān)聯(lián)分析。 4) 1 Port not vulnerable：端口非易受攻擊。 5) 2 Operating system not vulnerable：操作系統(tǒng)非易受攻擊。 6) 3 Destination port open：目標(biāo)端口開(kāi)放。 7) 4 Maybe vulnerable：疑似脆弱性。 8) 5Likely vulnerable：很可能是脆弱性。 9) 6 Vulnerable：表示系統(tǒng)中的歷史脆弱性信息與事件中描述的脆弱性信息匹配。 (五 ) 與工單系統(tǒng)關(guān)聯(lián) 安全 事件是產(chǎn)生告警信息和觸發(fā)工單系統(tǒng)的來(lái)源之一。 事件展示 針對(duì)經(jīng)過(guò)數(shù)據(jù)采集、數(shù)據(jù)處理后所得到的安全事件，展示模塊利用分析報(bào)表、圖表等多維展示技術(shù)，提供各種便捷的方式展示 國(guó)家藥品不良反應(yīng)監(jiān)測(cè)系統(tǒng) 的整體信息安全狀況。 ? 按照統(tǒng)計(jì)數(shù)據(jù)展示，包括：最新安全事件、事件最多的資產(chǎn)、最新脆弱性事件等。 ? 對(duì)事件進(jìn)行溯源，追溯 生成事件的原始告警日志。 風(fēng)險(xiǎn)評(píng)估與預(yù)警 NetEye 安全管理平臺(tái) 系統(tǒng) 的風(fēng)險(xiǎn) 評(píng)估與預(yù)警 模塊以 國(guó)家風(fēng)險(xiǎn)評(píng)估指南規(guī)范 為指導(dǎo)， 將 JDL（ Joint Director of Laboratories）模型 作為參考， 經(jīng)過(guò)多年考驗(yàn)的東軟安全服務(wù)的風(fēng)險(xiǎn)計(jì)算方法作為風(fēng)險(xiǎn)計(jì)算方法。 統(tǒng)一的風(fēng)險(xiǎn)告警展示 集中統(tǒng) 一的預(yù)警和展示平臺(tái)界面，可以將 安全事件趨勢(shì)圖、風(fēng)險(xiǎn)趨勢(shì)圖、 TOP N安全事件、 TOP N 脆弱性事件、 TOP N 故障事件、 TOP N 工單 、安全預(yù)警、安全公告等信息 通過(guò)集中統(tǒng)一的平臺(tái)界面進(jìn)行實(shí)時(shí)預(yù)警和展示。 NetEye 安全管理平臺(tái)系統(tǒng)結(jié)合資產(chǎn)的當(dāng)前風(fēng)險(xiǎn)情況和以往風(fēng)險(xiǎn)情況，展示資產(chǎn)的風(fēng)險(xiǎn)告警變化趨勢(shì)。管理員可以隨時(shí)查看所有資產(chǎn)的風(fēng)險(xiǎn)狀況；隨時(shí)根據(jù)資產(chǎn)的風(fēng)險(xiǎn)狀況進(jìn)行排序，集中關(guān)注高風(fēng)險(xiǎn)的資產(chǎn)清單。 NetEye 安全管理平臺(tái)系統(tǒng) 支持根據(jù)資 產(chǎn)價(jià)值、脆弱性、安全等級(jí)等條件生成相應(yīng)的風(fēng)險(xiǎn)評(píng)估報(bào)告，并將報(bào)告保存為 word、 Excel、 pdf、 html 等文件格式，并支持打印， 為 報(bào)告提交和存檔 提供基礎(chǔ) 。主要通過(guò)定期導(dǎo)入漏洞掃描軟件的評(píng)估結(jié)果，或者通過(guò)安管平臺(tái)系統(tǒng)自身集成的漏洞掃描功能、調(diào)度掃描任務(wù)，對(duì)網(wǎng)絡(luò)中主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的安全脆弱性信息進(jìn)行收集和管理，及時(shí)掌握網(wǎng)絡(luò)中重要主機(jī)系統(tǒng)、業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的最新的脆弱性。安管平臺(tái)應(yīng)能支持通過(guò)自定義掃描任務(wù)計(jì)劃的方式驅(qū)動(dòng)漏洞掃描軟件，按計(jì)劃執(zhí)行脆弱性收集工作，將掃描結(jié)果自動(dòng)導(dǎo)入保存到運(yùn)維平臺(tái)的關(guān)系型數(shù)據(jù)庫(kù)中，可以直接在安管平臺(tái)提供對(duì)掃描結(jié)果的查詢(xún)，并展現(xiàn)到平臺(tái)界面上。 NetEye 安全管理平臺(tái)系統(tǒng)通過(guò)三種方式實(shí)現(xiàn)脆弱性信息的收集： 通過(guò)定期導(dǎo)入漏洞掃描軟件的評(píng)估結(jié)果 ； 通過(guò) NetEye 安全管 理平臺(tái)系統(tǒng)集成漏洞掃描產(chǎn)品、調(diào)度掃描任務(wù)， 對(duì)網(wǎng)絡(luò)中主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備 的 安全脆弱性信息 進(jìn)行 收集 。 通過(guò)上述兩種方式 及時(shí)掌握網(wǎng)絡(luò)中重要主機(jī)系統(tǒng) 、業(yè)務(wù)系統(tǒng) 和網(wǎng)絡(luò)設(shè)備的最新的脆弱性。 支持的掃描軟件 該平臺(tái)支持通過(guò)自定義掃描任務(wù)計(jì)劃 的方式 驅(qū)動(dòng)漏洞掃描軟件 ， 按計(jì)劃執(zhí)行脆弱性收集工作，將掃描結(jié)果保 存到關(guān)系型數(shù)據(jù)庫(kù)，提供對(duì)掃描結(jié)果的查詢(xún)，并展現(xiàn)到平臺(tái)界面上。 掃描策略 該平臺(tái)支持制定多種掃描策略，策略?xún)?nèi)容包括：掃描周期、掃描范圍、掃描詳細(xì)策略等，亦可通過(guò)其它安全事件的監(jiān)控信息自動(dòng)生成掃描策略，來(lái)隨時(shí)觸發(fā)掃描動(dòng)作。 脆弱性展示 該平臺(tái)根據(jù)漏洞名稱(chēng)、漏洞等級(jí)、 IP 地址、資產(chǎn)名稱(chēng)等關(guān)鍵字對(duì)掃描結(jié)果進(jìn)行統(tǒng)計(jì)分析 , 從而在驗(yàn)證檢測(cè)結(jié)果正確性的同時(shí)，將資產(chǎn)屬性與其掃描結(jié)果結(jié)合起來(lái)，進(jìn)行脆弱性展示。 ? 脆弱性信息的統(tǒng)計(jì)展示，可通過(guò)以下方式實(shí)現(xiàn)： ? 以坐標(biāo)方式展示：橫軸為脆弱性名稱(chēng)，縱軸為脆弱性發(fā)現(xiàn)的次數(shù)，不同的脆弱性用不同的顏色表示。 ? 按風(fēng)險(xiǎn)級(jí)別展示：按照脆弱性的風(fēng)險(xiǎn)級(jí)別，分別顯示：很高、高、中、低、很低，或者所有級(jí)別全部顯示。 事件響應(yīng)與報(bào)警模塊 當(dāng) NetEye 安全管理平臺(tái)系統(tǒng)在經(jīng)過(guò)智能關(guān)聯(lián)分析后，對(duì)發(fā)現(xiàn)的安全事件、性能事件、故障事件和脆弱性事件進(jìn)行及時(shí)的響應(yīng)和處理。 事件響應(yīng)機(jī)制 當(dāng) NetEye 安全管理平臺(tái)系統(tǒng)在經(jīng)過(guò)智能 關(guān)聯(lián)分析后，對(duì)發(fā)現(xiàn)的安全事件、性能事件、故障事件和脆弱性事件進(jìn)行及時(shí)的響應(yīng)，響應(yīng)機(jī)制包括： 屏幕顯示響應(yīng)，以 TOP N 等進(jìn)行顯示、以列表形式顯示等； 聲音報(bào)警響應(yīng)； 郵件報(bào)警響應(yīng)； 短信提醒； 以工單形式進(jìn)入事件處理流程； 工單的產(chǎn)生 工單產(chǎn)生來(lái)自主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)系統(tǒng)以及風(fēng)險(xiǎn)告警等多方面產(chǎn)生的告警和提示信息。通過(guò)對(duì)工單產(chǎn)生策略的定義，所有可能對(duì)信息系統(tǒng)的正常運(yùn)行造成影響的事件都可以觸發(fā)工單的產(chǎn)生。在工單策略中，可以對(duì)不同事件能夠產(chǎn)生工單的級(jí)別和類(lèi)別進(jìn)行定義，同時(shí)定義工單的執(zhí)行人和監(jiān)督人，以及聯(lián)系的方式；同時(shí)應(yīng)對(duì)不同級(jí)別和類(lèi)別工單的處理時(shí)限提出要求，并定義超時(shí)情況下的處理策略（如：重發(fā)工單、轉(zhuǎn)發(fā)第二執(zhí)行人等）。工單處理完成后，要由監(jiān)管人員決定是否將工單關(guān)閉；對(duì)于未能完成的工單，也要由監(jiān)管人員決定是否將工單掛起或取消工單。 NetEye 安全管理平臺(tái)系統(tǒng)的事件處理流程，能夠滿(mǎn)足企業(yè)用戶(hù)對(duì)事件處理流程管理的要求。對(duì)于新生成的處理中工單，處理人可以對(duì)其進(jìn)行處理、申請(qǐng)延時(shí)或申請(qǐng)關(guān)閉操作，然后工單進(jìn)入待審批狀態(tài)；監(jiān)督人可以修改其處理時(shí)限，或者直接關(guān)閉處理中工單，然后工單將進(jìn)入已關(guān)閉狀態(tài)。對(duì)于關(guān)閉操作，工單進(jìn) 入已關(guān)閉狀態(tài)。 對(duì)于已關(guān)閉的工單，監(jiān)督人員可以根據(jù)工單處理過(guò)程和結(jié)果生成公告或案例，也可以直接刪除已關(guān)閉工單。如： 系統(tǒng)目前有多少待處理的工單 、 多少 工單 正在處理 過(guò)程 中 、 多少 工單 已經(jīng)處理完畢 等 。平臺(tái)系統(tǒng)支持監(jiān)督人員增加對(duì)工單處理情況的 記錄 ，從而實(shí)現(xiàn)對(duì)相關(guān)人員進(jìn)行績(jī)效考核。該平臺(tái)多個(gè)功能模塊都能產(chǎn)生 相應(yīng) 的報(bào)表 ，以方便管理人員查詢(xún)和統(tǒng)計(jì)當(dāng)前的系統(tǒng)的工作狀態(tài)，或者以前某個(gè)時(shí)期系統(tǒng)的工作狀態(tài) 。同時(shí)，運(yùn)行用戶(hù)對(duì)報(bào)表的樣式進(jìn)行 靈活的定制 ，報(bào)表的樣式 和內(nèi)容的定制均 可以 通過(guò)界面方便、直觀地 操作 ； 內(nèi)置了多種報(bào)表模板； 大數(shù)據(jù)量的報(bào)表可以根據(jù)需要在指定的時(shí)間自動(dòng)生成； 報(bào)表輸出的文件格式支持 Excel、 Doc、 PDF、 HTML 等多種標(biāo)準(zhǔn)格式。 網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn) NetEye 安全管理平臺(tái) 系統(tǒng)在實(shí)現(xiàn) 網(wǎng)絡(luò)拓?fù)渥詣?dòng)發(fā)現(xiàn) 時(shí)， 能夠自動(dòng)識(shí)別各種主機(jī)、路由器、交換機(jī)等設(shè)備類(lèi)型，以及它們之間的關(guān)系。 網(wǎng)絡(luò)拓?fù)?管理 拓?fù)涔芾碜鳛榫W(wǎng)絡(luò)管理的基本功能，是網(wǎng)管中最基本的也是最重要的組成部分。 拓?fù)涔芾韺?shí)現(xiàn)如下具體功能： 1) 自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備及其連接，獲取最初的網(wǎng)絡(luò) 信息； 網(wǎng)絡(luò)設(shè)備的初始發(fā)現(xiàn)。 2) 自動(dòng)發(fā)現(xiàn)輪詢(xún)間隔靈活設(shè)定 ； 用戶(hù)可以根據(jù)管理需要自行設(shè)定網(wǎng)絡(luò)設(shè)備自動(dòng)發(fā)現(xiàn)輪詢(xún)時(shí)間間隔 （ 最小時(shí)間間隔 1分鐘