目錄
第1章日志基本知識1
1.1日志概述1
1.1.1日志設備產生的原因1
1.1.2日志管理設備的定義2
1.1.3日志的作用3
1.2日志審計5
1.2.1信息繫統審計概念5
1.2.2日志審計概念7
1.2.3日志審計法律法規9
1.2.4日志審計面臨挑戰11
1.3日志收集與分析繫統11
1.3.1日志收集與分析繫統介紹11
1.3.2繫統功能13
1.3.3日志旁路部署17
1.3.4日志全生命周期管理17
1.3.5合規性要求19
思考題21

第2章日志收集22
2.1概述22
2.2收集對像22
2.2.1操作繫統22
2.2.2網絡設備25
2.2.3安全設備26
2.2.4應用繫統27
2.2.5數據庫27
2.3收集方式29
2.3.1Syslog29
2.3.2SNMP Trap30日志審計與分析目錄2.3.3JDBC/ODBC32
2.3.4FTP37
2.3.5文本38
2.3.6Web Service39
2.3.7第三方繫統39
2.4日志收集器39
思考題41

第3章事件歸一化42
3.1事件過濾42
3.1.1事件過濾介紹42
3.1.2事件過濾使用的方法43
3.2歸一化的原因46
3.3歸一化的方法及效果47
3.3.1歸一化的方法47
3.3.2歸一化的效果54
思考題56

第4章日志存儲57
4.1概述57
4.2日志存儲策略57
4.2.1日志存儲格式57
4.2.2關繫數據庫存儲策略58
4.2.3鍵值數據庫存儲策略60
4.2.4Hadoop分布式存儲策略63
4.3存儲方式66
4.3.1在線存儲66
4.3.2近線存儲68
4.3.3離線存儲70
4.3.4日志存儲的實際應用72
思考題73

第5章關聯分析74
5.1概述74
5.2實時關聯分析75
5.3事件關聯方式76
5.3.1遞歸關聯76
5.3.2統計關聯77
5.3.3時序關聯79
5.3.4跨設備事件關聯80
5.4告警響應80
5.4.1告警響應介紹80
5.4.2告警方式81
5.4.3響應方式82
5.4.4告警查詢85
5.5實時統計分析86
5.5.1事件全球定位繫統86
5.5.2動態雷達圖86
5.5.3事件行為分析87
5.5.4主動事件圖88
思考題89

第6章查詢與報表90
6.1概述90
6.2事件查詢90
6.2.1普通條件查詢90
6.2.2模糊查詢91
6.2.3查詢場景92
6.2.4查詢任務93
6.3日志報表的分類93
6.3.1報表概述93
6.3.2預定義報表93
6.3.3自定義審計報表94
6.3.4中間表98
思考題100

第7章典型案例101
7.1高校日志審計解決方案101
7.1.1背景及需求101
7.1.2解決方案及分析102
7.2金融行業日志審計解決方案104
7.2.1背景及需求104
7.2.2解決方案及分析106
7.3航空公司日志審計解決方案109
7.3.1背景及需求109
7.3.2解決方案及分析110
7.4政府日志審計解決方案112
7.4.1背景及需求112
7.4.2解決方案及分析113
7.5日志的高級應用： 如何通過日志溯源114
7.5.1某企業的撞庫事件分析114
7.5.2某企業短信平臺事件分析116
思考題117

附錄A英文縮略語118

參考文獻121

沒有網絡安全，就沒有國家安全；沒有網絡安全人纔，就沒有網絡安全。
從更多、更快、更好地培養網絡安全人纔出發，如今，許多學校都在下大工夫、花大本錢，聘請優秀老師，招收優秀學生，著力培養一流的網絡安全人纔。
網絡空間安全專業建設需要體繫化的培養方案、繫統化的專業教材和專業化的師資隊伍。優秀教材是網絡空間安全專業人纔的關鍵。但是，這是一項十分艱巨的任務。原因有二： 其一，網絡空間安全的涉及面非常廣，至少包括密碼學、數學、計算機、操作繫統、通信工程、信息工程、數據庫、硬件等多門學科。因此，其知識體繫龐雜、難以梳理；其二，網絡空間安全的實踐性很強，技術發展更新非常快，對環境和師資要求也很高。
“日志審計與分析”是網絡空間安全和信息安全專業的基礎課程，通過日志各知識點的介紹掌握日志審計與分析。本書涉及的知識面寬，共分為7章。
第1章介紹日志基本知識，第2章介紹日志收集，第3章介紹事件歸一化，第4章介紹日志存儲，第5章介紹關聯分析，第6章介紹查詢與報表，第7章介紹典型案例。
本書既可作為網絡空間安全、信息安全等相關專業的教材和參考資料，也可作為網絡安全研究人員的入門基礎讀物。隨著新技術的不斷發展，今後將不斷更新本書中的內容。
在本書的編寫過程中，得到了360企業安全集團的裴智勇、翟勝軍、楊進國，北京郵電大學雷敏等專家、學者的鼎力支持，在此對他們的工作表示衷心感謝！
由於作者水平有限，書中難免存在疏漏和不妥之處，歡迎讀者批評指正。

作者2018年12月

第5章第5章關 聯 分 析


5.15.1概述計算機技術和Internet的迅猛發展，加速了全球信息化進程，互聯網正在走進千家萬戶，在人們的日常工作和生產生活中扮演著不可或缺的角色。網絡用戶正在以指數級增長，網絡的規模也越來越大，與此同時，針對網絡的惡意攻擊活動越來越多。如何有效地保證網絡的正常運行已經成為十分緊迫的問題。為了防止惡意入侵給網絡造成破壞，造成資源的丟失，網絡管理人員非常迫切需要能夠準確、及時地了解整個網絡的當前狀態及未來的安全趨勢，及時發現攻擊和危害行為，並進行應急響應，以便對網絡的安全設置和資源配置制定出合理的應急策略，達到事前預防、縱深防御的目的，即需要對網絡安全狀態進行及時的評估和對未來發展態勢進行預測，及時了解網絡的狀況。網絡安全態勢評估和預測越來越受到人們的關注，成為網絡安全管理領域研究中的熱點問題，而關聯分析則是快速定位故障和入侵的一種有效手段。
關聯分析又稱關聯挖掘，就是在關繫數據或其他信息載體中，查找存在於對像集合之間的關聯、相關性或因果結構，是一種在大型數據庫中發現變量之間關繫的方法。關聯的含義是指將所有繫統中的事件以統一格式綜合到一起進行觀察。
在網絡安全領域中，關聯分析是指對網絡全局的安全事件數據進行自動、連續分析，根據用戶定義的、可配置的規則識別網絡威脅和復雜的攻擊模式，從而確定事件真實性、進行事件分級並對事件進行有效響應。關聯分析可以用來提高安全操作的可靠性，減少漏報警、誤報警現像，以及在海量信息中提高分析的實時性，並為安全管理和應急響應提供技術手段。現有的安全事件的關聯分析研究工作可分為如下幾類。
1. 聚合分析
告警聚合分析過程的主要目的是減少告警數量，采用相似度關聯算法以及聚類、分類等算法對原始告警進行處理，其功能包含兩個方面： 一是把同一安全事件導致的多條告警融合為一條告警記錄，大大減少告警數量；二是關聯不同網絡安全設備針對同一安全事件報告的重復告警。通過分析安全事件之間的關聯關繫，對同類和相似安全事件進行合並，從而減少安全事件的數量，去除重復和冗餘信息。
2. 交叉關聯
交叉關聯（Cross Correlation）主要是結合背景知識（如網絡拓撲信息、漏洞信息和主機配置信息等）提高告警的質量，主要用於攻擊確認和風險評估。在“提高告警質量”方面，主要涉及IDS誤告警的去除以及告警風險的評估。由於是分析安全事件和其他背景知識、漏洞信息之間的關聯關繫，所以稱為交叉關聯。日志審計與分析第5章關聯分析3. 多步攻擊關聯
由於現在大部分攻擊，尤其是危害巨大的攻擊都是多步攻擊，而安全事件通常都是一個單獨的攻擊行為，因此從眾多安全事件中找到一個多步攻擊對應的多個攻擊步驟，並將它們關聯起來也是安全事件關聯分析研究領域的一個重要研究內容。多步攻擊關聯又可稱為攻擊場景構建，主要研究攻擊步驟之間的關聯關繫。
4. 其他
安全事件關聯分析的研究中還有一些問題，例如，體繫結構、總體構架、時間一致性問題、數據格式等，可將這些分析方法綜合歸結為其他的關聯分析方法類。
本章主要介紹關聯性分析方面的知識，包括實時關聯分析、事件關聯方式。除此之外，還介紹與關聯分析目的相關的告警方面的知識以及可視化的日志實時統計分析。5.25.2實時關聯分析隨著網絡及其應用的發展，傳統的集中分析日志的安全防護策略已無法實時解決新興的實時威脅，如何準確而又快速地找到繫統遭受的安全問題顯得格外重要。對於有危害性的網絡行為，應該及時主動采取相應的措施，以減少進一步的網絡安全事件，避免網絡繫統遭受到進一步的威脅。例如，某個節點發出很多安全事件或者某個節點不斷受到攻擊，因此應該高度重視並檢查該節點的情況。對有危害的網絡行為的響應類似於傳染病的防護（隔離或清除傳染源、切斷傳播路徑以及保護易感人群）： 隔離或清除傳染源，即隔離或清除有危害的網絡行為源；切斷傳播途徑，即切斷攻擊的傳播通路，使之不能到達攻擊目標；保護易感人群，即對網絡節點進行升級、加固等，盡可能使之對攻擊具有抵抗力。網絡安全事件的實時性關聯分析是解決這種現狀的關鍵手段之一。除此之外，當前網絡安全管理者還面臨如下挑戰。
（1） 安全設備和網絡應用產生安全事件數量巨大，漏報警、誤報警現像嚴重。一臺IDS一天產生的安全事件數量成千上萬，真正存在威脅的安全事件淹沒在誤報信息中，難以識別。大量冗餘告警日志的存儲嚴重影響了關聯性分析的時效性。
（2） 安全事件之間存在的橫向和縱向方面（如不同空間來源、時間序列等）的關繫未得到綜合分析，因此漏報嚴重。一個攻擊活動之後常常接著另一個攻擊活動，前一個攻擊活動為後者提供基本條件；一個攻擊活動在多個安全設備上產生了安全事件；多個不同來源的安全事件其實是一次協作攻擊，這些都缺乏有效的綜合分析。
（3） 安全管理者缺乏對整個網絡安全態勢的全局實時感知能力。
充分利用多種安全設備的檢測能力生成大量的日志數據，這些數據集中處理的致命弱點是待分析的數據量巨大，那些龐大冗餘或獨立分散的安全事件顯然不能直接作為響應依據。上述問題的根本解決途徑是網絡安全事件關聯實時處理。傳統的安全日志審計繫統先將不同信息源日志融合完畢後存入數據庫，再對數據庫中的日志信息進行關聯性分析，發掘出日志之間的關繫，找到真正的外部入侵和內部違規。但是，傳統的日志審計繫統無法進行實時性分析，它必須等到不同信息源的日志存入數據庫後方可進行分析，對網絡繫統日志的存儲能力要求非常高，同時這也將大大降低發現安全隱患的時效性。
相比於傳統的關聯性分析，實時關聯性分析可以在存儲已處理日志的同時進行關聯性分析。經過收集和處理後的日志信息，一方面將日志存入數據庫，另一方面同步在內存中進行實時關聯性分析。關聯分析的實時性確保了日志被及時審計，同時能夠快速發現並定位安全隱患。但是，從實時性上看，關聯分析的整個過程不能間斷，這對繫統的實時性要求較高。除此之外，普通日志存入數據庫較容易，但如果是關聯引擎實時將報警存入數據庫中，則比較復雜。例如，一個關聯規則需要在1s內通過SQL語句獲取10條數據，那麼關聯引擎就需要實時在1s內進行10次磁盤存取，這導致對磁盤讀寫頻率以及吞吐率的要求較高，所以告警關聯分析在確保實時性的同時，也要注意對數據庫吞吐率的重視。網絡安全中的關聯反饋如圖51所示。
圖51網絡安全中的關聯反饋
5.35.3事件關聯方式實時關聯分析的核心是基於安全監測、告警和相應技術的事件關聯分析引擎。在關聯規則的驅動下，事件關聯分析引擎能夠進行多種方式的事件關聯，包括遞歸關聯、統計關聯、時序關聯、跨設備事件關聯等。本節主要介紹這幾種典型的事件關聯方式。
5.3.1遞歸關聯
遞歸在數學與計算機科學中的含義是指在函數定義中使用函數自身的方法。遞歸還較常用於描述以自相似方法重復事物的過程。例如，當兩面鏡子相互之間近似平行時，鏡中嵌套的圖像是以無限遞歸的形式出現的，也可以理解為自我復制的過程。遞歸關聯指的是以遞歸的方式進行關聯性分析，即自身與自身發生關聯。遞歸關聯是同一類實體之間的一種關聯。和普通關聯一樣，遞歸關聯也可以分為3種表達形式： 一對一遞歸關聯、一對多遞歸關聯和多對多遞歸關聯。
一對一遞歸關聯是指對像之間是一對一的關繫。例如，圖52給出的一對一遞歸關聯示例圖表示的含義是兩個人是一對一的關聯關繫，但是對像都出自於人類這一個大的集合中，相同對像之間產生了遞歸的關聯，這個案例就是簡單的一對一關聯關繫。
一對多遞歸關聯的含義是同一個類對像中存在一個實體對應關聯多個實體。圖53是一個典型的一對多遞歸關聯的實例，一個消費者購買某件商品，如果該商品給消費者帶來良好的用戶體驗，此消費者會將該商品推薦給身邊同為消費者的其他人，這就是一個典型的一對多的遞歸關聯案例。
多對多遞歸關聯指的是實體中關聯的關繫是多對多，如圖54所示。例如，在醫院中，同一科室的醫生面對不同的病人是多對多的關聯關繫，有時醫生本人也因為自身身體的不適去就醫，這就產生醫生這一類中的遞歸關聯關繫。
圖52一對一關聯
圖53一對多關聯
圖54多對多關聯



遞歸關聯對自身在時序上進行關聯性分析，可以深度挖掘不同時間段自身告警之間的關聯度，從而快速、準確地定位設備或者網絡中的故障所在。
5.3.2統計關聯
在關聯規則挖掘中，統計學一直扮演著相當重要的角色。關聯規則挖掘的過程可以分為兩個子問題： 一是產生大的項目集；二是產生強關聯規則。對於個問題，算法的復雜性是瓶頸，因為所挖掘出的頻繁集的數目和項目的數目呈指數級增長。所幸，對此目前已經提出了許多基於統計學的有效挖掘算法，且這些算法都能在滿足挖掘精確度的基礎上提高算法的運行速度和效率。對於第二個問題，目前的研究不多，主要原因是在產生強關聯的同時，基於統計學的關聯規則挖掘沒有被進一步利用。通過基於統計學的關聯規則挖掘，從大型數據庫中發現大量規則，是知識發現的重要內容。統計學與數據的關聯挖掘有密不可分的聯繫。
（1） 數據關聯挖掘雖不同於統計分析，但許多挖掘技術又來源於統計分析。
數據的關聯挖掘中有許多工作都可以由統計方法完成，如回歸、抽樣等。通常的數據挖掘工具都能夠通過可選軟件或自身提供統計分析功能。這些功能對於數據關聯挖掘前期數據探索和挖掘之後對數據進行總結和分析都是十分必要的。統計分析提供的諸如方差分析、假設檢驗、相關性分析、線性預測、時間序列分析等功能都有助於數據關聯挖掘前期對數據進行探索，找出數據挖掘的目標、確定數據挖掘所需涉及的變量、對數據源進行抽樣等。所有這些前期工作對數據挖掘的效果產生重大影響。而數據關聯挖掘的結果也需要運用統計分析的描述性指標（如值、小值、平均值、方差等）進行具體描述，以使數據挖掘的結果能夠被用戶了解。因此，統計分析和數據關聯挖掘是緊密結合的過程，兩者的合理配合是數據關聯性挖掘成功的重要條件。
（2） 數據關聯挖掘不是為了替代傳統的統計分析技術，相反，數據關聯挖掘是統計分析方法的擴展和延伸。
大多數的統計分析技術都基於完善的數學理論和高超的技巧，其預測的準確程度令人相對滿意，但對使用者的知識要求比較高。而隨著計算機能力的不斷發展，數據關聯挖掘可以利用相對簡單和固定程序完成同樣的功能。新的計算算法的產生，如神經網絡、決策樹等，使人們不需要了解其內部復雜原理，也可以通過這些方法獲得良好的關聯性規則的挖掘。
（3） 數據關聯挖掘的出現為統計學提供了一個嶄新的應用領域，也對統計學的理論研究提出了挑戰。
數據關聯挖掘的方法主要是一些機器學習算法，包括決策樹、關聯分析、人工神經網絡等。近些年，統計學的加盟使這些方法煥發出勃勃生機，現有的機器學習算法均離不開統計學知識，數據關聯挖掘技術有相當大的比重是由高等統計學中的多變量分析支撐的。
（4） 統計學與數據關聯挖掘的結合日益緊密。
統計學與數據庫、人工智能一起作為數據關聯挖掘的3個強大支柱，它在計算機發明之前就誕生了。
統計學在數據關聯挖掘方法創新方面做出了極大的貢獻，如統計理論在人工神經網絡技術中的應用——概率分析網（PLN），統計思想在數據挖掘學習方法上的貢獻——貝葉斯網絡，統計學在遺傳算法中的應用——概率進化算法（PEMA）。數據關聯挖掘正是利用了統計學和人工智能等技術的應用程序，把這些復雜的技術封裝起來，解決自己的問題。
統計關聯的實質是兩個事件在統計學概念上的相互關聯，是一種基於某種分布、可以通過統計的方法顯示不同數據子集之間關繫的規則，它為其他關聯規則的生成提供統計確認其有效性。統計關聯規則的優點是不需要將數據離散化，因為離散化過程可能會導致信息丟失，往往扭曲挖掘算法的計算結果。
統計關聯常用於一些統計數值上存在關聯的案例中。例如，在自然語言處理領域中，英語的文學作品存在著統計關聯的關繫。不同時代的作品看似在內容的選材、所處年代上都不存在關聯，因此可能認為不同作品單詞的組合也不存在關聯性。但是，通過統計關聯分析發現，字母之間呈現較強的相關性，不同的作品其詞彙的組成具有較強的統計關聯性，這也為後來自然語言處理領域的發展奠定了堅實的基礎。由此可見，統計關聯在事件關聯中起著重要的作用。
在網絡安全方面，基於統計的關聯性分析是指定義一些大的安全事件類別，將出現的事件先歸類，然後根據各大類在一段時間內出現的事件安全級別和數量用權值評估攻擊和關聯性。分析這些權值可以確定發生這種類型攻擊的危險程度，同時可將多次統計得到的高安全級別、已確定為攻擊或入侵的事件再定義為規則，以此豐富規則庫。
5.3.3時序關聯
時間序列是指按時間順序排列的隨時間變化的數據集合。這些數據通常是等時間間隔測得的數值，在經濟、技術的很多領域都廣泛存在，如股票每日波動、科學實驗、醫療等。隨著信息技術的廣泛使用，人類擁有的時間序列信息量急劇增加。針對這些海量歷史時序數據，如何利用新的技術方法將其轉化為可靠的知識信息，提高人類對未來的預測能力以及對未來事件的提前控制能力，一直受到人們的密切關注。關於時間序列的分析，可以用很多直觀的方法檢測時間序列中存在的變化。實際的時間序列數據有時要作某種形式的變換，這樣做不但可以穩定時間序列變化，而且可以解決數據的維度災難問題。時間序列時序關聯規則挖掘如圖55所示。
圖55時間序列時序關聯規則挖掘
在關聯規則挖掘的研究歷程中，一個新的關聯規則挖掘問題——時序關聯規則挖掘被Agrawal等人提出。該挖掘算法初的應用是商品關聯性分析，當時的輸入數據是一繫列的序列，被稱為數據序列。每個數據序列都由一繫列交易記錄構成，每個交易記錄由一繫列商品構成，並且每個交易記錄都會有一個交易時間。時序規則由一繫列商品構成，時序關聯規則挖掘的目的就是發現滿足小支持度的時序規則。
時序挖掘的研究初是由零售業中的相關應用驅動的，但是研究的結果被應用到許多科學和商業領域。舉例來說，在一個圖書超市的數據庫中，每個數據序列對應一個顧客的所有圖書選擇，每條交易記錄對應一個顧客在一次訂購中的圖書清單。一個時序規則可能是“5%的學生購買網絡安全教材，接著會購買防火牆技術及應用教材，再接著會購買黑客攻防從入門到精通教材”。時序規素可以是一繫列的商品，如“網絡安全教材和防火牆技術及應用教材，接著黑客攻防從入門到精通教材”。
時序關聯規則就是對時序數據庫采用某種數據挖掘算法，得到具有時間約束的關聯規則。與一般的布爾型關聯規則的區別在於，時序關聯規則與時間或時態密切相關。
時序關聯是指對某一長度固定的序列進行分段處理，分段之後，將每個分段內各個序列項對應的順序時間位置作為不同的屬性集合，並給出每個屬性劃分的閾值區間，再將每個分段的時序進行關聯性分析，這就是時序關聯的步驟。關聯規則挖掘中采用的Apriori特性可用於時序關聯規則的挖掘，因為若長度為k的時序關聯規則是非頻繁項，那麼其超集（長度為k 1） 不可能是頻繁項。因此，時序關聯規則的大部分都采用了Apriori繫列算法的變體，雖然考慮的參數設置和約束都有所不同。另一種挖掘此類規則的方法是基於數據庫投影的序列模式生長技術，類似於無候選生成的頻繁模式挖掘的頻繁模式增長法。
5.3.4跨設備事件關聯
跨設備事件關聯規則，是指將不同設備間的告警信息做關聯，利用告警在設備之間具有傳遞的功能，從而發現不同設備之間的關聯規則，便於快速定位故障所在位置。
跨設備事件關聯技術通過跨設備收集而來的數據進行嚴密的關聯分析，從而更好地了解看似無關的，但設備之間存在著理論相關性的關聯分析。當數據分組從一個設備傳送到另一個設備中時，由於保持著時間的順序性，所以可以通過分析與兩種設備均相關的告警方面的知識進行關聯性分析，從而更快、更準確地定位出故障所在位置。5.45.4告警響應5.4.1告警響應介紹
在實際的網絡中，一個故障的產生往往會引發多個告警事件。告警出現的突然性和不可預測性很強，致使準確、及時地分離和定位產生告警的根源很重要，也非常困難。而且，隨著網絡的復雜性和應用水平的不斷提高，告警的種類和數量會越來越多，不同的網絡之間存在較大的差異。網絡還會頻繁地發生改變。例如，功能部件的增添、修改、替換等。在網絡的告警數據庫中保存著大量的歷史告警數據，這些告警數據或者信息不完整、或者包含較多的冗餘信息，但其中卻蘊含著一些有價值的信息。為了找出告警中有價值的信息，以便準確進行網絡故障定位和診斷，需要對大量的告警數據進行相關性分析，即通過屏蔽不必要的或者不相關的告警，減少告警干擾，快速進行網絡的故障診斷和定位。告警關聯性分析實質上就是對來自一個或多個告警源的告警信息進行過濾、壓縮、泛化、分類和模式匹配，以便進行故障識別和重大故障的預測。所以，要想準確定位故障，除了選擇合適的基於數據挖掘的告警相關性分析算法，也要全面了解告警的方式，即如何響應報警以及告警的查詢方式、告警的存儲等。後，將分析結果應用到告警相關性分析繫統中，以實現網絡故障的識別和重大故障的預測。全方位地了解告警的知識有助於快速進行告警關聯性分析。
在網絡安全領域中，信息通信網絡各種數據信息業務的需求成為網絡告警不可避免的重要增長因素，同時具有數據總量龐大、突發告警波動、網絡傳播效應、積累效應與滯後效應、故障信息冗餘等特點。通過告警特征分析將有助於告警之間的關聯規則挖掘分析。具體來說，告警的特點主要有以下3點。
（1） 數據總量龐大，誤報率高。信息通信網絡業務種類多樣化、網絡規模延展化、拓撲結構緊密化以及網管監控集中化等特點，導致現行網絡的告警和故障數量龐大。
（2） 突發告警波動，告警信息瑣碎。從告警監控管理角度而言，網絡設備故障告警具有一定的不可預見性。核心設備死機將造成與之交互信息的整個網絡大面積癱瘓，告警激增不可避免；同理，如果故障及時得到維護與處理，告警量將在短時間內消除。例如，網絡管理繫統發現有外來入侵導致繫統某處產生告警，相關設備上將出現告警，當告警被發現並及時處理後，告警將會消失。
（3） 故障信息冗餘。單一故障產生的告警會導致網絡設備關聯部件報警，因此需要從多個告警中找出根源問題的告警。
這樣的告警信息直接影響對故障或攻擊的分析和及時響應，也將占用大量的處理時間。下文以告警響應為核心，依次介紹告警產生的表現方式、告警的響應方式以及如何進行告警的查詢。
5.4.2告警方式
網絡告警是通信設備運行異常時觸發的消息（如設備板件故障、設備殼體通風散熱不暢導致溫度過高、網絡被入侵產生告警等），每條告警消息均表征其的運行狀態。由於各設備廠家不同類型繫統設備的告警消息機制和內容含義存在差異，因此無法對全行業網絡設備進行統一、標準、規範的要求，但是可以通過特定的標準化字段進行規範。一般的網管繫統告警標準化字段是網管繫統中通用的一些字段，如設備告警發生時間、設備告警消除時間等一繫列字段。
在網絡設備中，告警主要以短信告警方式、多媒體語音告警方式、郵件告警方式、發送SNMP Trap、通知方式告警以及傳輸文本日志方式告知網絡安全管理人員。其中，多媒體語音告警（如電話告警）以及短信告警是以直接、快捷的告警形式告知管理人員設備出現故障，但管理人員往往並不能及時得到故障出現的原因和故障類型。SNMP Trap和通知告警方式、日志告警和郵件告警方式主要通過網絡的形式告知管理人員，告警內容豐富，但存有大量冗餘告警信息，因此分析起來復雜、耗時。
電話告警是指在繫統發生告警信息時，通過網絡IP電話撥號撥打工作管理人員的手機號碼。一般網絡設備的語音電話盒與計算機或者網管繫統組合使用，通過計算機向語音電話盒發送要撥打的電話號碼和語音代碼，電話盒收到數據後撥打對應的號碼，並把語音代碼轉換成音頻信號，當電話打通後發送語音。如果電話撥號失敗，電話盒會把信息返回給網絡設備或計算機。電話告警適合遠距離語音播報。
如果網絡設備中帶有支持通信信息傳輸的芯片或手機電話卡時，還可以通過短信告警的方式告知管理人員，即繫統報警時，短信模塊會通過手機卡發短信提示工作人員。操作人員可以通過短信的方式授權網絡設備中的SIM卡並設置短信提示格式，若設備發生告警，網絡設備會將短信發至管理人員的手機端。短信告警更適合一些不影響繫統短時間內正常運行的告警播報。
 簡單網絡管理協議（SNMP）是TCP/IP協議簇的一部分，它使網絡設備之間能夠方便地交換管理信息，能夠讓網絡管理員管理網絡的性能，發現和解決網絡問題，及時進行網絡的擴充。目前，SNMP已成為網絡管理領域中事實上的工業標準，並得到廣泛支持和應用，大多數網絡管理繫統和平臺都是基於SNMP的。
文本日志告警方式以日志的方式存儲在設備內部，網絡安全管理人員通過設備導出或者網絡傳輸方式傳輸網絡安全日志，對日志進行分析，從而定位故障。日志告警主要以屬性的鍵值對形式呈現給網絡安全管理人員，每條日志告警的種類分為簡單告警和復雜告警。兩種告警方式的定義如下。
1. 簡單告警
=，，，，，，
簡單告警由組構成並確定組包括告警ID，用於確定一條告警，一般使用GUId保證告警在整個安全域的性；告警類型ID，標志告警的類型，是用於告警關聯的關鍵字段，用以區分發生告警的設備類型和告警類型，通常可以用一個6位字符串標識（AABBCC），前兩位表示告警產生的設備類型（如主機、防火牆等），中間兩位表示告警大類（如拒絕服務類攻擊、掃描類攻擊、滲透類攻擊、主機高危事件等），後兩位表示告警細類；告警發生時間；告警來源，產生告警的設備；詳細信息列表，不同類型的告警具有不同數據結構的詳細信息列表，如主機文件操作告警包含操作者、文件名、操作方式等信息，入侵檢測事件包含源地址、目的地址等信息；危險級別，告警的嚴重程度；置信度，告警發生的概率由歷史告警數據庫統計得到。
2. 復雜告警
=，，，，，，，，
復雜告警由組構成並確定組包括告警ID；告警類型ID；告警開始時間、告警結束時間，標志從觸發關聯的條告警到關聯結束的後一條告警的時間段；告警來源列表，指被關聯的簡單告警的告警來源的集合；詳細信息列表，指被關聯的簡單告警詳細信息的集合；參數表，高級告警融合過程中使用的參數，如時間窗口；危險級別，告警的嚴重程度；置信度，告警發生的概率，由歷史告警數據庫統計以及貝葉斯網絡計算得到。
通過上面的介紹，可以了解到網絡的多種告警方式，當儀器接收到告警時，網絡設備也會有相應的響應方式和策略。
5.4.3響應方式
當網絡設備遭遇攻擊或是有故障時，設備會以告警的方式將警報傳送給管理人員，與此同時，網絡安全設備會對告警信息做出響應。常見的告警響應方式有執行告警命令腳本、不同安全繫統聯動和發送Syslog消息給網絡安全管理人員等。本節將圍繞3種典型的方式描述告警的響應方式。
1. 執行告警命令腳本
告警發生後，網絡設備或計算機結合腳本語言的解釋執行的靈活性，用腳本語言制作應用程序，向網絡管理人員發送告警信息或在必要的時候關閉相應的設備模塊，從而避免網絡設備遭遇毀滅性打擊。首先，簡要介紹一下腳本語言的概念。計算機語言是為了實現各種目的和完成任務而開發的。腳本語言又叫動態語言，是一種編程語言，用來控制軟件應用程序，通常以文本（如ASCII）保存，隻在被調用時進行解釋或編譯。大多腳本語言的共性是： 良好的快速開發，高效率的執行，解釋而非編譯執行，和其他語言編寫的程序組件之間通信功能很強大。有些腳本是為了特定領域設計的，但通常腳本都可以寫得更通用。大型項目中經常把腳本和其他低級編程語言一起使用，發揮各自的優勢解決特定問題。腳本經常用於設計互動通信，它有許多可以單獨執行的命令，可以做很高級的操作，這些高級操作命令簡化了代碼編寫的過程。在更低級或非腳本語言中，內存及變量管理和數據結構等耗費人工，解決一個特定問題需要大量代碼。
綜上所述，腳本編程速度更快，且腳本文件明顯小於常用編程語言生成的程序文件。在網絡設備或者計算機運維過程中，經常需要對網絡設備的各種資源進行監控，如網絡設備內存溢出，檢測進程CPU利用率，繫統出現異常或遭受攻擊時的及時報警，需要通知管理員等。Shell腳本語言可以在網絡設備的某個指標超過閾值發生告警後提供給網絡安全管理員發送郵件、短信的功能。這是在告警產生後，網絡設備響應告警的一種典型方式。
2. 繫統聯動
隨著計算機通信技術的進步，網絡惡意行為日趨復雜和多樣，越來越多的研究工作關注多網絡安全設備的融合和協同，以應對大規模分布式網絡安全事件。例如，美國加州大學Davis分校在20世紀90年代就研發了分布式入侵檢測繫統（Distributed Intrusion Detection System，DIDS），把分散部署的若干個網絡監視器和主機監視器收集的信息送到中心節點DIDS Director，利用多個網絡設備的聯動進行集中分析處理等。這些研究工作針對告警信息的來臨，主要利用網絡設備的聯動對告警進行實時的響應。
現在復雜的網絡應用環境和多樣的攻擊與入侵手段使信息繫統面臨的安全威脅越來越大，安全問題日益突出，使得孤立的安全設備難以有效應對，它們仍停留在“單兵作戰”的局面，隻能對網絡形成孤立、靜態、單一的防護。要消除日益復雜的網絡安全威脅，需要從繫統全局、從整體和設備聯動的角度解決網絡安全問題，依據統一的安全策略，以安全管理為核心，形成完整的繫統安全防護體繫。
聯動從本質上來說，是安全產品之間的一種信息互通機制，其理論基礎是： 安全事件的意義不是局部的，將安全事件及時通告給相關安全繫統，有助於從全局範圍評估安全事件的危險，並在適當位置采取動作。它不僅局限於防火牆與入侵檢測之間，還涉及很多其他的安全部件，隻要在某個節點發生了安全事件，無論是一個簡單繫統捕捉到的原始事件，還是一些具有分析能力的繫統判斷出來的，它都可能需要將這個事件通過某種機制傳遞給相關的繫統。這裡的機制即能支持眾多安全設備的某種開放協議等。