网络入侵检测系统 (NIDS)

记录 NIDS 攻击日志

 

 

减少 NIDS 攻击日志消息和报警邮件的数量

入侵企图可能产生大量的攻击消息。为了帮助您从无关的警报中找到真正有用的信 息,FortiGate 设备提供了减少没必要的消息的数量的方法。根据消息生成的频率, FortiGate 设备能自动删除重复的消息。如果您还收到大量的虚假警报,您可以手工禁 用有关的特征组的消息生成。

自动减少消息

NIDS 生成的攻击日志和报警邮件消息中的内容包括被检测到的攻击的 ID 编号和名 称。消息中的攻击 ID 编号和名称对应于 NIDS 特征组成员列表中的 ID 编号和名称。

FortiGate 设备有一个报警邮件队列,它将每个新生成的消息与队列中已有的消息 比对。如果新的消息没有重复,FortiGate 设备将立刻发送这个消息,并将消息的一个 副本放进队列。如果新消息是重复的,FortiGate 设备会删除它并将队列中对应的消息 内部的计数器加一。

FortiGate 设备将报警邮件消息的副本保存 60 秒。如果一个消息副本在队列中的 时间超过了 60 秒,FortiGate 设备删除这个消息并将副本计数器加一。如果副本数大 于一,FortiGate 设备将发送一个标题为 重复 x 次的统计信息邮件,邮件内容为 以下邮件在过去的 y 秒中重复了 x 次和原始信息。

手工减少信息

如果您希望减少 NIDS 生成的警报的数量,您可以查看以下攻击日志消息的内容和 报警邮件的内容。如果有大量的无效警报 (例如,网页攻击警报,而您根本没有运行 网页服务器),您可以禁用攻击列表中对应的那些类型的攻击。使用攻击日志和报警邮 件中消息所显示的攻击 ID 编号可以很容易地在特征列表中找到对应的项目。见 第 220 页 启用和禁用 NIDS 攻击特征

FortiGate-1000 安装和配置指南

225

Page 239
Image 239
Fortinet 1000 manual 减少 Nids 攻击日志消息和报警邮件的数量, 自动减少消息, 手工减少信息, 225