可視化Snort報警Web UI的發展歷程

可視化Snort報警Web UI的發展歷程

Snort默認輸出報警內容存儲在專門的報警文件裏，因爲沒有專門的可視化界面，即便是專業的分析人員在查閱這些報警文件時很是不方便。大約在2000年，出現了ACID(Analysis Console for Intrusion Databases)這款工具,這也是最先的一款有關Snort報警可視化工具，再此以後還出現過Snorby開源可視化工具，

因爲他安裝比較複雜又不是ACID分支，對於安裝方法本文不作詳細介紹，下面看看ACID的發展歷程。

第一代：ACID可視化效果**

ACID能夠顯示網絡3-4層的信息，但它出現年代比較久遠，可視化效果很是弱。

圖1 首次出現的ACID主界面
2003年升級以後的ACID v0.96,增長了一些簡單的柱狀圖、餅圖和線圖顯示功能。

圖2 改良以後的ACID主界面



圖3 一條event信息

第二代：BASE可視化效果

2003年ACID中止開發，進而演化出它的更新版本BASE，它提供了更強大的圖形化分析和檢索功能。不過BASE的生命終結於2011年，以後，BASE繼續發展集成到OSSIM系統控制檯中。

下面爲你們介紹的BASE開源工具中就提供了將Snort報警數據經過圖表(能夠生成柱狀圖、折線圖以及餅圖)的方式展示給用戶的功能。操做步驟以下：
步驟1：在BASE首頁選擇「Graph Alert Data」按鈕

第三代：BASE升級版

BASE在2010年中止開發以後，將他升級版融入到OSSIM的儀表盤以及SIEM事件分析控制檯當中，下面咱們看看2011年出現的OSSIM 2.3的SIEM控制檯的可視化效果。

第四代：基於BASE的安全事件儀表盤

第五代 最新安全數據集顯儀表盤

Snort安裝學習教程： https://edu.51cto.com/course/23698.html