可视化Snort报警

Posted 2020-12-14

可视化Snort报警

Snort默认输出报警内容存储在专门的报警文件里，由于没有专门的可视化界面，即使是专业的分析人员在查阅这些报警文件时非常不方便。大约在2000年，出现了ACID(Analysis Console for Intrusion Databases)这款工具,这也是最早的一款有关Snort报警可视化工具，再次之后还出现过Snorby开源可视化工具，由于他安装比较复杂又不是ACID分支，故在本文不做详细介绍。

第一代：ACID可视化效果**

ACID出现年代比较久远当时的可视化效果非常弱，只有简单的柱状图显示。

图1 首次出现的ACID主界面

图2 改良之后的ACID主界面

第二代：BASE可视化效果

2003年ACID停止开发，进而演化出它的更新版本BASE，它提供了更强大的图形化分析和检索功能。不过BASE的生命终结于2011年，之后，BASE继续发展集成到OSSIM系统控制台中。

下面为大家介绍的BASE开源工具中就提供了将Snort报警数据通过图表(可以生成柱状图、折线图以及饼图)的方式展现给用户的功能。操作步骤如下：
步骤1：在BASE首页选择“Graph Alert Data”按钮

第三代：BASE升级版

BASE在2010年停止开发之后，将他升级版融入到OSSIM的仪表盘以及SIEM事件分析控制台当中，下面我们看看2011年出现的OSSIM 2.3的SIEM控制台的可视化效果。

Snort安装学习教程： https://edu.51cto.com/course/23698.html