A method of reducing the volume of native audit data from further analysis
by a misuse and intrusion detection engine is disclosed. Typically, more
than ninety percent of the volume of audit information received from
heterogeneous operating systems does not need to be analyzed by a misuse
and intrusion detection engine because this audit information can be
filtered out as not posing a security threat. Advantageously, by reducing
(eliminating) the volume of audit information, a misuse and intrusion
engine can more quickly determine whether a security threat exists because
the volume of data that the engine must consider is drastically reduced.
Also, advantageously, the audit information that is forwarded to the
engine is normalized to a standard format, thereby reducing the
computational requirements of the engine. The method of reducing the
volume of native audit data includes comparing each of the native audits
against at least one template and against at least one native audit. By
matching the native audits against templates of native audits that do not
pose security threats, the native audits that do not pose security threats
can be reduced out from further consideration. The native audits that are
determined to pose potential security threats are transformed into a
standardized format for further analysis by a misuse and intrusion
detection engine.
Eine Methode des Verringerns des Volumens der gebürtigen Bilanzdaten von der weiteren Analyse nach einer Fehlanwendung und Eindringenabfragung Maschine wird freigegeben. Gewöhnlich braucht mehr als neunzig Prozent des Volumens von Bilanzinformationen empfangen von den heterogenen Betriebssystemen nicht, durch eine Fehlanwendung und Eindringenabfragung Maschine analysiert zu werden, weil diese Bilanzinformationen als Aufwerfung einer Sicherheit nicht Drohung heraus gefiltert werden können. Vorteilhaft indem Sie (Beseitigen) das Volumen der Bilanzinformationen, der Fehlanwendung und der Eindringenmaschine verringern, machen Sie feststellen schneller ein, ob eine Sicherheit Drohung besteht, weil der Datenbestand, die die Maschine betrachten muß, drastisch verringert wird. Auch vorteilhaft werden die Bilanzinformationen, die zur Maschine nachgeschickt wird, zu einem Standardformat normalisiert, dadurch verringert man die Berechnungsanforderungen der Maschine. Die Methode des Verringerns des Volumens der gebürtigen Bilanzdaten schließt das Vergleichen jede der gebürtigen Bilanzen gegen mindestens eine Schablone und gegen mindestens eine gebürtige Bilanz ein. Durch das Zusammenbringen der Eingeborenbilanzen gegen Schablonen der gebürtigen Bilanzen, die nicht Sicherheit Drohungen aufwerfen, können die Eingeborenbilanzen, die nicht Sicherheit Drohungen aufwerfen, heraus von der weiteren Betrachtung verringert werden. Die Eingeborenbilanzen, die festgestellt werden, um mögliche Sicherheit Drohungen aufzuwerfen, werden in ein standardisiertes Format für weitere Analyse durch eine Fehlanwendung und Eindringenabfragung Maschine umgewandelt.