正版新书]日志审计与分析/网络空间安全重点规划丛书杨东晓//张

章 日志基本知识
1.1 日志概述
1.1.1 日志设备产生的原因
1.1.2 日志管理设备的定义
1.1.3 日志的作用
1.2 日志审计
1.2.1 信息系统审计概念
1.2.2 日志审计概念
1.. 日志审计法律法规
1.2.4 日志审计面临挑战
1.3 日志收集与分析系统
1.3.1 日志收集与分析系统介绍
1.3.2 系统功能
1.3.3 日志旁路部署
1.3.4 日志全生命周期管理
1.3.5 合规要求
思考题
第2章 日志收集
2.1 概述
2.2 收集对象
2.2.1 操作系统
2.2.2 网络设备
2.. 安全设备
2.2.4 应用系统
2.2.5 数据库
. 收集方式
..1 Syslog
..2 SNMP Trap
.. JDBC/ODBC
..4 FTP
..5 文本
.. Web Service
.. 第三方系统
2.4 日志收集器
思考题
第3章 事件归-化
3.1 事件过滤
3.1.1 事件过滤介绍
3.1.2 事件过滤使用的方法
3.2 归-化的原因
3.3 归-化的方法及效果
3.3.1 归-化的方法
3.3.2 归-化的效果
思考题
第4章 日志存储
4.1 概述
4.2 日志存储策略
4.2.1 日志存储格式
4.2.2 关系数据库存储策略
4.. 键值数据库存储策略

第5章第5章关联分析5.15.1概述计算机技术和Internet的迅猛发展，加速了全球信息化进程，互联网正在走进千家万户，在人们的日常工作和生产生活中扮演着不可或缺的角色。网络用户正在以指数级增长，网络的规模也越来越大，与此同时，针对网络的恶意攻击活动越来越多。如何有效地保网络的正常运行已经成为十分紧迫的问题。为了防止恶意入侵给网络造成破坏，造成资源的丢失，网络管理人员迫切需要能够准确、及时地了解整个网络的当前状态及未来的安全趋势，及时发现攻击和危害行为，并进行应急响应，以便对网络的安全设置和资源配置制定出合理的应急策略，达到事前预防、纵深防御的目的，即需要对网络安全状态进行及时的评估和对未来发展态势进行预测，及时了解网络的状况。网络安全态势评估和预测越来越受到人们的关注，成为网络安全管理领域研究中的热点问题，而关联分析则是快速定位故障和入侵的一种有效手段。
关联分析又称关联挖掘，就是在关系数据或信息载体中，查找存在于对象集合之间的关联、相关或因果结构，是一种在大型数据库中发现变量之间关系的方法。关联的含义是指将所有系统中的事件以统一格式综合到一起进行观察。
在网络安全领域中，关联分析是指对网络全局的安全事件数据进行自动、连续分析，根据用户定义的、可配置的规则识别网络威胁和复杂的攻击模式，从而确定事件真实、进行事件分级并对事件进行有效响应。关联分析可以用来提高安全操作的可靠，减少漏报警、误报警现象，以及在海量信息中提高分析的实时，并为安全管理和应急响应提供技术手段。现有的安全事件的关联分析研究工作可分为如下几类。
1.聚合分析告警聚合分析过程的主要目的是减少告警数量，采用相似度关联算法以及聚类、分类等算法对原始告警进行处理，其功能包含两个方面：一是把同一安全事件导致的多条告警融合为一条告警记录，大大减少告警数量；二是关联不同网络安全设备针对同一安全事件报告的重复告警。通过分析安全事件之间的关联关系，对同类和相似安全事件进行合并，从而减少安全事件的数量，去除重复和冗余信息。
2.交叉关联交叉关联（CrossCorrelation）主要是结合背景知识（如网络拓扑信息、漏洞信息和主机配置信息等）提高告警的质量，主要用于攻击确认和风险评估。在“提高告警质量”方面，主要涉及S误告警的去除以及告警风险的评估。由于是分析安全事件和背景知识、漏洞信息之间的关联关系，所以称为交叉关联。日志审计与分析第5章关联分析3.多步攻击关联由于现在大部分攻击，尤其是危害巨大的攻击都是多步攻击，而安全事件通常都是一个单独的攻击行为，因此从众多安全事件中找到一个多步攻击对应的多个攻击步骤，并将它们关联起来也是安全事件关联分析研究领域的一个重要研究内容。多步攻击关联又可称为攻击场景构建，主要研究攻击步骤之间的关联关系。
4.安全事件关联分析的研究中还有一些问题，例如，体系结构、总体构架、时间一致问题、数据格式等，可将这些分析方法综合归结为的关联分析方法类。
本章主要介绍关联分析方面的知识，包括实时关联分析、事件关联方式。除此之外，还介绍与关联分析目的相关的告警方面的知识以及可视化的日志实时统计分析。5.25.2实时关联分析随着网络及其应用的发展，传统的集中分析日志的安全防护策略已无法实时解决新兴的实时威胁，如何准确而又快速地找到系统遭受的安全问题显得格外重要。对于有危害的络行为，应该及时主动采取相应的措施，以减少进一步的网络安全事件，避免网络系统遭受到进一步的威胁。例如，某个节点发出很多安全事件或者某个节点不断受到攻击，因此应该高度重视并检查该节点的情况。对有危害的网络行为的响应类似于传染病的防护（隔离或清除传染源、切断传播路径以及保护易感人群）：隔离或清除传染源，即隔离或清除有危害的网络行为源；切断传播途径，即切断攻击的传播通路，使之不能到达攻击目标；保护易感人群，即对网络节点进行升级、加固等，尽可能使之对攻击具有抵抗力。网络安全事件的实时关联分析是解决这种现状的关键手段之一。除此之外，当前网络安全管理者还面临如下挑战。
（1）安全设备和网络应用产生安全事件数量巨大，漏报警、误报警现象严重。一台S产生的安全事件数量成千上万，真正存在威胁的安全事件淹没在误报信息中，难以识别。大量冗余告警日志的存储严重影响了关联分析的时效。
（2）安全事件之间存在的横向和纵向方面（如不同空间来源、时间序列等）的关系未得到综合分析，因此漏报严重。一个攻击活动之后常常接着另一个攻击活动，前一个攻击活动为后者提供基本条件；一个攻击活动在多个安全设备上产生了安全事件；多个不同来源的安全事件其实是一次协作攻击，这些都缺乏有效的综合分析。
（3）安全管理者缺乏对整个网络安全态势的全局实时感知能力。
充分利用多种安全设备的检测能力生成大量的日志数据，这些数据集中处理的致命弱点是待分析的数据量巨大，那些庞大冗余或独立分散的安全事件显然不能直接作为响应依据。上述问题的根本解决途径是网络安全事件关联实时处理。传统的安全日志审计系统先将不同信息源日志融合完后存入数据库，再对数据库中的日志信息进行关联分析，发掘出日志之间的关系，找到真正的外部入侵和内部违规。但是，传统的日志审计系统无法进行实时分析，它必须等到不同信息源的日志存入数据库后方可进行分析，对网络系统日志的存储能力要求高，同时这也将大大降低发现安全隐患的时效。
相比于传统的关联分析，实时关联分析可以在存储已处理日志的同时进行关联分析。经过收集和处理后的日志信息，一方面将日志存入数据库，另一方面同步在内存中进行实时关联分析。关联分析的实时确保了日志被及时审计，同时能够快现并定位安全隐患。但是，从实时上看，关联分析的整个过程不能间断，这对系统的实时要求较高。除此之外，普通日志存入数据库较容易，但如果是关联引擎实时将报警存入数据库中，则比较复杂。例如，一个关联规则需要在1s内通过SL语句获取10条数据，那么关联引擎就需要实时在1s内进行10次磁盘存取，这导致对磁盘读写频率以及吞吐率的要求较高，所以告警关联分析在确保实时的同时，也要注意对数据库吞吐率的重视。网络安全中的关联反馈如图51所示。
图51网络安全中的关联反馈..3关联方式实时关联分析的核心是基于安全监测、告警和相应技术的事件关联分析引擎。在关联规则的驱动下，事件关联分析引擎能够进行多种方式的事件关联，包括递归关联、统计关联、时序关联、跨设备事件关联等。本节主要介绍这几种典型的事件关联方式。
5.3.1递归关联递归在数学与计算机科学中的含义是指在函数定义中使用函数自身的方法。递归还较常用于描述以自相似方法重复事物的过程。例如，当两面镜子相互之间似行时，镜中嵌套的图像是以递归的形式出现的，也可以理解为自我复制的过程。递归关联指的是以递归的方式进行关联分析，即自身与自身发生关联。递归关联是同一类实体之间的一种关联。和普通关联一样，递归关联也可以分为3种表达形式：一对一递归关联、一对多递归关联和多对多递归关联。
一对一递归关联是指对象之间是一对一的关系。例如，图52给出的一对一递归关联示例图表示的含义是两个人是一对一的关联关系，但是对象都出自于人类这一个大的集合中，相同对象之间产生了递归的关联，这个案例就是简单的一对一关联关系。
一对多递归关联的含义是同一个类对象中存在一个实体对应关联多个实体。图53是一个典型的一对多递归关联的实例，一个消费者购买某件商品，如果该商品给消费者带来良好的用户体验，此消费者会将该商品给身边同为消费者的人，这就是一个典型的一对多的递归关联案例。
多对多递归关联指的是实体中关联的关系是多对多，如图54所示。例如，在医院中，同一科室的医生面对不同的病人是多对多的关联关系，有时医生本人也因为自身身体的不适去就医，这就产生医生这一类中的递归关联关系。
图52一对一关联图53一对多关联图54多对多关联递归关联对自身在时序上进行关联分析，可以深度挖掘不同时间段自身告警之间的关联度，从而快速、准确地定位设备或者网络中的故障所在。
5.3.2统计关联在关联规则挖掘中，统计学一直扮演着相当重要的角色。关联规则挖掘的过程可以分为两个子问题：一是产生大的项目集；二是产生强关联规则。对于个问题，算法的复杂是瓶颈，因为所挖掘出的频繁集的数目和项目的数目呈指数级增长。所幸，对此目前已经提出了许多基于统计学的有效挖掘算法，且这些算法都能在满足挖掘度的基础上提高算法的运行速度和效率。对于第二个问题，目前的研究不多，主要原因是在产生强关联的同时，基于统计的关规则挖掘没有被进一步利用。通过基于统计的关规则挖掘，从大型数据库中发现大量规则，是知识发现的重要内容。统学与据的关联挖掘有密不可分的联系。
（1）数据关联挖掘虽不同于统计分析，但许多挖掘技术又来源于统计分析。
数据的关联挖掘中有许多工作都可以由统计方法完成，如回归、抽样等。通常的数据挖掘工具都能够通过可选软件或自身提供统计分析功能。这些功能对于数据关联挖掘前期数据探索和挖掘之后对数据进行总结和分析都是十分必要的。统计分析提供的诸如方差分析、设检验、相关分析、线预测、时间序列分析等功能都有于数据关联挖掘前期对数据进行探索，找出数据挖掘的目标、确定数据挖掘所需涉及的变量、对数据源进行抽样等。所有这些前期工作对数据挖掘的效果产生重大影响。而数据关联挖掘的结果也需要运用统计分析的描述指标（如值、值、平均值、方差等）进行具体描述，以使数据挖掘的结果能够被用户了解。因此，统计分析和数据关联挖掘是紧密结合的过程，两者的合理配合是数据关联挖掘成功的重要条件。
（2）数据关联挖掘不是为了替代传统的统计分析技术，相反，数据关联挖掘是统计分析方法的扩展和延伸。
大多数的统计分析技术都基于完善的数学理论和高超的技巧，其预测的准确程度令人相对满意，但对使用者的知识要求比较高。而随着计算机能力的不断发展，数据关联挖掘可以利用相对简单和固定程序完成同样的功能。新的计算算法的产生，如神经网络、决策树等，使人们不需要了解其内部复杂原理，也可以通过这些方法获得良好的关联规则的挖掘。
（3）数据关联挖掘的出现为统计学提供了一个崭新的应用领域，也对统计学的理论研究提出了挑战。
数据关联挖掘的方法主要是一些机器学习算法，包括决策树、关联分析、人工神经网络等。近些年，统计学的加盟使这些方法焕发出勃勃生机，现有的机器学习算法均离不开统计学知识，数据关联挖掘技术有相当大的比重是由高等统计学中的多变量分析支撑的。
（4）统学与据关联挖掘的结合日益紧密。
统学与据库、人工智能一起作为数据关联挖掘的3个强大支柱，它在计算机发明之前就诞生了。
统学在据关联挖掘方法创新方面做出了极大的贡献，如统计理论在人工神经网络技术中的应用——概率分析网（PLN），统计思想在数据挖掘学习方法上的贡献——贝叶斯网络，统计学在遗传算法中的应用——概率进化算法（PEMA）。数据关联挖掘正是利用了统计学和人工智能等技术的应用程序，把这些复杂的技术封装起来，解决自己的问题。
统计关联的实质是两个事件在统计学概念上的相互关联，是一种基于某种分布、可以通过统计的方法显示不同数据子集之间关系的规则，它为关联规则的生成提供统计确认其有效。统计关联规则的优点是不需要将数据离散化，因为离散化过程可能会导致信息丢失，往往扭曲挖掘算法的计算结果。
统计关联常用于一些统值上存在关联的案例中。例如，在自然语言处理领域中，英语的文学作品存在着统计关联的关系。不同时代的作品看似在内容的选材、所处年代上都不存在关联，因此可能认为不同作品单词的组合也不存在关联。但是，通过统计关联分析发现，字母之间呈现较强的相关，不同的作品其词汇的组成具有较强的统计关联，这也为后来自然语言处理领域的发展奠定了坚实的基础。由此可见，统计关联在事件关联中起着重要的作用。
在网络安全方面，基于统计的关联分析是指定义一些大的安全事件类别，将出现的事件先归类，然后根据各大类在一段时间内出现的事件安全级别和数量用权值评估攻击和关联。分析这些权值可以确定发生这种类型攻击的危险程度，同时可将多次统计得到的高安全级别、已确定为攻击或入侵的事件再定义为规则，以此丰富规则库。
5.3.3时序关联时间序列是指按时间顺序排列的随时间变化的数据集合。这些数据通常是等时间间隔测得的数值，在经济、技术的很多领域都广泛存在，如每日波动、科学实验、医疗等。随着信息技术的广泛使用，人类拥有的时间序列信息量急剧增加。针对这些海量历史时序数据，如何利用新的技术方法将其转化为可靠的知识信息，提类对未来的预测能力以及对未来事件的提前控制能力，一直受到人们的密切关注。关于时间序列的分析，可以用很多直观的方法检测时间序列中存在的变化。实际的时间序列数据有时要作某种形式的变换，这样做不但可以稳定时间序列变化，而且可以解决数据的维度灾难问题。时间序列时序关联规则挖掘如图55所示。
图55时间序列时序关联规则挖掘在关联规则挖掘的研究历程中，一个新的关联规则挖掘问题——时序关联规则挖掘被Agrwal等人提出。该挖掘算法初的应用是商品关联分析，当时的输入数据是一系列的序列，被称为数据序列。每个数据序列都由一系列交易记录构成，每个交易记录由一系列商品构成，并且每个交易记录都会有一个交易时间。时序规则由一系列商品构成，时序关联规则挖掘的目的就是发现满足支持度的时序规则。
时序挖掘的研究初是由业中的相关应用驱动的，但是研究的结果被应用到许多科学和商业领域。举例来说，在一个图书超市的数据库中，每个数据序列对应一个顾客的所有图书选择，每条交易记录对应一个顾客在一次订购中的图书清单。一个时序规则可能是“5%的学生购买网络安全教材，接着会购买防火墙技术及应用教材，再接着会购买黑客攻防从入门到精通教材”。时序规则里的元素可以是一系列的商品，如“网络安全教材和防火墙技术及应用教材，接着黑客攻防从入门到精通教材”。
时序关联规则就是对时序数据库采用某种数据挖掘算法，得到具有时间约束的关联规则。与一般的布尔型关联规则的区别在于，时序关联规则与时间或时态密切相关。
时序关联是指对某一长度固定的序列进行分段处理，分段之后，将每个分段内各个序列项对应的顺序时间位置作为不同的属集合，并给出每个属划分的阈值区间，再将每个分段的时序进行关联分析，这就是时序关联的步骤。关联规则挖掘中采用的Apriori特可于时序关联规则的挖掘，因为若长度为k的时序关联规则是非频繁项，那么其超集（长度为k+1）不可能是频繁项。因此，时序关联规则的大部分都采用了Apriori系列算法的变体，虽然考虑的参数设置和约束都有所不同。另一种挖掘此类规则的方法是基于数据库投影的序列模式生长技术，类似于无候选生成的频繁模式挖掘的频繁模式增长法。
5.3.4跨设备事件关联跨设备事件关联规则，是指将不同设备间的告警信息做关联，利用告警在设备之间具有传递的功能，从而发现不同设备之间的关联规则，便于快速定位故障所在位置。
跨设备事件关联技术通过跨设备收集而来的数据进行严密的关联分析，从而更好地了解看似无关的，但设备之间存在着理论相关的关联分析。当数据分组从一个设备传送到另一个设备中时，由于保持着时间的顺序，所以可以通过分析与两种设备均相关的告警方面的知识进行关联分析，从而更快、更准确地定位出故障所在位置。5.45.4告警响应5.4.1告警响应介绍在实际的网络中，一个故障的产生往往会引发多个告警事件。告警出现的突然和不可预测很强，致使准确、及时地分离和定位产生告警的根源很重要，也困难。而且，随着网络的复杂和应水平的不断提高，告警的种类和数量会越来越多，不同的网络之间存在较大的差异。网络还会频繁地发生改变。例如，功能部件的增添、修改、替换等。在网络的告警数据库中保存着大量的历史告警数据，这些告警数据或者信息不完整、或者包含较多的冗余信息，但其中却蕴含着一些有价值的信息。为了找出告警中有价值的信息，以便准确进行网络故障定位和诊断，需要对大量的告警数据进行相关分析，即通过屏蔽不必要的或者不相关的告警，减少告警干扰，快速进行网络的故障诊断和定位。告警关联分析实质上就是对来自一个或多个告警源的告警信息进行过滤、压缩、泛化、分类和模式匹配，以便进行故障识别和重大故障的预测。所以，要想准确定位故障，除了选择合适的基于数据挖掘的告警相关分析算法，也要全面了解告警的方式，即如何响应报警以及告警的查询方式、告警的存储等。，将分析结果应用到告警相关分析系统中，以实现网络故障的识别和重大故障的预测。地了解告警的知识有于快速进行告警关联分析。
在网络安全领域中，信息通信网络各种数据信息业务的需求成为网络告警不可避免的重要增长因素，同时具有数据总量庞大、突发告警波动、网络传播效应、积累效应与滞后效应、故障信息冗余等特点。通过告警特征分析将有于告警之间的关联规则挖掘分析。具体来说，告警的特点主要有以下3点。
（1）数据总量庞大，误报率高。信息通信网络业务种类多样化、网络规模延展化、拓扑结构紧密化以及网管监控集中化等特点，导致现行网络的告警和故障数量庞。（2）突发告警波动，告警信息琐碎。从告警监控管理角度而言，网络设备故障告警具有一定的不可预见。核心设备死机将造成与之交互信息的整个网络大面积瘫痪，告警激增不可避免；同理，如果故障及时得到维护与处理，告警量将在短时间内消除。例如，网络管理系统发现有外来入侵导致系统某处产生告警，相关设备上将出现告警，当告警被发现并及时处理后，告警将会消失。
（3）故障信息冗余。单一故障产生的告警会导致网络设备关联部件报警，因此需要从多个告警中找出根源问题的告警。
这样的告警信息直接影响对故障或攻击的分析和及时响应，也将占用大量的处理时间。下文以告警响应为核心，依次介绍告警产生的表现方式、告警的响应方式以及如何进行告警的查询。
5.4.2告警方式网络告警是通信设备运行异常时触发的消息（如设备板件故障、设备壳体通风散热不畅导致温度过高、网络被入侵产生告警等），每条告警消息均表征其的运行状态。由于各设备厂家不同类型系统设备的告警消息机制和内容含义存在差异，因此无法对行业络设备进行统一、标准、规范的要求，但是可以通过特定的标准化字段进行规范。一般的网管系统告警标准化字段是网管系统中通用的一些字段，如设备告警发生时间、设备告警消除时间等一系列字段。
在网络设备中，告警主要以短信告警方式、多媒体语音告警方式、邮件告警方式、发送SNMPTrap、通知方式告警以及传输文本日志方式告知网络安全管理人员。其中，多媒体语音告警（如电话告警）以及短信告警是以直接、快捷的告警形式告知管理人员设备出现故障，但管理人员往往并不时得到故障出现的原因和故障类型。SNMPTrap和通知告警方式、日志告警和邮件告警方式主要通过网络的形式告知管理人员，告警内容丰富，但存有大量冗余告警信息，因此分析起来复杂、耗时。
电话告警是指在系统发生告警信息时，通过网络IP电话拨号拨打工作管理人员的手机号码。一般网络设备的语音电话盒与计算机或者网管系统组合使用，通过计算机向语音电话盒发送要拨打的电话号码和语音代码，电话盒收到数据后拨打对应的号码，并把语音代码转换成音频信号，当电话打通后发送语音。如果电话拨号失败，电话盒会把信息返回给网络设备或计算机。电话告警适合远距离语音播报。
如果网络设备中带有支持通信信息传输的芯片或手机电话卡时，还可以通过短信告警的方式告知管理人员，即系统报警时，短信模块会通过手机卡发短信提示工作人员。操作人员可以通过短信的方式授权网络设备中的SIM卡并设置短信提示格式，若设备发生告警，网络设备会将短信发至管理人员的手机端。短信告警更适合一些不影响系统短时间内正常运行的告警播报。
简单网络管理协议（SNMP）是TCP/IP协议簇的一部分，它使网络设备之间能够方便地交换管理信息，能够让网络管理员管理网络的能，发现和解决网络问题，及时进行网络的扩充。目前，SNMP已成为网络管理领域中事实上的工业标准，并得到广泛支持和应用，大多数网络管理系统和平台都是基于SNMP的。
文本日志告警方式以日志的方式存储在设备内部，网络安全管理人员通过设备导出或者网络传输方式传输网络安全日志，对日志进行分析，从而定位故障。日志告警主要以属的键值对形式呈现给网络安全管理人员，每条日志告警的种类分为简单告警和复杂告警。两种告警方式的定义如下。
1.简单告警=，，，，，，简单告警由一个七元组构成并确定，该七元组包括告警，用于确定一条告警，一般使用GUId保告警在整个安全域的；告警类型，标志告警的类型，是用于告警关联的关键字段，用以区分发生告警的设备类型和告警类型，通常可以用一个6位字符串标识（AAC），前两位表示告警产生的设备类型（如主机、防火墙等），中间两位表示告警大类（如拒绝服务类攻击、扫描类攻击、渗透类攻击、主机高危事件等），两位表示告警细类；告警发生时间；告警来源，产生告警的设备；详细信息列表，不同类型的告警具有不同数据结构的详细信息列表，如主机文件操作告警包含操作者、文件名、操作方式等信息，入侵检测事件包含源地址、目的地址等信息；危险级别，告警的严重程度；置信度，告警发生的概率由历史告警数据库统计得到。
2.复杂告警=，，，，，，，，复杂告警由一个九元组构成并确定，该九元组包括告警；告警类型；告警开始时间、告警结束时间，标志从触发关联的条告警到关联结束的条告警的时间段；告警来源列表，指被关联的简单告警的告警来源的集合；详细信息列表，指被关联的单告警详细信息的集合；参数表，高级告警融合过程中使用的参数，如时间窗口；危险级别，告警的严重程度；置信度，告警发生的概率，由历史告警数据库统计以及贝叶斯网络计算得到。
通过上面的介绍，可以了解到网络的多种告警方式，当仪器接收到告警时，网络设备也会有相应的响应方式和策略。
5.4.3响应方式当网络设备遭遇攻击或是有故障时，设备会以告警的方式将警报传送给管理人员，与此同时，网络安全设备会对告警信息做出响应。常见的告警响应方式有执行告警命令脚本、不同安全系统联动和发送Syslog消息给网络安全管理人员等。本节将围绕3种典型的方式描述告警的响应方式。
1.执行告警命令脚本告警发生后，网络设备或计算机结合脚本语言的解释执行的灵活，脚本语言制作应用程序，向网络管理人员发送告警信息或在必要的时候关闭相应的设备模块，从而避免网络设备遭遇毁灭打击。首先，简要介绍一下脚本语言的概念。计算机语言是为了实现各种目的和完成任务而开发的。脚本语言又叫动态语言，是一种编程语言，用来控制软件应用程序，通常以文本（如ASCII）保存，只在被调用时进行解释或编译。大多脚本语言的共是：良好的快开，高效率的执行，解释而非编译执行，和语言编写的程序组件之间通信功能很强大。有些脚本是为了特定领域设计的，但通常脚本都可以写得更通用。大型项目中经常把脚本和低级编程语言一起使用，发挥各自的优势解决特定问题。脚本经常用于设计互动通信，它有许多可以单独执行的命令，可以做很高级的操作，这些高级操作命令简化了代码编写的过程。在更低级或非脚本语言中，内存及变量管理和数据结构等耗费人工，解决一个特定问题需要大量代码。
综上所述，脚本编程速度更快，且脚本文件明显小于常用编程语言生成的程序文件。在网络设备或者计算机运维过程中，经常需要对网络设备的各种资源进行监控，如网络设备内存溢出，检测程CU利用率，系统出现异常或遭受攻击时的及时报警，需要通知管理员等。Shell脚本语言可以在网络设备的某个指标过阈发生告警后提供给网络安全管理员发送邮件、短信的功能。这是在告警产生后，网络设备响应告警的一种典型方式。
2.系统联动随着计算机通信技术的进步，网络恶意行为日趋复杂和多样，越来越多的研究工作关注多网络安全设备的融合和协同，以应对大规模分布式网络安全事件。例如，美国加州大学Davis分校在20世纪90年代就研发了分布式入侵检测系统（DistributedIntrusionDetectionSystem，DS），把分散部署的若干个网络监视器和主机监视器收集的信息到心节点DSDirector，利用多个网络设备的联动进行集中分析处理等。这些研究工作针对告警信息的来临，主要利用网络设备的联动对告警进行实时的响应。
现在复杂的网络应用环境和多样的攻击与入侵手段使信息系统面临的安全威胁越来越大，安全问题日益突出，使得孤立的安全设备难以有效应对，它们仍停留在“单兵作战”的局面，只能对网络形成孤立、静态、单一的防护。要消除日益复杂的网络安全威胁，需要从系统全局、从整体和设备联动的角度解决网络安全问题，依据统一的安全策略，以安全管理为核心，形成完整的系统安全防护体系。
联动从本质上来说，是安全产品之间的一种信息互通机制，其理论基础是：安全事件的意义不是局部的，将安全事件及时通告给相关安全系统，有于从全局范围评估安全事件的危险，并在适当位置采取动作。它不仅局限于防火墙与入侵检测之间，还涉及很多的安全部件，只要在某个节点发生了安全事件，无论是一个简单系统捕捉到的原始事件，还是一些具有分析能力的系统判断出来的，它都可能需要将这个事件通过某种机制传递给相关的系统。这里的机制即能支持众多安全设备的某种开放协议等。