BI使用

开始使用BI
    在主界面可以看到三个标签：Events（事件）、Intruders（入侵者）和History（历史记录）。bbs.duba.net+ G9 {6 ~/ i, m9 y% n7 A' Q4 z
    在Events窗口中可以看到事件发生的时间、名称、入侵者、发生次数等，左下角是事件的说明.

有Severity（icon）严重程度（图标显示）、Time时间、Event事件、Intruder入侵者、count数量、TCP Flags标记、Protocol ID协议ID、Destination Port目的端口、Source Port源端口、Parameters参数、Target对象、Target IP对象地址、Intruder IP入侵者地址、Event ID事件ID、Response Level响应等级、Severity(Numeric)严重程度（等级数）。可以根据自己的喜好选择显示哪些项目，也可以改变显示顺序。

 

BI提示的事件数量非常之多，按严重程度分红橙黄绿4大类10个等级，每类事件都有各自的数字编号。图10是事件的严重等级。
    红色事件，等级7-10，属严重事件，有故意入侵，破坏、窃取数据，毁坏系统的可能。
    橙色事件，等级4-6，属重要事件，虽然没有直接破坏行为但有获取系统数据的可能。
    黄色事件，等级1-3，属可疑事件，虽然当时没有威胁，但可能暗示着有人正在搜寻你的系统漏洞，比如端口扫描。
    绿色事件，等级0，没有威胁，只需要注意的网络事件。（我不记得见过绿色事件）

 

有些事件会触发BI的保护措施，以下是事件结果的图示，如图11所示：! v! M# h8 L, E1 X4 K+ F7 s
1、        黑色斜杠表示事件被成功地阻止。
2、        灰色斜杠表示事件被操作系统等其他防御手段阻止，比如我的同事访问我的共享文件夹时输错了用户名和密码，BI将此事件列为可疑的黄色事件，由于系统没有允许他访问，所以事件上打了一个灰色的斜杠。
3、        灰色的圆圈表示事件结果未知，部分数据包有可能进入了你的系统，但是没有迹象显示系统受到损害。
4、        橙色的圆圈表示很有可能遭受了损害，攻击数据包已经进入了系统，可能已经造成了破坏。

5、        红色的圆圈则表示BI检测到异常的数据包进出系统，但是无法阻止，系统已经被入侵了。   

如果你选择了Response Level，还会显示左边这列图标。

 

有的时候可能突发事件非常多，Events窗口刷新得非常快，使你来不及针对某类事件做出处理。这个时候可以点击“View”菜单中的“Freeze”，暂时冻结窗口，处理完毕还可以取消冻结。如图14所示。

        如果嫌BI警报数量太多，可以对警报进行过滤，比如选择Serious，则显示Serious以上级的警报。在这里不推荐使用过滤，有比它更有效的方法。