入侵检测运维指南.docx

入侵检测运维指南.docx

《入侵检测运维指南.docx》由会员分享，可在线阅读，更多相关《入侵检测运维指南.docx（6页珍藏版）》请在冰豆网上搜索。

入侵检测运维指南

入侵检测设备

运维指南

V1.00

修改记录

时间

版本

修改内容

一、每日例行维护

1、系统管理员职责

为保证入侵检测设备的正常运行，系统管理员需要在每日对设备进行例行检查。

Ø系统管理员每日在上班后，在入侵检测管理程序主界面查看“显示中心、网络引擎”是否处于连接状态，确保“综合显示中心”窗口已打开。

Ø若“网络引擎”处于断开状态，需要检查入侵检测设备面板上的通讯端口的指示灯是否为绿色，如果通讯端口指示灯熄灭，通知网络管理员，配合查看交换机与入侵检测设备通讯口之间的端口链路是否正常。

Ø如交换机及线路都正常的情况下，重启入侵检测引擎。

Ø如果还存在问题请及时电话联系厂商工程师。

Ø查看设备面板抓包口的指示灯状态，网络接口指示灯正常情况下是绿色；如果工作端口出现接口灯不亮的情况下，需要及时通知网络管理员，配合查看交换机与入侵检测设备抓包口之间的端口链路是否正常。

Ø如交换机及线路都正常的情况下，重启入侵检测引擎。

Ø如果还存在问题请及时电话联系厂商工程师。

2、安全员职责

⏹安全员每天定时（每日至少2次，9点、17点）查看综合显示中心的告警信息。

⏹如果出现高风险事件（如DDOS攻击、缓冲区漏洞攻击等入侵行为事件），按照以下步骤处理：

Ø通知防火墙安全管理员，查看防火墙日志，是否对该攻击行为已自动进行阻断。

Ø如已进行了阻断，组织系统管理员、网络管理员，定位攻击源IP。

Ø源攻击IP定位后，安排相关技术人员处理该IP机器，查明该IP机器发起攻击的原因。

Ø对该IP机器处理后，形成报告并送阅主管领导，如需要，可报安全管理处备案。

Ø如防火墙未对该攻击进行阻断，除通过防火墙紧急手工阻断该连接会话外，可初步判断为入侵事件成功，需紧急启动入侵事件预案程序。

⏹每天对运行入侵检测控制台的PC服务器进行运行状态进行检查，确保PC服务器上SQLSERVER数据处于正常运行状态。

⏹如SQLSERVER服务运行状态不正常，重启SQL服务或服务器。

⏹对于无法解决的故障或者问题，及时通知厂商技术人员。

二、周期性维护工作

在入侵检测设备的运行过程中，需要定期对设备进行维护。

1、系统管理员职责

Ø系统管理员每周需要通过互联网络从启明星辰公司的网站上下载最新的事件库进行手动升级。

Ø在升级完成后，生成最新的策略文件，并将策略文件下发到网络引擎。

Ø系统管理员每周对入侵检测设备的升级及变动情况进行汇总，形成报告后，提交主管领导。

Ø系统管理员每月对入侵检测设备的升级及变动情况进行汇总，形成报告后，提交主管领导。

2、安全管理员职责

Ø安全员应定期登陆系统（每周一次），查询本周系统日志，通过报表工具对出现的高级的告警信息统计汇总，并形成报告，送阅主管领导。

Ø安全管理员在每个日志备份周期到期的后一天应查看日志的自动备份工作是否正常。

Ø如果出现不正常的情况，应及时对日志进行手动备份，并查找无法自动备份的原因，是否是由于磁盘空间不足无法备份。

Ø如果不是由于磁盘空间不足造成，则有可能是由于PC服务器时间运行造成日志服务器相关进程异常造成的，需要重启日志服务器。

Ø安全员应每月通过报表工具对出现的高级的告警信息统计汇总，分析后形成报告，送阅主管领导。

3、审计员职责

Ø审计员应定期查看审计日志，每月查询所有系统管理员的操作行为，记录并形成报告，送阅相关领导。

三、不定期维护工作

Ø安全系统管理员在对策略文件进行修改后，需要将需改后的策略下发到网络引擎，以使修改后的策略生效。

安全产品（入侵检测）周常检查记录单

设备名称

（）入侵检测

系统管理员

检查日期

安全管理员

检查内容（系统管理员）

序号

检查项

正常值

正常

不正常

处理办法

1

显示中心网络引擎

已连接

2

综合显示中心

已打开

3

抓包口

绿色

4

通讯端口

绿色

故障处理记录

记录：

1、网络引擎无法正常工作，显示为黄色，提示TIOD进程无法启动，需要确认系统时间是否有变更或者在系统控制菜单里重启系统引擎即可。

检查内容（安全管理员）

序号

检查项

正常值

正常

不正常

处理办法

1

告警信息

无高风险告警事件

2

管理控制台

SQL数据库

正常运行

异常处理记录

记录：

1、如发现Windows系统下MSSQLSlammer蠕虫攻击，则需定位目标主机和攻击源地址情况，可能是内网中存在大量蠕虫病毒，建议杀毒处理。

四、运维检查记录表

五、运维报告（月报）

绿盟入侵检测系统（IDS）11月没有高危事件产生，产生中危事件17048次，一般连接性事件19450次。

下面是产生的安全事件饼状图。

IDS报警事件级别对比饼状图

中级安全事件特征分类图

IDS系统报警事件数量对比直方图

中危事件分类表：

序号

中危事件类型

发生次数

源地址

产生原因

1

SCAN_UDP端口扫描

23

正常事件

2

TCP_MS-Windows_终端服务连接请求

29

192.168.27.16

管理员进行远程操作造成，此事件为正常事件

3

DOS_ICMP_FLOOD_拒绝服务

16957

192.168.1.6

源IP为DNS服务器，同分中心DNS交互过程中产生该报警，此事件为正常事件

4

ARP_IP地址冲突

2

192.168.27．15

系统测试