1、 根据预 设的阀值,匹配耦合度较高的报文流量将被认为是进攻, 入侵检测系统将根据相 应的配置进行报警或进行有限度的反击。不同于防火墙,IDS入侵检测设备是一 个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此, 对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链 路上。典型拓扑:1.2 IDS工作流程介绍入侵检测系统的工作流程大致分为以下几个步骤:1.信息收集 入侵检测的第一步是信息收集,内容包括网络流量的内容、用 户连接活动的状态和行为。2.信号分析 对上述收集到的信息,一般通过三种技术手段进行分析:模式 匹配,统计分析和完整性分析。其中前两种方法用
2、于实时的入侵检测, 而完整性 分析则用于事后分析。具体的技术形式如下所述:1) .模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用 模式数据库进行比较,从而发现违背安全策略的行为。2) .统计分析,分析方法首先给信息对象(如用户、连接、文件、目录和设 备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作 失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较, 任何观察值在正常偏差之外时,就认为有入侵发生。3).完整性分析,完整性分析主要关注某个文件或对象是否被更改,包括文 件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有
3、效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如 MD5,能识 别及其微小的变化。第2章启明星辰入侵检测 设备的安装介绍2.1产品外观从左到右分别是:管理口, USB口,1-5业务口2.2安装与配置步骤产品安装与部署步骤包括:控制中心安装和引擎安装部署。控制中心需要安 装在一台PC上,即需要为IDS入侵检测设备配置一台专门的工作站。这里提到 的引擎就是指入侵检测设备。2.2.1控制中心的安装步骤1) 准备一台工作站,安装上 win server 操作系统,可以是 Win dowsServer 2008 R2 Standard 64 位或者是 Windows Server 2012 R
4、2 standard64位,(现场测试时,Win7 64位操作系统不能通过 HTTP方式配置引擎)72)SQL server数据库安装:在随机附带的安装光盘中有 SQL server数据库安装包,具体步骤如下:双击“ SQL Server 2008 Express.exe ” ,等待一会,进入 SQL Server 安 装中心界面:择“全新SQL Server独立安装或向现有安装添加功能” 一项:点击“确定”进入产品密钥界面:点击“下一步”按钮,进入许可条款界面,勾选“我接受许可条款(A) ”: 点击“安装”按钮:3蛊-.旦_1竇慕秤佯支持文件单岳.赛IT以索裳琳强I?夷静文件。若鼻赛裳褰見無
5、SOL s Mh迤龙件屡加=品密再宵司芋暫丨加删OWfSET文件疋在迸打 SJL S*rr方隍厚;5要下乳貂件工i正在股行 WindME Install ar 乍 口选择所要安装的功能以及共享功能目录后,点击“下一步”按钮,进入实例配置 界面:选择默认实例后,点击下一步:配置好账号密码:(如有疑问,参考附件中天阗入侵检测与管理系统 V7040用户安装手册25-29业步骤)选择混合模式,并添加管理员,点击下一步:点击下一步,然后选择安装,安装完成后选择关闭即可:需要注意的是:数据库管理软件安装完成后打开程序 Microsoft SQL Server 2008 配置工具 一 Sql Server配
6、置管理器 SQL Server Con figuratio n Man ager SQL Server 2008网络配置一 SQLEXPRES的协议中的TCP/IP状态为已启用, 如果是禁用状态,请将该状态改为已启用,并且修改 TCP端口为8080,然后在SQL Server 2008 服务一 选择 SQL Server (MSSQLSERVER 右键选择重新 启动数据库安装完成并重启服务后查看打开控制面板 一 性能维护一 管理工具 一 服务,查看SQLServer(MSSQLSERVER)务,点击到登陆页面查看登 陆身份是否为本地系统如果不是请调整到本地服务。3)天阗入侵检测与管理系统V7.
7、0安装点击运行 天阗入侵检测与管理系统.exe ”,安装提示点击下一步,选择好安 装目录,点击安装即可。其中需要配置业务数据导入工具,然后点击导入:业貝汰嗚碍入工口导入完成后,进行数据库配置和服务端口配置:点击确定,弹出 配置修改成功”,等待全部安装完成后,重启计算机。222引擎安装配置步骤1) 将工作站与IDS入侵检测设备的管理口相连,管理口的默认 IP地址是: 192.168.0.200,用户名密码分别是:adm/venus70,用http方式登录到引擎中。(现场使用IE浏览器无法显示页面内容,更换成谷歌浏览器之后可以正常显示)2) 登录成功之后,选择常用配置- 组件管理- 引擎配置- 点击“新建” 按 钮,添加引3)事件库更新:从官网下载最新的对应型号设备的事件库文件,进行更新彌阵丰越卄蜕201MB-OB7511严纹至呈錚證热转绘?誓鯉升锻吕示4)策略定制和下发:在常用配置- 策略管理- 策略集- 点击“新建”:
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1