启明星辰入侵检测设备配置文档.docVIP

启明星辰入侵检测设备配置说明 天阗NT600-TC-BRP 设备概述与工作流程介绍 典型拓扑： DS工作流程介绍 1.信息收集 入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。 2.信号分析 对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。 具体的技术形式如下所述： 1).模式匹配，模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。 2).统计分析，分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。 3).完整性分析，完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。 第2章 启明星辰入侵检测设备的安装介绍 2.1产品外观 从左到右分别是：管理口，USB口，1-5业务口 2.2安装与配置步骤 安装与部署步骤中心安装引擎部署。控制在一台，即需要为检测设备配置一台专门的工作站提到的引擎检测设备。 中心的安装1） 准备一台工作站，上win server操作系统，是现场测试，in7 64位操作通过配置引擎 ； 2）SQL server数据库安装：在随机附带的安装光盘中有server数据库安装包，步骤如下： 点击“安装”，选择 点击“确定”进入产品密钥界面： 点击“下一步”按钮 ，进入许可条款界面，勾选“我接受许可条款（A） ”： 点击“安装”按钮： 选择所要安装的功能以及共享功能目录后，点击“下一步”按钮，进入实例配置界面： 选择默认实例点击： 密码（疑问，参考附件中》-29业步骤） 选择混合模式，并管理员点击下一步： 点击下一步，然后选择安装安装完成后选择关闭即可： 的是数据库管理软件安装完成后打开程序Microsoft SQL Server 2008 — 配置工具 — Sql Server配置管理器 — SQL Server Configuration Manager — SQL Server 2008网络配置— SQLEXPRESS的协议中的TCP/IP状态为已启用，如果是禁用状态，请将该状态改为已启用，并且修改然后SQL Server 2008服务— 选择SQL Server (MSSQLSERVER) — 右键选择重新启动 数据库安装完成并重启服务后查看打开控制面板 — 性能维护 — 管理工具 — 服务， 查看SQL Server(MSSQLSERVER)服务，点击到登陆页面查看登陆身份是否为本地系统如果不是请调整到本地服务。 3）天阗入侵检测与管理系统V7.0安装 点击运行“”，安装提示点击下一步，选择好安装目录，安装即可。 需要配置数据导入工具然后点击导入： 完成后，进行配置和端口配置： 确定，弹出“修改成功”全部安装完成后，重启计算机。 2.2.2引擎安装配置步骤 1工作站与检测设备的管理口相连，管理口的默认是：密码分别是：adm/venus70用http方式登录到引擎中无法显示页面内容，更换成谷歌浏览器之后可以正常显示） 成功之后-组件管理 -引擎配置 -点击“新建”按钮，添加引擎： 3）事件库更新：官网的对应型号设备的事件库进行更新 4）策略定制和下发：- 策略管理 - 策略集 - 点击“新建”： 选择需要的事件进行提交： 后- 组件状态管理 - 选择需要应用到的网络引擎，进行策略和应用。 2.2.3 配置 其中一个业务口，将其接入所要检测的网络中，中布线完成后，需要在交换机上做镜像口配置用于统计监视流量。不同的交换机配置命令不同，详细信息中《》。 ，检测设备完成可以控制通过登录到引擎中查看统计信息 注：由于设备的影响，情况下使用其中一个业务口哪一个可配置）进行审计多个业务口，则需要进行相应的授权。 启明星辰入侵检测设备配置说明 系统集成室 - 14 -