启明星辰入侵检测设备配置文档.docVIP

启明星辰入侵检测设备配置说明 系统集成室 PAGE 14 - 启明星辰入侵检测设备配置说明 天阗NT600-TC-BRP 设备概述与工作流程介绍 1.1设备概述 入侵检测设备是一个典型的窥探设备。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文，入侵检测设备提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。不同于防火墙，IDS入侵检测设备是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。 典型拓扑： 1.2 IDS工作流程介绍 入侵检测系统的工作流程大致分为以下几个步骤： 1.信息收集 入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。 2.信号分析 对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。 具体的技术形式