启明星辰入侵检测设备配置.docx

Document serial number【UU89WT-UU98YT-UU8CB-UUUT-UUT108】
启明星辰入侵检测设备配置
启明星辰入侵检测设备配置说明
天阗NT600-TC-BRP
设备概述与工作流程介绍
设备概述
入侵检测设备是一个典型的"窥探设备"。它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文，入侵检测设备提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。不同于防火墙，IDS入侵检测设备是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。
典型拓扑：
IDS工作流程介绍
入侵检测系统的工作流程大致分为以下几个步骤：
入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。
对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。
具体的技术形式如下所述：
1).模式匹配，模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。
2).统计分析，分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。
3).完整性分析，完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。
第2章 启明星辰入侵检测设备的安装介绍
产品外观
从左到右分别是：管理口，USB口，1-5业务口
安装与配置步骤
产品安装与部署步骤包括：控制中心安装和引擎安装部署。控制中心需要安装在一台PC上，即需要为IDS入侵检测设备配置一台专门的工作站。这里提到的引擎就是指入侵检测设备。
控制中心的安装步骤
1） 准备一台工作站，安装上win server操作系统，可以是Windows Server 2008 R2 Standard 64 位或者是Windows Server 2012 R2 standard 64 位，（现场测试时，Win7 64位操作系统不能通过HTTP方式配置引擎） ；
2）SQL server数据库安装：在随机附带的安装光盘中有SQL server数据库安装包，具体步骤如下：
双击“SQL Server 2008 ” ，等待一会，进入 SQL Server 安装中心界面：
点击“安装”，选择“全新 SQL Server 独立安装或向现有安装添加功能”一项：
点击“确定”进入产品密钥界面：
点击“下一步”按钮 ，进入许可条款界面，勾选“我接受许可条款（A） ”：
点击“安装”按钮：
选择所要安装的功能以及共享功能目录后，点击“下一步”按钮，进入实例配置界面：
选择默认实例后，点击下一步：
配置好账号密码： （如有疑问，参考附件中《天阗入侵检测与管理系统V7040用户安装手册》25-29业步骤）
选择混合模式，并添加管理员，点击下一步：