您的位置:360文档中心› 天阗会话录播与攻击报文提取安装使用手册

天阗会话录播与攻击报文提取安装使用手册

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

天阗入侵检测与管理系统(V6.0)

(Intrusion Management System)

会话录播与攻击报文提取安装使用手册

(天阗适用型号:NS100/NS200/NS500/NS1500/NS2200/NS2800)

北京启明星辰信息安全技术有限公司

版权声明

本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容,其著作权及相关权利均属于北京北京启明星辰信息安全技术有限公司(以下简称“本公司”),特别申明的除外。未经本公司书面同意,任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权,受著作权法保护。该内容仅用于为最终用户提供信息,且本公司有权对其作出适时调整。

“天阗”商标为本公司的注册商标,受商标法保护。未经本公司许可,任何人不得擅自使用,不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利(申请)权、专有权,提供本手册并不表示授权您使用这些技术(秘密)。您可通过书面方式向本公司查询技术(秘密)的许可使用信息。

免责声明

本公司尽最大努力保证其内容本手册内容的准确可靠,但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新

本手册依据现有信息制作,其内容如有更改,本公司将不另行通知。

出版时间

本文档由北京北京启明星辰信息安全技术有限公司2008年9月出版。

北京北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

第一部分 会话录播与攻击报文提取安装手册

首先,安装天阗6.0网络入侵检测系统,安装成功后关闭所有天阗程序,浏览安装光盘,会看到一个文件夹SESSIONREPLAY,将其拷贝到硬盘中,双击其下面的upDataReview.exe,出现控制中心升级界面,如图1-1所示,此工具会自动在控制中心添加会话录播功能。

图1-1

点击“下一步”,等待几秒种,出现如下界面,如图1-2所示:

图1-2

请按照提示重启计算机即可。

第二部分 会话录播与攻击报文提取使用手册

1.1会话录播与攻击报文报取策略设置过程

点击控制中心菜单中的“常用工具”->“会话录播”进入会话录播界面,如图1-1所示:

图1-1

选中“系统设置”菜单下的“记录设置”菜单项单击进入,弹出界面如图1-2所示,用户可以在此界面设置想要引擎捕获的报文。

图1-2

该界面包括四部分,分别为说明、通用参数设置、选择要设置的策略类型、按钮。下面分别介绍:

a:说明:对选择的策略类型进行简要说明,例如选择“会话录播策略设置”,即对会话录播进行了简要说明。

b:通用参数设置:用户可以在此处设置以下几方面的内容:

★ 引擎缓冲区大小:引擎缓冲区大小指引擎报文文件的最大限制。

★ 超时时间:超时时间设置指引擎最长多少时间生成一个回放文件。

★ 录制时间长度:录制时间指定本次进行报文回放录制的时间。如果时间填0,那么表示不进行时间限制,会一直进行录制,直到手工停止。

(说明:在通用参数设置部分所做的设置对会话录播和攻击报文提取都有效。)

c:选择要设置的策略类型:此处用户可以选择是对会话录播进行策略设置还是对攻击报文提取进行策略设置,或者是对两者都进行设置。

d:继续:点击此按钮进行具体的策略设置,下面分两种情况介绍:

1) 当选择的策略类型是会话录播时,弹出的界面如图1-3所示:

图1-3

点击 “添加”按钮可以添加新规则,对新添加的规则双击各列可以进行条件设定,具体介绍如下:

★ IP地址列设置:新添加的规则默认IP 地址1与IP 地址2都为any,即默认为所有的IP地址。如果想对IP地址进行条件设置,双击所在列弹出界面如图1-4所示:

图1-4

在此界面可以进行IP地址条件设置或者重新编辑,设定方法请见该界面说明部分,点击 “确定”按钮保存设置,点击“取消”按钮退出该界面。

★ 方向列设置:新添加的规则默认为双向键头,用户可以利用下拉列表改变方向设定。 ★ 协议端口列设置:用户在此处设置想要录制的应用层协议,目前能够进行录制的协议有FTP协议、TELNET协议、SMTP协议、HTTP协议、POP3协议、MSSQL协议。双击该列默认没有选择任何协议,如图1-5所示:

图1-5

如果选中“全选”,即所有的协议都将被选中,否则可以随机选择想要录制的协议。如果选中“设为缺省值”,点击“确定”保存后在没有退出上一个界面(即图1-3)的情况下,继续添加的新规则默认的协议端口内容为本次设定的相同。

点击“删除”按钮可以删除已选中的现有规则,可以一条一条删除也可以多条一起删除,如图1-6所示:

图1-6

点击“是”执行真正的删除操作,点击“否”取消本次删除操作。

2) 当选择的策略类型是攻击报文提取时,弹出的界面如图1-7所示:

图1-7

此界面包括二个TAB页,一个是IP地址条件设置TAB页,另一个是Mac地址条件设置TAB 页,当点击 “添加”按钮时会在当前选项页添加新规则,对新添加的规则双击各列可以进行条件设定,具体介绍如下:

★ IP地址列设置:设置过程同会话录播中IP地址列设置。

★ Mac地址列设置: 新添加的规则默认Mac 地址1与Mac 地址2都为空,即Mac地址都为空。如果想对Mac地址进行条件设置,双击所在列弹出界面如图1-8所示:

图1-8

在此界面可以进行Mac地址条件设置或者重新编辑,设定方法请见该界面说明部分,点击 “确定”按钮保存设置,点击“取消”按钮退出该界面。

(说明:Mac地址1与Mac地址2两者不能同时为空)

★ 方向列设置:新添加的规则默认为双向键头,用户可以利用下拉列表改变方向设定。 ★ 事件过滤列设置:用户在此处设置想要进行攻击报文提取的事件。双击该列弹出界面如图1-9所示:

图1-9

相关文档
最新文档