启明星辰入侵测设备配置文档

启明星辰入侵检测设备配置说明天阗NT600-TC-BRP第1章设备概述与工作流程介绍1.1设备概述入侵检测设备是一个典型的"窥探设备"。

它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。

对收集来的报文，入侵检测设备提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。

根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

不同于防火墙，IDS入侵检测设备是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

典型拓扑：1.2 IDS工作流程介绍入侵检测系统的工作流程大致分为以下几个步骤：1.信息收集入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。

2.信号分析对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

具体的技术形式如下所述：1).模式匹配，模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

2).统计分析，分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。

测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。

3).完整性分析，完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。

完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。

用户安装手册——天阗入侵检测与管理系统产品名称：天阗入侵检测与管理系统版本标识：V7.0.1.0单位：北京启明星辰信息安全技术有限公司版权声明本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容，其著作权及相关权利均属于北京启明星辰信息安全技术有限公司（以下简称“本公司”），特别申明的除外。

未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其做出适时调整。

“天阗”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

免责声明本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息安全技术有限公司2013年8月出版。

北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

目录1．简述 (1)2．安装准备 (1)2.1天阗V7.0控制中心安装准备 (1)2.1.1 硬件需求 (1)2.1.2 软件需求 (2)2.2引擎安装准备 (3)2.3网络资源准备 (4)3．开箱检查 (5)4．软件安装 (6)4.1天阗V7.0控制中心安装 (6)4.1.1 SQL Server 2005 Express edition数据库 (7)4.1.2 天阗入侵检测与管理系统V7.0 (23)4.2软件卸载 (35)5．引擎安装与配置 (37)5.1接口说明 (37)5.2超级终端安装及设置 (37)5.2.1 超级终端安装 (37)5.2.2 超级终端启动 (38)5.2.3 引擎配置 (41)5.2.4 引擎接入位置简介 (47)附录A 快速使用流程 (48)附录B 多级管理设置 (51)附录C 常用交换机镜像设置 (53)天阗V7.0.1.0用户安装手册1．简述天阗产品由天阗入侵检测与管理系统V7.0控制中心和引擎两部分组成，控制中心是产品包装附的免费软件，包括主页、威胁展示、流量统计、日志报表、常用配置、高级配置、帮助这7个大模块组成。

用户安装手册用户安装手册——天阗V6.0产品名称：天阗入侵检测与管理系统版本标识：V6.0.1.8单位：北京启明星辰信息技术有限公司北京启明星辰信息技术有限公司天阗用户安装手册版权声明本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容，其著作权及相关权利均属于北京启明星辰信息技术有限公司（以下简称“本公司”），特别申明的除外。

未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其作出适时调整。

“天阗”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

免责声明本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息技术有限公司2006年3月出版。

北京启明星辰信息技术有限公司保留对本手册及本声明的最终解释权和修改权。

1用户安装手册目录第1章软件安装 (1)1.1 准备条件 (1)1.2 网络型安装过程 (1)1.2.1 MSDE数据库 (3)1.2.2网络入侵检测 (3)1.3 管理型安装过程 (10)1.3.1 MSDE数据库 (12)1.3.2网络入侵检测 (12)1.3.3异常流量监测 (21)1.3.4入侵事件定位 (22)1.3.5入侵风险评估 (24)1.3.6天阗使用Oracle数据库的注意事项 (25)第2章软件卸载 (26)第3章硬件安装 (27)3.1 准备条件 (27)3.2 标识说明 (27)3.3 超级终端安装及设置 (28)3.4 天阗网络引擎配置 (33)3.5 应用配置 (34)3.5.1选项介绍 (34)3.5.2初始应用 (36)3.6 常用交换机镜像设置 (36)附录一：快速使用指南 (41)快速使用流程 (41)多级管理设置 (44)附录二：数据源的配置 (48)北京启明星辰信息技术有限公司天阗用户安装手册第1章软件安装1.1准备条件硬件配置要求：CPU：P 4 2.0 以上RAM：1G以上硬盘：20G以上的剩余空间网卡：Intel百兆或千兆电口网卡辅件：光驱、键盘、鼠标注：推荐您最好专机专用，安装天阗控制台的机器不要作为其他用途的服务器。

启明星辰入侵检测设备配置说明天阗NT600-TC-BRP第1章设备概述与工作流程介绍1.1设备概述入侵检测设备是一个典型的"窥探设备"。

它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。

对收集来的报文，入侵检测设备提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。

根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

不同于防火墙，IDS入侵检测设备是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

典型拓扑：1.2 IDS工作流程介绍入侵检测系统的工作流程大致分为以下几个步骤：1.信息收集入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。

2.信号分析对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

具体的技术形式如下所述：1).模式匹配，模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

2).统计分析，分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。

测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。

3).完整性分析，完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。

完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。

第1章 Web管理介绍........................................................... 1-11.1概述.................................................................... 1-11.2工具条.................................................................. 1-11.2.1 了解客户支持...................................................... 1-11.2.2 修改密码.......................................................... 1-21.2.3 控制台访问........................................................ 1-21.2.4 存盘 ............................................................. 1-31.2.5 注销 ............................................................. 1-31.3 Web管理................................................................ 1-31.3.1 菜单 ............................................................. 1-41.3.2 列表 ............................................................. 1-41.3.3 图标 ............................................................. 1-51.4设备默认配置............................................................ 1-61.4.1 接口0的默认配置.................................................. 1-61.4.2 默认管理员用户.................................................... 1-6第2章主功能1............................................................... 2-72.1子功能1................................................................ 2-72.1.1 子功能之子功能1.................................................. 2-72.1.2 子功能之子功能2.................................................. 2-7第3章主功能2............................................................... 3-73.1子功能1................................................................ 3-73.1.1 子功能之子功能1.................................................. 3-83.1.2 子功能之子功能2.................................................. 3-81命令行配置⏹启明星辰天清防御系统可以通过管理控制中心的下发控制以及直接登录进行操作两种方式，实现对系统的配置管理。

用户安装手册——天阗入侵检测与管理系统产品名称：天阗入侵检测与管理系统版本标识：V7.0.1.0单位：北京启明星辰信息安全技术有限公司版权声明本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容，其著作权及相关权利均属于北京启明星辰信息安全技术有限公司（以下简称“本公司”），特别申明的除外。

未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其做出适时调整。

“天阗”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

免责声明本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息安全技术有限公司2013年8月出版。

北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

目录1．简述 (1)2．安装准备 (1)2.1天阗V7.0控制中心安装准备 (1)2.1.1 硬件需求 (1)2.1.2 软件需求 (2)2.2引擎安装准备 (3)2.3网络资源准备 (4)3．开箱检查 (5)4．软件安装 (6)4.1天阗V7.0控制中心安装 (6)4.1.1 SQL Server 2005 Express edition数据库 (7)4.1.2 天阗入侵检测与管理系统V7.0 (23)4.2软件卸载 (35)5．引擎安装与配置 (37)5.1接口说明 (37)5.2超级终端安装及设置 (37)5.2.1 超级终端安装 (37)5.2.2 超级终端启动 (38)5.2.3 引擎配置 (41)5.2.4 引擎接入位置简介 (47)附录A 快速使用流程 (48)附录B 多级管理设置 (51)附录C 常用交换机镜像设置 (53)天阗V7.0.1.0用户安装手册1．简述天阗产品由天阗入侵检测与管理系统V7.0控制中心和引擎两部分组成，控制中心是产品包装附的免费软件，包括主页、威胁展示、流量统计、日志报表、常用配置、高级配置、帮助这7个大模块组成。

用户安装手册用户安装手册——天阗V6.0产品名称：天阗入侵检测与管理系统版本标识：V6.0.1.8单位：北京启明星辰信息技术有限公司北京启明星辰信息技术有限公司天阗用户安装手册版权声明本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容，其著作权及相关权利均属于北京启明星辰信息技术有限公司（以下简称“本公司”），特别申明的除外。

未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其作出适时调整。

“天阗”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

免责声明本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息技术有限公司2006年3月出版。

北京启明星辰信息技术有限公司保留对本手册及本声明的最终解释权和修改权。

1用户安装手册目录第1章软件安装 (1)1.1 准备条件 (1)1.2 网络型安装过程 (1)1.2.1 MSDE数据库 (3)1.2.2网络入侵检测 (3)1.3 管理型安装过程 (10)1.3.1 MSDE数据库 (12)1.3.2网络入侵检测 (12)1.3.3异常流量监测 (21)1.3.4入侵事件定位 (22)1.3.5入侵风险评估 (24)1.3.6天阗使用Oracle数据库的注意事项 (25)第2章软件卸载 (26)第3章硬件安装 (27)3.1 准备条件 (27)3.2 标识说明 (27)3.3 超级终端安装及设置 (28)3.4 天阗网络引擎配置 (33)3.5 应用配置 (34)3.5.1选项介绍 (34)3.5.2初始应用 (36)3.6 常用交换机镜像设置 (36)附录一：快速使用指南 (41)快速使用流程 (41)多级管理设置 (44)附录二：数据源的配置 (48)北京启明星辰信息技术有限公司天阗用户安装手册第1章软件安装1.1准备条件硬件配置要求：CPU：P 4 2.0 以上RAM：1G以上硬盘：20G以上的剩余空间网卡：Intel百兆或千兆电口网卡辅件：光驱、键盘、鼠标注：推荐您最好专机专用，安装天阗控制台的机器不要作为其他用途的服务器。

启明星辰入侵检测设备配置说明天阗NT600-TC-BRP第1章设备概述与工作流程介绍1.1设备概述入侵检测设备是一个典型的"窥探设备"。

它不跨接多个物理网段（通常只有一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。

对收集来的报文，入侵检测设备提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。

根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

不同于防火墙，IDS入侵检测设备是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

典型拓扑：1.2 IDS工作流程介绍入侵检测系统的工作流程大致分为以下几个步骤：1.信息收集入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。

2.信号分析对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。

其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

具体的技术形式如下所述：1).模式匹配，模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

2).统计分析，分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。

测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。

3).完整性分析，完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。

完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。

启明星辰IDS –NS1500操作手册
1.用设备中自带的连接线，通过连接线转接USB在电脑上用
CRT或者超级终端登陆设备。

可以看到以下操作及界面：
输入用户名：venus 回车
输入密码：
2.进入到设备的主界面：
首先选择1查看设备当前的配置。

3确认当前配置为出厂配置后，开始配置设备的IP地址和子网掩码，选择主页面中配置选项2。

（配置的IP地址，应为网络可达的地址）。

选择1，确认。

4．IP地址配置完成后，回到主页面配置选项，选择更改路由配置，并添加网关。

（路由默认8个0，网关是所配置IP 地址的网关）。

选择1.确认。

5 通过以上两步（配置IP和路由）成功后，选择主界面中的1，显示当前配置。

确认无误后，设备上边的配置就算OK。

交换机上边所做的工作有两步。

第一步：配置镜像端口。

第二部：配置一个网络可达端口。

部署方式：IDS采用旁路部署方式。

1口是抓包监听口，所以将1口，连接到交换机所配置的镜像口。

5口是设备的IP地址口，所以将五口连接到交换机所配置的网络口。

客户端的安装环境。

用户安装手册——天阗入侵检测与管理系统产品名称：天阗入侵检测与管理系统版本标识：V7.0.1.0单位：北京启明星辰信息安全技术有限公司版权声明本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容，其著作权及相关权利均属于北京启明星辰信息安全技术有限公司（以下简称“本公司”），特别申明的除外。

未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其做出适时调整。

“天阗”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

免责声明本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息安全技术有限公司2013年8月出版。

北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

目录1．简述 (1)2．安装准备 (1)2.1天阗V7.0控制中心安装准备 (1)2.1.1 硬件需求 (1)2.1.2 软件需求 (2)2.2引擎安装准备 (3)2.3网络资源准备 (4)3．开箱检查 (5)4．软件安装 (6)4.1天阗V7.0控制中心安装 (6)4.1.1 SQL Server 2005 Express edition数据库 (7)4.1.2 天阗入侵检测与管理系统V7.0 (23)4.2软件卸载 (35)5．引擎安装与配置 (37)5.1接口说明 (37)5.2超级终端安装及设置 (37)5.2.1 超级终端安装 (37)5.2.2 超级终端启动 (38)5.2.3 引擎配置 (41)5.2.4 引擎接入位置简介 (47)附录A 快速使用流程 (48)附录B 多级管理设置 (51)附录C 常用交换机镜像设置 (53)天阗V7.0.1.0用户安装手册1．简述天阗产品由天阗入侵检测与管理系统V7.0控制中心和引擎两部分组成，控制中心是产品包装附的免费软件，包括主页、威胁展示、流量统计、日志报表、常用配置、高级配置、帮助这7个大模块组成。