天阗入侵检测系统安装配置指导书

合集下载

入侵检测系统安装方案

入侵检测系统安装方案1.介绍入侵检测系统（Intrusion Detection System，简称IDS）是一种用来监测网络或系统中是否存在恶意活动和安全漏洞的工具。

安装一个可靠的IDS可以帮助保护您的网络不受未经授权的访问和攻击。

2.安装需求在实施入侵检测系统之前，您需要满足以下安装需求：- 多台服务器或计算机- 高速互联网连接- 具备管理员权限的操作系统- IDS软件和驱动程序的安装包3.安装步骤以下是安装入侵检测系统的步骤：1. 确定安装位置：选择一个适合的服务器或计算机作为IDS的主机，确保该主机与要保护的网络环境相连，并拥有足够的硬件资源来运行IDS软件。

3. 配置IDS软件：一旦软件安装完成，根据您的网络环境和需求，配置IDS软件的参数和规则，以确保系统能够正确地监测和报告潜在的入侵活动。

4. 更新和维护：定期更新IDS软件和相关的安全规则，以确保系统能够检测最新的入侵手段和攻击技术。

同时，定期检查和维护IDS系统，确保其正常运行并保持最佳性能。

5. 测试和优化：在将IDS系统投入正式使用之前，进行充分的测试和优化，以确保系统能够准确地检测和报告入侵活动，并及时采取相应的应对措施。

6. 培训和意识提高：提供员工培训，使其了解入侵检测系统的工作原理和使用方法，并注意安全意识的提高，以减少潜在的安全风险和漏洞。

4.风险和注意事项在安装入侵检测系统时，有以下风险和注意事项需要注意：- 配置错误：配置参数和规则时，请确保准确理解您的网络环境和需求，以避免误报或漏报的情况发生。

- 资源消耗：入侵检测系统可能会占用一定的系统资源，特别是在进行深度检测和报告分析时。

请确保主机有足够的硬件资源来支持IDS的正常运行。

- 虚警和误报：入侵检测系统可能会产生虚警和误报的情况，特别是在面对复杂的网络环境和攻击技术时。

需要定期审核和优化规则，以减少虚警和误报的发生。

- 定期更新和维护：为了确保系统的有效性和安全性，需要定期更新IDS软件和安全规则，并进行系统的维护和监控。

网络入侵检测系统的安装与配置手册

网络入侵检测系统的安装与配置手册第一章：介绍网络入侵是指未经授权的用户或系统对网络资源的非法访问、修改、删除或者使用。

为了提高网络的安全级别，我们需要安装和配置网络入侵检测系统（IDS）。

本手册将为您详细介绍网络入侵检测系统的安装与配置步骤，以及如何确保系统的有效性和稳定性。

第二章：准备工作在开始安装和配置网络入侵检测系统之前，您需要进行一些准备工作：1. 确认您的计算机符合系统要求，包括硬件和软件规格。

2. 下载最新版本的网络入侵检测系统软件，并保证其完整性。

3. 确保您的计算机已经连接到互联网，并具有正常的网络连接。

4. 确定您的网络拓扑结构和系统域。

第三章：安装网络入侵检测系统在本章中，我们将为您介绍网络入侵检测系统的安装步骤：1. 解压下载的网络入侵检测系统软件包。

2. 打开安装程序，并按照提示完成安装过程。

3. 选择您所需要的组件和功能，并根据您的需求进行配置。

4. 安装完成后，根据系统指引完成系统初始化设置。

5. 配置系统的管理员账户和密码，并确保其安全性。

第四章：配置网络入侵检测系统在本章中，我们将为您介绍网络入侵检测系统的配置步骤：1. 设定系统的网络参数，包括IP地址、子网掩码、网关等。

2. 配置系统的安全策略，包括过滤规则、用户权限等。

3. 配置系统的监控规则，以便检测和报告任何潜在的入侵行为。

4. 确保系统的日志记录功能正常运行，并设置相关参数。

5. 配置系统的警报机制，包括警报方式、警报级别等。

6. 定期更新系统的规则库和软件补丁，以确保系统的正常运行和最新的威胁识别能力。

第五章：测试和优化网络入侵检测系统在本章中，我们将为您介绍如何测试和优化网络入侵检测系统：1. 进行系统的功能测试，确保系统的所有功能和组件正常工作。

2. 使用测试工具模拟不同类型的入侵行为，并观察系统的检测和警报机制。

3. 根据测试结果，调整系统的监控规则和警报机制，以提高系统的准确性和反应速度。

4. 分析系统的日志信息，发现和排除可能存在的问题。

天阗入侵检测与管理系统

攻击名称：ZOTBOT
事件说明：zotbot病毒是一
种。。。。。。。
响应
检测+“响应”
防护
影响系统：windows操作系统
处理建议：。。。。。。。。。。。。。。
补丁下载：
http://securityresponse.symantec.co m/avcenter/venc/data/w32.zotob.a. html
– 详细处理方法
事件名称：事件描述影响
TCP_蠕虫_W32.zotob.a/b变种_IRCBOT
W32.zotob蠕虫是Mytob蠕虫的最新变种。目前该蠕虫产生了两个变种，名称分别为W32.zotob.a和W32.zotob.b。该事件表明源IP 主机已经中毒且正在连接目的IP的IRC服务器，并被攻击者远程控制。该蠕虫利用了微软2005年8月10日公布的最新系统严重漏洞－－Microsoft Windows Plug and Play远程缓冲区溢出漏洞 (MS05-039) 进行主动攻击。Zotob蠕虫攻击TCP端口445，和冲击波、振荡波方法类似，攻击代码向目标系统的445端口发送漏洞代码，使目标系统造成缓冲区溢出，同时运行病毒代码，进行传播。该病毒传播的广度非常大。病毒攻击目标系统时 WINDOWS系统 b建议您：下载微软公布的MS05-039漏洞的最新补丁，避免病毒利用该漏洞攻击存在该漏洞的主机；升级最新的杀毒工具，或者下载针对该蠕虫的专杀工具进行杀毒。，可能造成系统不断重启，类似于震荡波、冲击波发作时候的情形，但是Zotob蠕虫影响的进程变了，为系统关键进程“Service.exe”。中毒的主机还可能会主动通过IRC连接某些IRC服务器上的机器人，并通过该机器人被病毒散播者控制，病毒散播者可以远程控制连接到这些IRC服务器上的中毒主机进行一些非法的操作。。 Zotob蠕虫除了利用漏洞攻击外，还具有邮件传播、自动下载新病毒等等这些邮件病毒所具有的危害。

实验3.2入侵检测系统安装和使用.

实验3.2入侵检测系统安装和使用.实验3.2 入侵检测系统安装和使用【实验目的】通过安装并运行一个snort系统，了解入侵检测系统的作用和功能【实验内容】安装并配置appahe，安装并配置MySQL，安装并配置snort；服务器端安装配置php脚本，通过IE浏览器访问IDS【实验环境】硬件PC机一台。

系统配置：操作系统windows XP以上。

【实验步骤】安装apache服务器安装的时候注意，本机的80 端口是否被占用，如果被占用则关闭占用端口的程序。

选择定制安装，安装路径修改为c:\apache 安装程序会自动建立c:\apache2 目录，继续以完成安装。

添加Apache 对PHP 的支持1）解压缩php-5.2.6-Win32.zip至c:\php2）拷贝php5ts.dll文件到%systemroot%\system323）拷贝php.ini-dist (修改文件名) 至%systemroot%\php.ini修改php.iniextension=php_gd2.dllextension=php_mysql.dll同时拷贝c:\php\extension下的php_gd2.dll与php_mysql.dll 至%systemroot%\4）添加gd库的支持在C:\apache\Apache2\conf\httpd.conf中添加：LoadModule php5_module "c:/php5/php5apache2.dll"AddType application这一行下面加入下面两行：AddType application/x-httpd-php .php .phtml .php3 .php4AddType application/x-httpd-php-source .phps5）添加好后，保存http.conf文件，并重新启动apache服务器。

现在可以测试php脚本：在c:\apache2\htdocs 目录下新建test.phptest.php 文件内容：〈?phpinfo();?〉使用http://localhost/test.php测试php 是否安装成功2、安装配置snort安装程序WinPcap_4_0_2.exe；缺省安装即可安装Snort_2_8_1_Installer.exe；缺省安装即可将snortrules-snapshot-CURRENT目录下的所有文件复制(全选)到c:\snort目录下。

农业部信息中心天阗入侵检测与管理系统V0

独立的升级管理中心，可对控制中心和设备进行升级
控制中心可以统一对下级控制台和设备进行升级
可手动、自动执行产品升级
公司网站提供产品离线升级包下载
应保证每周一次的规则库升级，重大安全事件随时更新
产品安全性
需保证通信安全
需保证设备自身安全
应提供可扩展的用户身份鉴别方式接口，为增加用户身份鉴别强度提供支持
性能指标
支持满负荷千兆网络的检测
最大检测率：1000Mbps
碎片重组数: 1,000,000
最大并发连接数: 200万
每秒新建连接数: 8万
其他要求：现货，三日内可送货上门
策略功能
应提供按照检测对象、攻击类型等分类的默认内置检测模版，且默认模版不可修改；提供向导化的策略编制方式。
提供动态策略调整功能，对一些频繁出现的低风险事件，自动调整其响应方式
管理功能
应具备集中管理功能，可实现分布部署、集中式安全监控管理和配置管理，日志报表模块可独立部署，适合大规模部署环境
各组件间（管理平台与引擎等）使用加密信道通信
支持对国内常见木马/p2p/IM/网络游戏以及其他违规行为的检测和发现
具备碎片重组、TCP流重组、统计分析能力；具备分析采用躲避入侵检测技术的通信数据的能力；
采用基于行为分析的检测技术，对0day攻击能够很好防范。具备协议自识别功能
具备规则用户自定义功能，可以对应用协议进行用户自定义，并提供详细协议分析变量
简便易用的GUI管理界面，要求能够对显示窗口进行自定义
具有设备的拓扑显示功能，可以在界面上以图形化的方式显示当前的部署拓扑。同时支持多个用户监测台的设置，支持至少8个以上的多用户监测台设置
用户管理
对授权用户根据角色进行授权管理，提供用户登录身份鉴别和防暴力猜解；可以严格按权限来进行管理

天阗入侵检测与管理系统安装手册

未经本公司书面同意，任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其作出适时调整。

“天阗”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

免责声明本公司尽最大努力保证其内容本手册内容的准确可靠，但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息安全技术有限公司2008年4月出版。

北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

目次1．简述 (1)2．安装准备 (1)2.1管理软件安装准备 (1)2.2引擎安装准备 (2)2.3网络资源准备 (3)3．开箱检查 (4)4．软件安装 (5)4.1网络型管理软件安装 (5)4.2管理型管理软件安装 (11)4.3使用O RACLE数据库的注意事项 (15)4.4软件卸载 (16)5．引擎安装与配置 (17)5.1接口说明 (17)5.2超级终端安装及设置 (17)附录A 快速使用流程 (25)附录B 多级管理设置 (28)附录C 数据源的配置 (31)天阗用户安装手册 1．简述天阗入侵检测与管理系统由管理软件和引擎两部分组成，管理软件是产品包装中附的免费软件。

启明星辰IDS用户安装手册

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其作出适时调整。

“天阗”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息技术有限公司2006年3月出版。

北京启明星辰信息技术有限公司保留对本手册及本声明的最终解释权和修改权。

1用户安装手册目录第1章软件安装 (1)1.1 准备条件 (1)1.2 网络型安装过程 (1)1.2.1 MSDE数据库 (3)1.2.2网络入侵检测 (3)1.3 管理型安装过程 (10)1.3.1 MSDE数据库 (12)1.3.2网络入侵检测 (12)1.3.3异常流量监测 (21)1.3.4入侵事件定位 (22)1.3.5入侵风险评估 (24)1.3.6天阗使用Oracle数据库的注意事项 (25)第2章软件卸载 (26)第3章硬件安装 (27)3.1 准备条件 (27)3.2 标识说明 (27)3.3 超级终端安装及设置 (28)3.4 天阗网络引擎配置 (33)3.5 应用配置 (34)3.5.1选项介绍 (34)3.5.2初始应用 (36)3.6 常用交换机镜像设置 (36)附录一：快速使用指南 (41)快速使用流程 (41)多级管理设置 (44)附录二：数据源的配置 (48)北京启明星辰信息技术有限公司天阗用户安装手册第1章软件安装1.1准备条件硬件配置要求：CPU：P 4 2.0 以上RAM：1G以上硬盘：20G以上的剩余空间网卡：Intel百兆或千兆电口网卡辅件：光驱、键盘、鼠标注：推荐您最好专机专用，安装天阗控制台的机器不要作为其他用途的服务器。

天阗入侵检测与管理系统

威胁管理
实时报警事件统计处理办法安全措施 ……
全面的检测覆盖
有效的威胁呈现
做好全面和有效才能体现IDS的价值做好全面和有效才能体现IDS的价值 IDS
10
• 深入认识IDS价值深入认识IDS价值 • 发挥IDS价值的客观要求发挥IDS价值的客观要求 • 天阗全面检测与有效呈现 • 天阗IDS产品介绍天阗IDS产品介绍 • 天阗典型应用
4
IDS实际应用中的价值发挥
• 国家某部委实时威胁监控方案
– IDS部署情况部署情况：部署情况 • 部委：总控，集中管理 • 省、市：子控，分级部署
总控
– 威胁监控
• 通过事件报告发现异常：通过事件报告发现异常：类似蠕虫病毒
下级子控下级子控
日常：日常：周事件统计报告高级 0；中级 245；低级 1027；
全面检测之一：协议分析
• 单、多因子相结合的识别方式（专利技术）多因子相结合的识别方式（专利技术）
– 不仅依赖于RFC标准参数 – 深入了解协议本质，提取协议特征
协议分析
协议研究持续更新
RFC标准标准因子一符合标准协议不符合标准
因子二
协议
协议
22
全面检测之一：协议分析
• 非标准协议伺服器
受病毒感染机器
Internet
UNIX
结合环境，精确报警信息，结合环境，精确报警信息，降低“误”报率降低“ “环境指纹”技术环境指纹”
ANI蠕虫
31
Solaris
AIX
有效呈现之二：详尽描述
• “看到报警应该怎么处理？” 看到报警应该怎么处理？
攻击名称：ZOTBOT 攻击名称：事件说明：zotbot病毒是一事件说明：zotbot病毒是一

天阗IDS设置SNMP Trap方法

1.点击菜单策略任务->入侵检测->策略编辑
2.选择当前使用的策略-> 点击编辑策略
3.点击菜单设置模板-> 设置相应模板
4.添加一个新的模板
如报警日志SNMP
5.点选有效,日志,报警以及SNMP, 并点击保存
6. Ctrl+A选择所有的策略, 点击右键-> 相应设置模板->选择之前新建立的相应模板
7. 点击保存按钮并推出策略编辑
8. 右键点击引擎-> 选择相应策略下发
9. 选择之前编辑的策略并下发至引擎
10. 选择系统设置-> SNMP Trap 设置
11. 勾选发送SNMP Trap 相应
SNMP 版本SNMP V2c 端口使用162
在接收者中写入需要接收SNMP Trap 相应的主机IP地址
SNMP 查询控制中填入权限网段
12. 点击确认并重启控制中心即可。

13. 更加详细的设置方式可以查看天阗IDS的SNMP 安装说明具体路径如:
c:\usr\bin\说明.txt
他是一个NetSnmp agent 来的。

说明文档中也说明了SNMP Trap 的具体OID信息。

天阗6.0入侵检测系统使用维护

天阗6.0常见问题处理
如何确定控制中心与探测引擎通信正常
在控制中心使用ping <探测引擎IP>命令后，使用 arp –a 命令。若出现探测引擎IP 并其 MAC地址，则说明控制中心与探测引擎通信没问题。若控制中心与探测引擎中间有路由器存在，可以使用以下命令：telnet <探测引擎IP> 22。（需要先在探测引擎打开该端口）。若连接不被切断有信息返回说明控制中心与探测引擎通信没问题。
网络入侵检测系统常用功能网络入侵检测系统高级功能网络入侵检测系统日常维护
日常工作建议
每日查看天阗控制台工作是否启动或是否工作正常。每日查看控制台连接引擎是否正常每日早晚各一次查看报警信息。对可疑事件进行及时分析。及时调整并下发天阗工作策略。根据情况及时上报事件。
日常维护建议
至少每周进行一次天阗事件库更新。注意启明星辰网站对天阗事件库的更新或从售后服务部门获取。注意天阗控制中心和引擎的升级包。定期查看日志数据库大小及进行数据库维护。
表示不等于表示小于关系表示相等关系表示大于关系表示包含关系
变量定义
常用变量定义源地址:ip_sip 目的地址:ip_dip 源端口:tcp_sport 目的端口:tcp_dport
动态策略
新建方案添加规则
响应方式过滤条件合并方式
高级功能
多级管理响应方式过滤条件事件合并事件自定义动态策略
天阗6.0常见问题处理
如何确认天阗安装完全
控制中心，检查snmp是否正确安装添加组件，看下拉列表。打开管理报表，看水晶报表打开服务，查看datatransfer（数据传输）、venusautostora测引擎与控制中心连接不上

天阗入侵检测实验手册

产品认证工程师培训实验手册 ---入侵检测系统启明星辰信息技术有限公司培训认证部为了更好的方便用户使用和配置天阗6.0入侵检测系统，我们为用户提供了以下实际使用环境中的实验，每个案例都是很典型的实例。

包括以下内容：实验1：通过超级终端登陆探测引擎,并进行配置实验2：对控制中心进行基本配置操作实验3：在显示中心添加树形窗口，可以查看不同安全级别的事件发生的目的IP、源IP及事件的名称。

实验4：使用策略向导生成一个新策略，在策略中不包含TFTP、FINGER、RLOGIN 协议；危险级别只包含高级事件、中级事件两类。

实验5：生成这三天综合报表；生成危险级别_目的IP地址的交叉报表。

实验6：设置每月自动备份日志。

目录实验1 (4)实验2 (10)实验3 (16)实验4 (18)实验5 (23)实验6 (26)实验1：实验题目：通过超级终端登陆探测引擎,并进行配置实验目的：使参训人员了解天阗6.0入侵检测系统的探测引擎如何通过超级终端登陆并进行相关配置实验步骤：一、识别标识网络引擎上一共有三种用途的信号接口和一个USB端口，他们的说明如下：：超级终端的连接端口；：硬件引擎的数据包监听/串接端口，连接交换机的镜像端口；：硬件引擎的管理控制端口，主要用于与控制台通讯；: 硬件引擎的USB端口，主要用于引擎系统软件的升级。

二、超级终端安装及设置1、启动超级终端(以windows 2000 advanced server为例)。

如图1-1所示：图1-12、新建连接名称—输入相应名称。

如图1-2所示：图1-23、选择连接时使用的COM口，根据串口线所连接到控制中心计算机上具体的COM 口号来确定选择哪个COM口。

如图1-3所示：图1-34、端口设置选择“还原为默认值”图1-4三、天阗网络引擎配置1．天阗网络引擎利用超级终端进行基本设置，配置好超级终端以后，回车进入探测引擎启动画面。

如图1-5所示：图1-52．输入用户名：venus，回车后再输入正确的密码(出厂密码设置为1234567)后进入如图1-6所示：图1-6在超级终端上显示的控制界面分成4个部分：配置选项、辅助选项、恢复选项和退出选项。

启明星辰网御星云ids用户配置手册

本公司对本手册中提及的所有计算机软件程序享有著作权，受著作权法保护。

该内容仅用于为最终用户提供信息，且本公司有权对其做出适时调整。

“天阗”商标为本公司的注册商标，受商标法保护。

未经本公司许可，任何人不得擅自使用，不得进行仿冒、伪造。

本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利（申请）权、专有权，提供本手册并不表示授权您使用这些技术（秘密）。

您可通过书面方式向本公司查询技术（秘密）的许可使用信息。

信息更新本手册依据现有信息制作，其内容如有更改，本公司将不另行通知。

出版时间本文档由北京启明星辰信息安全技术有限公司2013年8月出版。

北京启明星辰信息安全技术有限公司保留对本手册及本声明的最终解释权和修改权。

目录1．简述 (1)2．安装准备 (1)2.1天阗V7.0控制中心安装准备 (1)2.1.1 硬件需求 (1)2.1.2 软件需求 (2)2.2引擎安装准备 (3)2.3网络资源准备 (4)3．开箱检查 (5)4．软件安装 (6)4.1天阗V7.0控制中心安装 (6)4.1.1 SQL Server 2005 Express edition数据库 (7)4.1.2 天阗入侵检测与管理系统V7.0 (23)4.2软件卸载 (35)5．引擎安装与配置 (37)5.1接口说明 (37)5.2超级终端安装及设置 (37)5.2.1 超级终端安装 (37)5.2.2 超级终端启动 (38)5.2.3 引擎配置 (41)5.2.4 引擎接入位置简介 (47)附录A 快速使用流程 (48)附录B 多级管理设置 (51)附录C 常用交换机镜像设置 (53)天阗V7.0.1.0用户安装手册1．简述天阗产品由天阗入侵检测与管理系统V7.0控制中心和引擎两部分组成，控制中心是产品包装附的免费软件，包括主页、威胁展示、流量统计、日志报表、常用配置、高级配置、帮助这7个大模块组成。

6.天阗入侵检测系统[附加]

问题：如果无法登录，原因在于？
22
安全源自未雨绸缪，诚信贵在风雨同舟
基本配置-3
添加组件
选择添加组件的类型输入组件的IP地址
23
安全源自未雨绸缪，诚信贵在风雨同舟
基本配置-4
配置通讯参数
管理控制中心综合显示中心
配置真实IP，避免使用127.0.0.1
24
安全源自未雨绸缪，诚信贵在风雨同舟
基本配置-5
46
安全源自未雨绸缪，诚信贵在风雨同舟
日常维护建议
每周进行一次天阗事件库更新。注意启明星辰网站对天阗事件库的更新或从售后服务部门获取。注意天阗控制中心和引擎的升级包。定期查看日志数据库大小及进行数据库维护。
47
安全源自未雨绸缪，诚信贵在风雨同舟
谢谢大家
谢谢大家
48
安全源自未雨绸缪，诚信贵在风雨同舟
天阗入侵检测系统
天镜的任务下发与配置
43
安全源自未雨绸缪，诚信贵在风雨同舟
任务制定
导出任务
44
安全源自未雨绸缪，诚信贵在风雨同舟
显示中心查看实时扫描结果
45
安全源自未雨绸缪，诚信贵在风雨同舟
日常工作建议
每日查看天阗控制台工作是否启动或是否工作正常。每日查看控制台连接引擎是否正常每日早晚各一次查看报警信息。对可疑事件进行及时分析。及时调整并下发天阗工作策略。根据情况及时上报事件。
策略衍生策略集操作策略向导策略导入导出
34
安全源自未雨绸缪，诚信贵在风雨同舟
策略基本操作
编辑策略
35
安全源自未雨绸缪，诚信贵在风雨同舟
策略基本操作
策略下发
36
安全源自未雨绸缪，诚信贵在风雨同舟

启明天阗入侵检测管理系统介绍

事件智能分析模块
重点威胁事件库基线事件异常报警
重点事件处理
入侵检测子系统特征匹配检测
全部入侵事件
专用算子检测异常检测
入侵检测与管理系统技术特点—智能分析让威胁可视化
威胁呈现
智能分析
事件采集
智能分析结合事件针对不同类型事件，采用特征匹配、专有算子、异常算法，实现精确检测。特性、发生频率、攻击手法等信息评估事件是否为重点威胁。
应用效果
增强版的虚拟引擎技术完美展现；直接定位报警所在的组织部门；重要的报警事件一目了然；
威胁闭环管理技术
应用效果
提供向导式的报警事件处理机制；解决运维人员的技术盲区；事件说明->事件确认->事件处理；
异常流量挖掘技术
应用效果
分段基线流量自动学习；基线流量对比呈现；异常流量报警完美展示；
威胁可视化使得管理员提供宏观信息，并能迅速直观发现重点关注事件，还能能提供辅助分析处理手段。
目录
产品发展历程和定位产品简要介绍产品技术亮点产品型号介绍典型应用与成功案例
威胁智能分析技术
应用效果
事件报警条数明显降低；降低运维人员工作量；重要的报警事件一目了然；
组织化威胁管理技术
方案特点：
信息多点采集；集中统一分析；安全全局把控；
服务器区
天阗入侵检测与管理系统
INTERNET
天阗入侵检测与管理系统
内网区
典型应用—广域网多级管理部署方案
方案特点：
多级统一管理；报警多级上报；策略多级下发；
市级管理中心省级管理中心
省级网络
市级网络
市级网络

天阗6.0入侵检测系统安装配置

产品基本配置
1. 添加管理员
进入“用户管理审计” 以默认用户管理员身份登录 admin venus60 添加管理员
产品基本配置
2. 进入管理控制中心
第一次进管理控制中心要求输入序列号（序列号在软件盒内）用新添加的管理员帐号登录
产品基本配置
4. 添加组件
选择添加组件的类型组件的IP地址选择新添加组件的上级
天阗6.0入侵检测系统安装配置
整体部署硬件安装配置
软件安装配置
整体部署
产品部署
交换机镜像原则
典型应用－单级管理
单级管理下的分布式检测部署
典型应用－多级管理
多级管理下的分布式检测部署
交换机镜像原则
检测重点服务器尽量不做全端口镜像结合交换机本身对镜像的支持能力
整体部署硬件安装配置
软件安装配置
注：在操作过程中出现错误操作时如需取消当前输入操作请按<q>。如果需要帮助请按<h>
整体部署硬件安装配置
软件安装配置
软件安装配置
运行环境
安装组件
产品基本配置
运行环境
硬件配置要求
CPU：P4 2.0 以上 RAM：1G以上硬盘：20G以上的剩余空间网卡：Intel百兆或千兆电口网卡辅件：光驱、键盘、鼠标
运行环境
软件配置要求
操作系统：windows 2k sp4、windows 2003 杀毒软件: 建议安装并保持更新办公软件：Office 2000/XP
软件安装配置
运行环境
安装组件
产品基本配置
安装组件
安装的第一步为安装MSDE数据库
安装组件
第二步安装网络入侵检测组件

天阗入侵检测系统安装配置指导书

天阗网络入侵检测系统安装实施指导书目录第一章安装引擎 (3)一、正确连接线缆 (3)二、打开超级终端程序 (3)三、选择正确的com口并设置参数 (4)四、输入控制台登录的口令和密码 (5)五、查看当前配置 (6)六、修改IP地址和子网掩码 (7)七、修改路由（网关） (8)八、提示重启引擎 (9)九、重新进入引擎后检查配置 (10)十、密钥重置 (10)十一、退出配置界面 (11)第二章安装组件 (11)一、数据库的安装 (11)二、关键组件的安装 (12)三、数据库导入 (13)四、辅助组件的安装 (14)第三章基本配置阶段 (14)一、建立管理员帐号 (15)二、管理控制中心 (16)三、添加组件 (16)四、启动探测引擎和显示中心 (18)五、配置通讯参数 (19)六、分级管理 (20)七、导入授权文件/录入授权序列号 (21)八、升级事件库 (22)九、编辑并选择策略下发到探测引擎 (24)第四章数据库维护 (27)一、自动维护 (27)二、手动维护 (28)三、日志导入 (30)附件一、微软SQLserver系统安装步骤 (31)附件二、ODBC数据源建立和备份库查询 (38)一、配置数据源ODBC (38)二、使用日志分析中心查询备份库 (41)第一章安装引擎本文档为天阗6.0网络入侵监测系统（网络型）的基本安装和使用过程。

具体参数设置根据实际环境而定。

一、正确连接线缆将控制线缆的一端接到引擎背后有图标的接口上，另外一端连接配置终端的com口上；将数据线的一端连接到引擎背后有图标的接口上，一端连接到数据交换机的镜像口上；将数据线的一端连接到引擎背后有图标的接口上，另一端连接到交换机上用于引擎通讯的端口上。

打开引擎电源开关。

二、打开超级终端程序从“开始——〉程序——〉附件——〉通讯——〉超级终端”上打开超级终端程序，如图1-1：图1-1三、选择正确的com口并设置参数进入超级终端的界面后，需要命名，根据需要随意命名。

入侵检测系统部署指南

入侵检测系统部署指南入侵检测系统部署指南正如我们大家所知道的那样，互联网的无处不在已经完全改变了我们所知道的网络。

过去完全孤立的网络现在连接到了全世界。

这种无处不在的连接使企业能够完成过去不可想象的任务。

同时，互联网也变成了网络犯罪分子的天堂。

入侵检测系统（IDS）通常用于检测不正常的行为，旨在在黑客对你的网络造成实质破坏之前揪出黑客。

本技术手册将从基础入门、购买建议、部署建议等方面来详细介绍。

基础入门入侵检测系统（IDS）通常用于检测不正常的行为，旨在在黑客对你的网络造成实质破坏之前揪出黑客。

他们可以是基于网络的，也可以是基于主机的。

基于主机的IDS是安装在客户机上的，而基于网络的IDS是在网络上。

入侵检测系统是如何工作的？快速了解IDS和IPS的区别购买建议在你开始评估各种入侵检测和防御系统产品之前，你应当回答一些关于自己的网络环境的问题，并要了解你的单位必须满足的一些外部要求，本文对这些问题和要求进行了总结。

购买IDS和IPS前需要考虑的几个问题IDS选购最佳建议部署建议入侵检测系统（IDS）的选择，部署和维护工作是基于需求和公司现有的基础设施。

一个产品可能会很好的为一家公司工作却不适合另一家。

选择通常是最难做的决定，由于产品必须满足业务需求，预定的网络基础设施功能正常，并目前由人为支持。

如何确定你的企业是否需要IDS或IPS技术呢？对于部署入侵检测系统的建议(上)对于部署入侵检测系统的建议(下)经费不足企业如何实施IDS？无线IDS无线入侵检测，这个词使我们想到安全，但许多无线入侵检测系统（WIDS）产品也可用于进行WLAN的性能监测，为故障排除、微调和使用规划提供有价值的见解。

那么你要如何来利用WIDS从而获得更多的信息呢？如何利用WIDS进行WLAN性能监测?入侵检测系统是如何工作的？问：入侵检测系统是如何工作的？答：入侵检测系统（IDS）通常用于检测不正常的行为，旨在在黑客对你的网络造成实质破坏之前揪出黑客。

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

具体参数设置根据实际环境而定。

打开引擎电源开关。

如图1-2：图1-2确认后，选择正确的COM口，根据具体的主机而有所不同。

如图1-3：图1-3然后设置正确的参数，具体数值如图1-4所示：图1-4点击确定后回车即可进入配置界面。

四、输入控制台登录的口令和密码如图1-5，进入到了网络探测引擎的配置界面。

图1-5然后输入用户名：venus；密码：1234567，回车后进入到了菜单形式的配置界面，如图1-6：图1-6五、查看当前配置在配置界面中，选择 1 ，显示当前的配置，如图1-7：图1-7六、修改IP地址和子网掩码根据规划好的IP地址，以ip：192.168.1.200,掩码：255.255.255.0为例。

选择选2，进入到配置IP的界面。

根据提示，选择网口3，然后输入ip 地址，在输入网络掩码。

系统提示是否同意修改，选择1确认。

即可完成地址的修改。

如图1-8图1-8七、修改路由（网关）根据需要修改网关，以路由“0.0.0.0/0.0.0.0 192.168.1.254”为例。

选择选项4，然后输入路有条数1，根据提示，分别输入目标网络地址：0.0.0.0，目标网络掩码：0.0.0.0，网关IP：192.168.1.254。

系统提示是否更改，选择1 同意修改。

然后系统建议重启。

如图1-9：图1-9八、提示重启引擎选择选项8 对系统进行重启，然后选1同意重启，系统进入重启阶段；过程如图1-10：图1-10九、重新进入引擎后检查配置几分钟后，系统重启完成，使用用户名和密码重新进入系统，我们选择1显示当前配置，确认ip地址和网关已经配置成功。

十、密钥重置为了确保新的控制中心能正确连接引擎，我们需要重置密钥文件，选择选项3，然后选择1 同意密钥重置。

如图1-11：图1-11十一、退出配置界面确认当前配置正确后，选择15，退出配置界面。

第二章安装组件一、数据库的安装由用户方提供并安装完成sql server 2000版本的数据库系统，并且打上sp4补丁。

如果用户不能提供sql server 2000，则暂时使用MSDE，安装过程如下：放入光盘，自动运行后，在界面上，选中并点击“MSDE数据库”，系统自动安装并完成。

安装完成后，需要重启机器。

安装视图如图2-1：图2-1二、关键组件的安装重新启动后，运行光盘上的程序，选中“网络入侵检测”并且点击安装，稍后按照：下一步—〉接受许可，下一步——〉输入用户名和公司名，下一步——〉全部安装，下一步——〉使用默认路径，下一步——〉安装——〉即可，过程如图2-2：在安装过程中，系统要求进行数据库初始化，以下为说明，界面如图2-2：图2-2服务器：如果使用的是网络数据库，则输入网络数据库的IP地址；如果使用本地安装的数据库，或者使用原先安装的MSDE数据库，此处不用更改；修改本地数据库密码：如果安装的是MSDE，由于MSDE默认安装的情况下密码为“venus60”，如果我们打算修改该密码，则点击“修改本地数据库密码”，在“sa新口令”和“确认新口令”输入相同的口令后点击确认，稍后出现“密码已更改”的修改成功的提示。

如图2-3：图2-3数据库名：数据库名由系统自动生成，可以不做更改；也可以根据需要更改；用户ID：数据库管理员的帐号，默认情况下是sa，可以不做更改；密码：sa的密码；文件目录：默认情况是系统C盘的根目录。

需要在D盘建立相应的文件夹，如D:\IDSDB；数据源：系统自动确定，不做改动；数据源名称：系统自动建立，不做更改；三、数据库导入安装过程中出现数据库初始化界面，按照上述说明填入正确参数后，确定——〉提示数据库开始导入，确定——〉。

导入过程如图2-4：图2-4四、辅助组件的安装数据库初始化完成后，提示导入成功，确认后进一步自动安装，出现水晶报表安装界面，下一步——〉接受许可，下一步——〉输入用户名和公司名，下一步——〉全部安装，下一步——〉安装——〉完成；自动安装SNMP组件；自动安装完SNMP组件后，进入升级程序的安装；下一步——〉默认路径，不用修改，下一步——〉安装——〉完成；自动安装升级组件；整个天阗系统至此安装完成。

需要重启系统。

第三章基本配置阶段重新启动系统后，即可进行下面的基本配置。

一、建立管理员帐号选中“开始——〉程序——〉启明星辰——〉用户管理审计”，使用用户admin，密码venus60进入用户管理界面。

如图3-1：图3-1进入用户管理界面后，点击“添加用户”，在新弹出的界面中输入需要创建的用户名：venus（各地均以此为登陆名），所在组选择“管理员”，密码：venus60(各地统一设置此密码)（数字和字符结合，至少六位）,选中“允许登录”。

其他选项可填也可不填。

点击“确定”后就创建好了一个新的管理员帐号。

其过程如图3-2：图3-2二、管理控制中心选中“开始——〉程序——〉启明星辰——〉管理控制中心”，提示输入序列号，输入随机光盘封面上的序列号即可。

然后进入控制中心初始化界面，所显示的IP地址为系统自动识别的本机地址。

在“管理控制中心名字”里面输入易于识别的名称即可。

确定后进入了管理控制中心的主界面。

三、添加组件进入控制中心界面后，进入“组件管理——〉添加组件”，如图3-3：图3-3然后添加网络引擎，名称：“探测引擎”，类型：“网络引擎”，IP地址：“192.168.1.200”（以此IP为例），其他参数不改动，确认后添加完成。

如图3-4：图3-4再添加显示中心，名称：“显示中心”，类型：“显示中心”，IP地址：“192.168.1.100”（以此IP为例），其他参数不改动，确认后添加完成。

如图3-5：图3-5四、启动探测引擎和显示中心添加完组件后，启动探测引擎和显示中心；选中探测引擎，点击右键，选中“连接”即可。

一般情况下，系统自动连接所有组件。

视图如图3-6：图3-6然后再启动显示中心，从菜单“视图选择——〉综合信息显示”，打开了显示中心，过程如图3-7：图3-7五、配置通讯参数打开显示中心后，需要修改其连接设置。

在综合信息显示界面中，点击菜单“系统设置”后，出现设置界面，将控制中心IP地址修改为：192.168.1.100，其余参数不变。

如图3-8：图3-8最后确认所有组件连接成功，状态视图如图3-9：图3-9六、分级管理1、本级设置本级设置主要在各直属关上作为子控进行设置。

从主菜单的“分级管理-本级设置”，进行，如下：设置参数如下图：根据原有要求，需要将所有参数选中。

2、下级设置：下级设置只需要在全国信息中心的总控进行设置，添加子控组件后，选中子控，从“分级管理－下级设置”进入，如下图所示：事件级别选择：高级事件，中级事件同步安全类型：全选中选中“同步子控日志”这样，上级控制中心会收到下级控制中心上报的高级、中级事件七、导入授权文件/录入授权序列号如需要导入授权，应首先取得以“txt”文件存在的授权码文件。

回到管理控制中心主界面，右健选择“引擎”，选择“授权文件下发”，如下图：找到授权文件路径，选中然后选择打开，完成授权工作。

在管理控制中心主界面右健选择“引擎”—“属性”，打开引擎属性界面，然后选择“授权状态”可以查看，具体的授权情况。

八、升级事件库1、升级选项设置：更新升级——〉入侵检测——〉自动更新，选中“是否将升级后的策略应用到引擎”；图3-112、更新升级——〉更新设置——〉选中“高级”、“中级”确定。

图3-123、在“更新升级——〉入侵检测——〉手工更新”菜单中进入手工更新界面。

然后点击“浏览”制定升级文件后，点击“升级”。

就自动进入事件库升级过程，同时显示所更新的事件名称和数量。

最后弹出一个txt文本，描述了升级的历史记录。

保存后关闭即可。

在点击“退出”退出升级界面。

过程如图3-13：三恶-图3-13九、编辑并选择策略下发到探测引擎从“策略任务——〉入侵检测——〉策略编辑”中进入“选择策略”的界面，选中“策略集操作”后弹出了“集合操作”的窗口。

在“主策略集”和“从策略集”中将热点事件集和增量升级事件集选中，操作符选中“并”。

过程如图3-14：图3-14点击确定后输入该策略的新名称此处为“测试策略”，就进入了新策略的编辑界面中，点击编辑界面左上角的保存图标后关闭主界面。

过程如图3-15：图3-15回到控制中心主界面中，选中探测引擎，点击右键。

选中“策略下发”后，探出了新的界面，在该界面中选择需要下发的策略，此处选择“测试策略”。

如图3-16：图3-16点击确认后稍等一会，当策略下发成功后，策略名称和下发事件会显示在主界面中探测引擎所在行的策略任务列下。

策略下发成功如图3-17：图3-17第四章数据库维护一、自动维护从主菜单“日志管理——〉入侵检测——〉日志维护”进入数据库维护界面，如图4-1：图4-1首先需要在D盘下面创建“idsdb_bak”文件夹用于存放自动备份数据库文件。

天阗入侵检测系统安装配置指导书

入侵检测系统安装方案

网络入侵检测系统的安装与配置手册

天阗入侵检测与管理系统

实验3.2入侵检测系统安装和使用.

农业部信息中心天阗入侵检测与管理系统V0

天阗入侵检测与管理系统安装手册

启明星辰IDS用户安装手册

天阗入侵检测与管理系统

天阗IDS设置SNMP Trap方法

天阗6.0入侵检测系统使用维护

天阗入侵检测实验手册

启明星辰 网御星云ids用户配置手册

6.天阗入侵检测系统[附加]

启明天阗入侵检测管理系统介绍

天阗6.0入侵检测系统安装配置

天阗入侵检测系统安装配置指导书

入侵检测系统部署指南

启明星辰网御星云ids用户配置手册