智能分析 启明星辰天阗TDS507试用报告-《IT168》
发布时间:2010-09-03   作者:佚名

某工程学院校园网已在去年部署了启明星辰天阗IDS入侵检测系统,这次是启明星辰公司推出了最新一代威胁检测与智能分析系统天阗TDS,遂在第一时间参与了产品试用。

  

网络和服务器环境

  

某工程学院校园网的出口带宽为100M,校内有1000左右用户,核心交换机为港湾6808交换机。这次试用的天阗TDS507架设在网络出口的镜像链路上,数据库和WEB服务合二为一跑在一台双路4核Intel XEON CPU,8G内存的服务器上,服务器操作系统采用Windows Server 2003 SP2,数据库采用 SQL Server 2005 企业版。

  

TDS硬件安装

  

TDS硬件即TDS系统的检测引擎,如图1所示,安装非常方便,监听口接核心交换机的数据镜像端口,管理口接内网交换机端口。用笔记本电脑串口接TDS的配置口,用超级终端配置TDS硬件检测引擎的IP地址,如图2所示。

 

图1

 

图2

 

把外网到内网的所有数据镜像到TDS的数据监听口,这是通过港湾6808交换机的数据镜像功能实现的,如图3所示,把交换机的2/1端口由外到内的访问流量(ingress)镜像到端口2/4上。

 

图3

 

TDS软件安装

 

TDS的软件安装主要分成两部分,第一部分是数据库的安装,数据库支持微软的SQL Server 2000 sp4和SQL Server 2005 sp1以及SQL Server 2008版本,同时支持Oracle 9i和10g版本的数据库。我们安装的是SQL Server 2005企业版。如果服务器上没有现成的数据库系统,可以选择安装TDS随机光盘中的免费版本的SQL Server 2005 Express,但是这个数据库版本只能支持2G的数据容量。

  

数据库的安装过程按照TDS安装手册上的说明进行,需要引起注意的是SQL Server服务需要改用本地系统账户启动服务,而非默认的用户,如图4所示。否则最后启动TDS的时候数据库会和TDS链接不上。

 

 

安装好数据库之后,开始安装TDS服务软件。安装进行一半的时候,TDS服务系统提示导入TDS初始数据库,如下图所示:

 

图4

 

TDS服务软件安装完毕后,重新启动服务器,按照TDS系统安装手册的提示,应该看到三个新安装的服务都正常启动,这三个服务是 SQL Server 服务,DataCenter服务以及IDS Web Server服务。我们发现服务器重启完毕后,IDS Web Server服务没有启动。折腾了很久才发现,需要在天阗TDS的程序菜单中先注销Web服务,再重新注册Web服务,然后再启动IDS Web Server服务,就能正常启动了。如图5所示:

 

图5

 

关于这点,系统安装手册中没有提及,而在用户手册的最后章节,有提到这个故障的解决办法。建议启明星辰公司应该把这个要点,从用户手册中移动到安装手册中,在用户万一出现这种安装故障时,第一时间找到解决办法。

  

事后,和TDS的厂商工程师沟通中得知,目前最新发布的正式版本中,已经成功解决了这个问题,在开始菜单中已经没有“卸载web服务”和“注册web服务”,而且把IDS Web Server服务和DataCenter服务合并了,在最新版本的TDS服务器程序中,系统服务列表中只能看到DataCenter服务了。

  

数据库和TDS服务端程序安装完毕,就可以在打开IE浏览器,通过HTTPS加密连接进入TDS系统了。这点比以前老的天阗IDS系统有很大的改进,老的天阗IDS系统一直沿用专用客户端的方式,部署起来没有浏览器的方式方便。如图6所示:

 

图6

 

TDS系统的初始化工作

  

通过浏览器进入TDS软件系统后,首先需要添加硬件检测引擎,这个在“配置管理”菜单下的“组件管理”中,添加一个新引擎,输入引擎的IP地址即可,如图7所示:

 

图7

 

新建引擎成功后,就需要给引擎下发策略,如图8所示,并且对整个IDS系统进行事件库的升级,如图9所示:

 

图8

 

图9

 

TDS事件库升级以及策略下发成功后,就可以进入TDS的功能测试了。

  

经过前面这些步骤,现在终于可以去揭开TDS神秘的面纱了,让我们快去看看它到底是何方神圣,到底比以前的IDS高明在哪些地方。

 

TDS功能尝鲜

  

1、 全新的威胁显示方式和自动威胁处理流程

  

TDS的事件展示界面如图10所示,在这个界面中最大的亮点就是一改以前IDS的事件展示界面中大而全的方式,仅仅展示出最让安全管理员关注的重点事件,显得界面干净整齐,而又重点突出,而这一起都是系统智能完成的,通过安全管理员和系统的不断交互,它能显得更智能。

 

图10

 

在威胁事件展示中,新的概念有两个,其一是“处理”,其二是“合并”。在每个威胁事件最前面的“处理”按钮点击,就出现事件处理的“事件说明”对话框,如图11所示:

 

图11

 

看完威胁事件的说明后,点击下一步,进入到事件确认对话框,如图12所示,在这里,需要对该事件进行选择“尚未分析”,“误报”以及“威胁存在”。如果认定该事件属于误报,选择后下次该事件将不在界面中显示,而直接标注为误报。

 

图12

 

再点击下一步,进入到事件处理对话框,如图13所示,在这里将对如何处理这个威胁事件进行说明和指导。

 

图13

 

最后,将出现合并事件对话框,如图14所示。提示对后继同类事件的自动处理办法。这样相当于把这次处理威胁事件的过程做了记录,做为专家系统对后续相同事件进行处理示范和指导。可以选择对“相同事件”或者“相同事件+相同IP”进行自动处理。而自动处理的动作可以是“改变级别”、“不再实时显示”以及“调整为基线事件”。这样的自动化流程大大简化了安全管理员的操作,并且为安全管理员的每次操作都做好记录,后续处理系统就自动“依葫芦画瓢”即可。

 

图14

 

通过威胁事件处理的流程,我们感觉到TDS关注的是用户对于整个安全事件的处理过程,传统的IDS产品发现是一个攻击报警马上出来,后续需要管理员大量工作,TDS可以帮安全管理员来解决后续的一些问题,并且给它提供辅助的处理手段帮助。

 

2、 崭新的流量统计和分析界面

  

在TDS系统中,流量统计和分析被单独拿出来,在流量统计菜单项中展示出来。在这个界面中,首先可以看到当天的流量变化曲线,如图15所示。

 

图15

 

在具体的流量统计分析中,TDS系统把流量区分成4类“WEB流量”、“邮件流量”、“数据库流量”以及其他流量,如图16所示。而且针对历史流量和目前流量有个对比,这个指标叫做“超压”,如果超压过大,需要提醒安全管理员关注流量的异常变化并且有“运行趋势”警告灯来报警。

 

图16

 

超凡的针对不同对象定制报表的功能

  

TDS的报表功能异常强大,这点给了我们非常大的震撼。进入报表功能后,可以看到有4类报表可以生成,即:分析报表、基础统计报表、高级统计报表和详细事件报表,如图17所示,分别提供给不同角色的管理员做为安全状况分析的依据。

 

图17

 

TDS在报表功能上的这4个分类,我们觉得是合理的,因为不同类型的安全管理者关注的重点是不一样的,例如出现安全事件的时候,技术人员关注的是“哪个地址出事了”,而技术管理人员关注的是“是不是在关键业务处出事了”,行政管理人员关注的则是“是全网出事了还是某个区域出事了”。不同的关注点必然导致所需求的安全报表不同。

  

首先来看看第一种“分析报表”,需要设置的内容如图18所示,需要设置分析类型和分析时间。

 

图18

 

可以选择的报表输出格式有4种“HTML、PDF、EXCEL和WORD”,如图19所示:


图19

 

设置后报表后,可以从报表任务配置上看到已经设置好的报表任务,如图20所示。

 

图20

 

设置完毕后,就可以输出报表了,以从报表输出菜单看到输出的报表,如图21所示。

 

图21

 

第一类“分析报表”的报表结果中,如图22-26所示。可以看到很多对比数据,便于对网络安全状况进行分析和决策。

 

图22

 

图23

 

图24

 

图25

 

图26

 

在另外的三类报表,即基础统计报表、高级统计报表和详细事件报表,其报表显示的内容分别如图27-29所示,他们分别适合不同的安全管理员以及不同目的的报表需要。

 

图27 基础统计报表结果

 

图28   高级统计报表结果

 

图29  详细事件报表结果

 

TDS的报表结果可以设置成一次性的报表和周期性的报表,为企业网络安全管理提供辅助决策依据。

 

试用总结

  

天阗TDS是启明星辰公司的最新一代威胁检测与智能分析系统,与传统的入侵检测IDS产品相比较,TDS关注的是用户对于整个安全事件的处理过程,在传统的IDS中,发现是一个攻击报警马上出来,后续需要管理员大量工作;而TDS可以帮助安全管理员来解决后续的一些问题,提供了一些辅助处理手段,还会生成周期性报表,在报表上给用户提供网络安全发展的趋势,通过这个变化情况能够判断这个安全状态的变化趋势。

  

通过试用,我们认为启明星辰TDS系统在智能化和可视化方面已经走出非常重要的一步,TDS能够大大减轻安全管理员的工作,让安全管理员从浩如烟海的安全事件分析中解脱出来,关注重点事件的处理。并且可以根据TDS提供的多样报表,对网络的安全状况有个全面的了解。

文章来源:IT168
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号