入侵检测系统NetDT配置

开篇：润墨网以专业的文秘视角，为您筛选了一篇入侵检测系统NetDT配置范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：作为网络安全管理的辅助工具，入侵检测系统极大的提高了网络管理员的工作效率，帮助网络管理员及时发现可能的攻击并迅速采取措施，尽量减少网络攻击所带来的损失。入侵检测系统在网络安全解决方案中不可或缺，它的存在，一定程度上保证了在网络安全方案中的所有安全部件以最佳的状态进行工作。

关键词：网络安全；入侵检测系统；netdt

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)15-3538-02

Intrusion Detection System NetDT Configuration

ZHA Ri-qiang

(Anhui Architecture & Industry Technical Expert's College, Hefei 230051, China)

Abstract: As network security management auxiliary tool, intrusion detection system greatly improves the working efficiency of the network administrators, to help the network administrator the timely discovery may attack and rapidly adopt measures to minimize the loss of network attack brings. Intrusion detection system in network security solutions, its existence indispensable, to a certain extent, had guaranteed in network security plan of all safety components work in the best state.

Key words: network security; intrusion detection; NetDT

随着计算机网络的迅速发展,网络入侵事件频繁发生,人们逐渐认识到只从防御的角度构造安全系统是不够的,仅仅使用防火墙、数据加密等传统安全防护措施已经不能满足对网络安全的需求。入侵检测是新一代安全保障技术,是对传统安全防护措施的必要、有效的补充。

1 入侵监测背景

近年来随着计算机网络知识的普及，攻击者越来越多，知识日趋成熟，攻击工具与手法日趋复杂多样，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、多样的手段。

目前我院综合业务网分为办公区、教学区和DMZ（服务器）区，办公区办公PC加上教学区的PC已经将近700台，网络环境复杂，我们根据业务性质不同部门划分多个VLA004E；DMZ（服务器）区对外提供了多项服务，包括我院办公自动化（OA）业务，门户网的对外，教务管理系统、考试管理系统的使用。网络安全、稳定的运行，信息资料的安全直接影响到我院各个部门的工作，不经意的疏忽便有可能造成网络安全的重大隐患。入侵检测作为防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象，在不影响网络性能的情况下能对网络进行监测并统计，并提供对内部攻击、外部攻击和误操作的实时保护。

2 入侵监测及NetDT简介

入侵检测：是对入侵行为的检测，它通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。是现代主动式网络安全防护的重要组成部分，是动态安全技术的最核心技术之一。

传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。从层次上，入侵检测系统位于网络的高三层，但它的侦听部分侦听网络链路层上的帧。从安全机制的角度上来看，入侵检测系统实现了事件检测和安全审计跟踪机制并实现了部分的访问控制功能。

作为网络安全管理的辅助工具，入侵检测系统极大的提高了网络管理员的工作效率，帮助网络管理员及时发现可能的攻击并迅速采取措施，尽量减少网络攻击所带来的损失。入侵检测系统在网络安全解决方案中不可或缺，它的存在，一定程度上保证了在网络安全方案中的所有安全部件以最佳的状态进行工作。

2.1 NetDT网络入侵检测系统具有以下的特点：

1) 对进出受保护网络的数据进行精细的数据抽样分析；

2) 对可能的入侵进行记录和实时报警；

3) 入侵检测系统是透明的，网络内其他部件不会因它的存在而改变本身的网络性质；

4) 入侵检测系统本身是免疫的，可以防止被攻击。

2.2 NetDT网络入侵检测的工作流程

如图1。

数据采集模块根据系统配置参数，侦听指定的网络端口，将采集到的数据传送给入侵检测模块；入侵检测模块通过对数据包分析，判断是否可能存在攻击行为，如果存在就通过报警发送与记录模块将警报记录提交给管理中心，否则入侵检测模块继续分析数据采集模块传送的侦听数据。为了提高检测效率，NetDT网络入侵检测器定时、定量地通过数据库传输模块向数据库传送数据，减轻了数据库和NetDT网络入侵检测器在数据传输中的负担。

2.3 NetDT网络入侵检测系统的组成

主要由以下三部分组成

1) NetDT入侵检测器，系统的核心部分。这部分主要包括入侵检测引擎模块和通讯模块，通讯模块主要与数据库通讯和入侵检测器管理中心通讯。

2) NetDT数据库。数据库部分保存入侵检测系统的入侵检测规则和入侵检测日志。所有的日志都存储在这个数据库中。各个NetDT入侵检测器所使用的规则都存储在该数据库中，以便进行统一的配置管理。

3) NetDT管理软件包。这部分包括入侵检测器管理中心和日志管理器，入侵检测器管理中心用于集中管理多个入侵检测器，并实时接收所有入侵检测器的报警信息。日志管理器用于对所有的入侵检测日志进行集中管理并根据需求生成各种日志统计报表。

3 项目的实施

3.1 NetDT网络入侵检测系统的安装配置

1) 配置交换机端口的镜像汇聚，将交换机端口汇聚到核心交换机的一个端口，该端口连接监测系统（NetDT）的 E1口，DMZ连接在NetDT的E2口，NetDT管理控制中心机器连接在E0口。

2) 网络的规划，入侵检测器地址为：192.168.0.101/24，与NetDT数据库、管理控制中心机器同网段， NetDT数据库机器地址为：192.168.0.102/24， NetDT管理控制中心机器地址为，192.168.0.102/24，。我们将NetDT数据库与NetDT管理控制中心安装在同一台机器上。

3) 配置入侵检测器地址

NetDT>set if 192.168.0.101/24

NetDT>set manage

Enter the id of manage port:3

Enter the ip of manage(xxx.xxx.xxx.xxx/xx): 192.168.0.101/24

set sensor 回车默认回答（1，sensor）

4) 配置数据库相关参数

NetDT>set db

Enter database ip(xxx.xxx.xxx.xxx): 192.168.0.102

Enter database name(default:Netdtdb): netdtdb

Enter database user(default:sensor):

Enter database pass:

Reset alarm event id？（yes-y，no-n，default：yes）：

Set database success!

startdblog

stoplocallog防止入侵检测机器内部日志满

shs查看到的那些服务不需要手工启动

NetDT>reboot 重新启动检测器，

5) 安装MYSQL数据库，安装完成后重启计算机，检查MYSQL服务是否已启动，如果服务里没有启动起来，即手工启动winmysqladmin.exe，不需要输入用户名和密码登录。

6) 安装NETDT管理控制中心数据库

首先进行NetDT数据库的安装，在数据库安装完成后，安装程序将自动启动数据库访问权限分配工具。在该工具第一次启动的时候，提示用户输入入侵检测数据库名称（netdt），MySQL数据库通讯端口以及MySQL数据库用户名称（root），密码为空。

3.2 NetDT网络入侵检测系统的网络监测

登录NetDT入侵检测系统，查看系统的实时报警信息，如图2：我们就能够很容易发现网络中的异常情况，根据报警记录及时分析事件原因并及时处理网络中可能存在的危险。

4 总结

NetDT网络入侵检测系统作为使用广泛的一款积极主动地安全防护设备，作为网络安全管理的辅助工具，极大的提高了我们的工作效率。通过查看NetDT网络入侵检测系统实时报警信息，及时发现可能的攻击并迅速采取措施；通过查看并分析日志审计记录，判断网络状态，及时发现并解决网络中存在的危险，尽量保障网络主干线及各业务服务器安全稳定的运行，尽量减少网络攻击所带来的损失。

参考文献：

[1] Pegioannj L.Development of an Architecture for Packer Capture and Network Traffic Analysis[C].Politecnico di Rorino,2000.

[2] 宋劲松.网络入侵检测:分析、发现和报告攻击[M].北京:国防工业出版社,2005.

[3] 黄慧.针对黑客攻击网络的预防措施[J].网络安全技术与应用,2006(1):27,41-44.

[4] 蓝天明.基于神经网络的入侵检测技术的研究[D].南昌大学,2006.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文