【IT168 应用】某工程学院校园网已在去年部署了启明星辰天阗IDS入侵检测系统，这次欣闻启明星辰公司推出了最新一代威胁检测与智能分析系统天阗TDS，遂在第一时间参与了产品试用。

　　网络和服务器环境

　　某工程学院校园网的出口带宽为100M，校内有1000左右用户，核心交换机为港湾6808交换机。这次试用的天阗TDS507架设在网络出口的镜像链路上，数据库和WEB服务合二为一跑在一台双路4核Intel XEON CPU，8G内存的服务器上，服务器操作系统采用Windows Server 2003 SP2，数据库采用 SQL Server 2005 企业版。

　　TDS硬件安装

　　TDS硬件即TDS系统的检测引擎，如图1所示，安装非常方便，监听口接核心交换机的数据镜像端口，管理口接内网交换机端口。用笔记本电脑串口接TDS的配置口，用超级终端配置TDS硬件检测引擎的IP地址，如图2所示。

　　图1

　　图2

　　把外网到内网的所有数据镜像到TDS的数据监听口，这是通过港湾6808交换机的数据镜像功能实现的，如图3所示，把交换机的2/1端口的由外到内的访问流量(ingress)镜像到端口2/4上。

　　图3

　　TDS软件安装

　　TDS的软件安装主要分成两部分，第一部分是数据库的安装，数据库支持微软的SQL Server 2000 sp4和SQL Server 2005 sp1以及SQL Server 2008版本，同时支持Oracle 9i和10g版本的数据库。我们安装的是SQL Server 2005企业版。如果服务器上没有现成的数据库系统，可以选择安装TDS随机光盘中的免费版本的SQL Server 2005 Express，但是这个数据库版本只能支持2G的数据容量。

　　数据库的安装过程按照TDS安装手册上的说明进行，需要引起注意的是SQL Server服务需要改用本地系统账户启动服务，而非默认的用户，如图4所示。否则最后启动TDS的时候数据库会和TDS链接不上。

图

　　安装好之数据库之后，开始安装TDS服务软件。安装进行的一半的时候，TDS服务系统提示导入TDS初始数据库，如下图所示

　　图4

　　TDS服务软件安装完毕后，重新启动服务器，按照TDS系统安装手册的提示，应该看到三个新安装的服务都正常启动，这三个服务是 SQL Server 服务，DataCenter服务以及IDS Web Server服务。我们发现服务器重启完毕后，IDS Web Server服务没有启动。折腾了很久才发现，需要在天阗TDS的程序菜单中先注销Web服务，再重新注册Web服务。然后再启动IDS Web Server服务，就能正常启动了。如图5所示：

　　图5

　　关于这点，系统安装手册中没有提及，而在用户手册的最后章节，有提到这个故障的解决办法。建议启明星辰公司应该把这个要点，从用户手册中移动到安装手册中，能在用户万一出现这种安装故障时，第一时间找到解决办法。

　　事后，和TDS的厂商工程师沟通中得知，目前最新发布的正式版本中，已经成功解决了这个问题，在开始菜单中已经没有“卸载web服务”和“注册web服务”，而且把IDS Web Server服务和DataCenter服务合并了，在最新版本的TDS服务器程序中，系统服务列表中只能看到DataCenter服务了。

　　数据库和TDS服务端程序安装完毕，就可以在打开IE浏览器，通过HTTPS加密连接进入TDS系统了。这点比以前老的天阗IDS系统有很大的改进，老的天阗IDS系统一直用沿用专用客户端的方式，部署起来没有浏览器的方式方便。如图6所示：

　　图6

　　TDS系统的初始化工作

　　通过浏览器进入TDS软件系统后，首先需要添加硬件检测引擎，这个在“配置管理”菜单下的“组件管理”中，添加一个新引擎，输入引擎的IP地址即可，如图7所示

　　图7

　　新建引擎成功后，就需要给引擎下发策略，如图8所示，并且对整个IDS系统进行事件库的升级，如图9所示。

　　图8

　　图9

　　TDS事件库升级以及策略下发成功后，就可以进入TDS的功能测试了。

　　经过前面这些步骤，现在终于可以去揭开TDS神秘的面纱了，让我们快去看看它到底是何方神圣，到底比以前的IDS高明在哪些地方。

　　TDS功能尝鲜

　　1、 全新的威胁显示方式和自动威胁处理流程

　　TDS的事件展示界面如图10所示，在这个界面中最大的亮点就是一改以前IDS的事件展示界面中大而全的方式，仅仅展示出最让安全管理员关注的重点事件，显得界面干净整齐，而又重点突出，而这一起都是系统智能完成的，通过安全管理员和系统的不断交互，它能显得更智能。

　　图10

　　在威胁事件展示中，新的概念有两个，其一是“处理”，其二是“合并”。在每个威胁事件最前面的“处理”按钮点击，就出现事件处理的“事件说明”对话框，如图11所示。

　　图11

　　看完威胁事件的说明后，点击下一步，进入到事件确认对话框，如图12所示，在这里，需要对该事件进行选择“尚未分析”，“误报”以及“威胁存在”。如果认定该事件属于误报，选择后下次该事件将不在界面中显示，而直接标注为误报。

　　图12

　　再点击下一步，进入到事件处理对话框，如图13所示，在这里将对如何处理这个威胁事件进行说明和指导。

　　图13

　　最后，将出现合并事件对话框，如图14所示。提示对后继同类事件的自动处理办法。这样相当于把这次处理威胁事件的过程做了记录，做为专家系统对后续相同事件进行处理示范和指导。可以选择对“相同事件”或者“相同事件+相同IP”进行自动处理。而自动处理的动作可以是“改变级别”、“不再实时显示”以及“调整为基线事件”。这样的自动化流程大大简化了安全管理员的操作，并且为安全管理员的每次操作都做好记录，后续处理系统就自动“依葫芦画瓢”即可。

　　图14

　　通过威胁事件处理的流程，我们感觉到TDS关注的是用户对于整个安全事件的处理过程，传统的IDS产品发现是一个攻击报警马上出来，后续需要管理员大量工作，TDS可以帮安全管理员来解决后续的一些问题，并且给它提供辅助的处理手段帮助。

　　2、 崭新的流量统计和分析界面

　　在TDS系统中，流量统计和分析被单独拿出来，在流量统计菜单项中展示出来。在这个界面中，首先可以看到当天的流量变化曲线，如图15所示。

　　图15

　　在具体的流量统计分析中，TDS系统把流量区分成4类“WEB流量”、“邮件流量”、“数据库流量”以及其他流量，如图16所示。而且针对历史流量和目前流量有个对比，这个指标叫做“超压”，如果超压过大，需要提醒安全管理员关注流量的异常变化并且有“运行趋势”警告灯来报警。

　　图16

　　超凡的针对不同对象定制报表的功能

　　TDS的报表功能异常强大，这点给了我们非常大的震撼。进入报表功能后，可以看到有4类报表可以生成，即：分析报表、基础统计报表、高级统计报表和详细事件报表，如图17所示，分别提供给不同角色的管理员做为安全状况分析的依据。

　　图17

　　TDS在报表功能上的这4个分类，我们觉得是合理的，因为不同类型的安全管理者关注的重点是不一样的，例如出现安全事件的时候，技术人员关注的是“哪个地址出事了”，而技术管理人员关注的是“是不是在关键业务处出事了”，行政管理人员关注的则是“是全网出事了还是某个区域出事了”。不同的关注点必然导致所需求的安全报表不同。

　　首先来看看第一种“分析报表”，需要设置的内容如图18所示，需要设置分析类型和分析时间。

　　图18

　　可以选择的报表输出格式有4种“HTML、PDF、EXCEL和WORD”，如图19所示

　　图19

　　设置后报表后，可以从报表任务配置上看到已经设置好的报表任务，如图20所示。

　　图20

　　设置完毕后，就可以输出报表了，以从报表输出菜单看到输出的报表，如图21所示

　　图21

　　第一类“分析报表”的报表结果中，如图22-26所示。可以看到很多对比数据，便于对网络安全状况进行分析和决策。

　　图22

　　图23

　　图24

　　图25

　　图26

　　在另外的三类报表，即基础统计报表、高级统计报表和详细事件报表，其报表显示的内容分别如图27-29所示，他们分别适合不同的安全管理员以及不同目的的报表需要。

　　图27 基础统计报表结果

　　图28 高级统计报表结果

　　图29 详细事件报表结果

　　TDS的报表结果可以设置成一次性的报表和周期性的报表，为企业网络安全管理提供辅助决策依据。

　　试用总结

　　天阗TDS是启明星辰公司的最新一代威胁检测与智能分析系统，与传统的入侵检测IDS产品相比较，TDS关注的是用户对于整个安全事件的处理过程，在传统的IDS中，发现是一个攻击报警马上出来，后续需要管理员大量工作;而TDS可以帮助安全管理员来解决后续的一些问题，提供了一些辅助处理手段，还会生成周期性报表，在报表上给用户提供网络安全发展的趋势，通过这个变化情况能够判断这个安全状态的变化趋势。

　　通过试用，我们认为启明星辰TDS系统在智能化和可视化方面已经走出非常重要的一步，TDS能够大大减轻安全管理员的工作，让安全管理员从浩如烟海的安全事件分析中解脱出来，关注重点事件的处理。并且可以根据TDS提供的多样报表，对网络的安全状况有个全面的了解。