IDS维护手册二〇〇八年六月北京安氏领信科技发展有限公司目 录第一篇运行维护篇3 第一节每日清晨操作 (3)第二节每日/周定时观测 (3)第三节每次进行配置变更后 (4)第四节季度维护检测项目 (5)第二篇策略调整篇 16 第一节误报分析的基本方法 (16)2.1.1 报警信息的基本分析方法 (16)2.1.2 误报的判定与归类 (17)第二节检测规则调整的原则与方法 (18)2.2.1 调整原则 (18)2.2.2 调整方法 (18)第三节常见误报与检测规则调整指导意见 (23)第一篇运行维护篇第一节每日清晨操作从工位接入内网，ping各个传感器和控制台，看是否通，不通说明出现故障。

第二节每日/周定时观测序号 检测内容 周期 操作参考1 检查操作系统工作状态 日登陆主机，查看系统工作状态2 在控制台上查看各个主机传感器工作状态 日登陆管理控制台，查看主机传感器3 检查控制台上能否收到安全告警 日查看事件显示窗口4 检查磁盘空间 周检查磁盘使用情况5 检查报表查看器工作状态 周生成报表6 检查应用系统日志 周打开事件查看器，查看日志 7 检查是否能够升级 周检查有无升级包8 IDS运行及告警分析报告 周根据报表内容，整理IDS运行及告警事件分析报告第三节每次进行配置变更后序号 检测内容 操作参考1 检查操作系统工作状态 登陆主机，查看系统工作状态2 在控制台上查看各个主机传感器工作状态 登陆管理控制台，查看主机传感器3 检查控制台上能否收到安全告警 查看事件显示窗口4 检查磁盘空间 检查磁盘使用情况5 检查报表查看器工作状态 生成报表6 检查应用系统日志 打开事件查看器，查看日志7 检查是否能够升级 检查有无升级包8 IDS运行及告警分析报告 根据报表内容，整理IDS运行及告警事件分析报告第四节 季度维护检测项目测试步骤 测试结果 用户管理1） 使用默认管理帐户登陆管理控制台。

2） 添加新帐户，赋予所有功能管理权。

3）使用新帐户登陆，验证是否可使用所有功能。

用户管理缺省审计账号Admin/Admin 登陆成功。

添加帐户成功。

新帐户等了成功，获得所有功能管理权限。

组件管理1）Logserver 已在安装IDS 管理平台的时候做好配置，无须做改动。

组件管理1) 组件添加成功。

2) 数据库添加成功。

3) 传感器添加成功。

所有组件显示正常。

2）再添加新组件，选择传感器，在弹出的窗口填写传感器配置信息。

3）选择“连接测试”，成功后点击确定，开始同步签名，分发策略。

4） 然后会弹出传感器的属性配置窗口，输入传感器的名称，并选择应用的策略。

然后点击“确定”按钮，弹出任务处理状态进度条。

则新添加的传感器出现在组件及设备视图中相关适配器的节点下。

新的sensor 添加完毕后，就可以进行应用策略、同步签名库。

策略配置 1） 点击策略标签，观察策略管理界面。

2）在左侧窗口点击鼠标右键，选择“编辑锁定”。

在预定义策略组“”上点击右键，选择派生，填写新策略名称，生成新策略。

策略配置 1) 能够进行策略编辑。

2) 以原有策略为模板，能够派生新策略。

3) 对策略进行“编辑锁定”后，可以编辑www 策略选项。

4) 保存策略后，可以分发的传感器上。

传感器能够立即应用新策略。

3）查看中间栏策略的信息，右侧窗口上方为响应信息，下方为每个签名的详细解释。

4）在中间栏选择添加“www”签名中的选项，保存修改好的策略，解除编辑锁定。

5）在组件窗口相应传感器上点击右键，选择分发策略，将编辑好的新策略分发到传感器上。

6）查看传感器信息，新策略已经正常使用。

安全事件收集显示1）进入安全事件窗口，左侧为事件，右上图表，右下详细信息。

安全事件收集显示1）实时事件显示正常，统计信息显示正常。

2）事件详细信息显示正常。

2）点选左侧事件窗口的标签，查看显示是否正常。

3）双击右下的事件，查看弹出的详细信息。

报表1）点击报表按钮，出现报表系统登陆界面，输入帐户登陆。

报表1)能够登陆报表。

2)根据报表模板，能够生成报表。

2） 点选各种报表，观察生成是否正常。

数据查询1） 点击查询按钮，登陆数据库查询系统。

2） 选择添加数据库。

数据查询1) 能够登陆数据查询。

2) 添加数据库正常。

3) 可以根据查询条件进行查询，能够得到查询结果。

3）添加查询，输入查询条件，在这里选择按时间查询。

4）观察查询结果。

第二篇策略调整篇第一节误报分析的基本方法判断攻击的举例网络攻击是否能够得手，往往取决于该系统是否存在这种类型的漏洞。

并不是所有的网络攻击都能够得手。

举例说明，IDS报告发现基于MS05－039漏洞的攻击报警。

第一步，追查源地址。

如果是来自外网，则比较难以追踪，如果攻击源地址是本单位地址，则需要追查源地址，检查到底是本单位员工的攻击行为还是主机被入侵者控制后发起的攻击。

第二步，检查目的主机。

查看报警事件的目的主机，检查它是否存在Ms05－039漏洞。

如果目的主机是Unix主机，那么显然它不会存在windows的系统漏洞，因此此攻击对主机攻击无效；如果目的主机确实为windows，则还有两种可能存在Ms05－039漏洞或不存在。

如果存在这个漏洞（可使用网络扫描器扫描确认），如果已经安装了系统补丁，则此类攻击还是无效的。

第三步，善后处理。

各种攻击造成损失和后果影响都是不同的，因此善后处理的方式也不同。

（1） 扫描类的攻击。

此类攻击本身不会对目标主机有大的影响，而需要关注的是扫描的发起者。

扫描的发起者只会是黑客和网络管理员，如果扫描的源地址是本单位主机（非指定网络管理员）则要引起重点关注。

极有可能是内网发起的攻击或者是内网被攻陷的主机成为攻击者的跳板。

就其扫描攻击的类型主要分为：口令扫描、常规漏洞扫描、CGI程序漏洞扫描。

（2） 特洛伊木马攻击。

发现特洛伊木马攻击报警后需要对网内主机参与者进行全面的检查，避免信息泄漏或者成为僵尸主机。

（3） 缓冲区溢出攻击，针对建行DMZ的业务特点。

重点防范Apache及其上运行的CGI程序的缓冲溢出。

及时更新补丁是很重要的，另外可以通知加固操作系统内核的方式来限制溢出行为。

2.1.2 误报的判定与归类对于经上述过程判断不能明确定为攻击的事件，纳入被深入分析事件的范围。

深入分析事件需与开发管理岗、系统管理岗、网络管理岗员工进行联合研究，结合公司业务情况判定是否误报。

对于可明确判定为误报的事件，将该事件所述的签名纳入规则待调整的行列。

对于仍无法判定的事件，上报总部或与其他分公司交流，或联系服务商，要求技术支援。

中国人寿界定的误报，包括以下两种：（1）确系安全行为，但被IDS认定为攻击行为；（2）确系不安全行为，但此攻击对中国人寿现有系统的坚固性不构成威胁。

第二节检测规则调整的原则与方法2.2.1 调整原则1、关注总部下发的最新版《指导意见》和相关通知邮件，比对自身情况，进行误报相关策略调整；2、吸取其他分公司经验，进行误报相关策略调整，并将调整过程在每月月报中向总部报备；3、根据本地经验，进行误报相关策略调整，并将调整过程在每月月报中向总部报备；4、按照总部对报备的调整过程的审批意见，保持该调整或恢复原状；5、将调整过程如实记入《中国人寿IDS策略调整记录-XX分公司》2.2.2 调整方法调整的三个主要手段是：白名单法、参数调整、关闭策略。

调整参数实例在windows操作系统中，默认使用的Snmp团体号是“public”,因此IDS会在实际环境检测到大量团体号为“public”的snmp数据包，这种情况会诱发名为“snmp:uservars:bad_commname_alert”的报警信息。

（1）这种情况可以通过调整参数来解决这个低等级的报警，具体可以遵循下述步骤。

1．编辑锁定自定义的策略模版（2）使用百名单法则消除此报警信息实现方法如下。

在策略中展开packages , 展开Attack, 点击inhibit，在右边的对话框中可以看到参数列表，INHIBIT_RULES, CONFIDENCE_MODIFIERS，双击INHIBIT_RULES 就可以为IP进行过滤条件的添加。

双击INHIBIT_RULES 就可以为IP进行过滤条件的添加。

INHIBIT_RULES是以行组织的，每一行表示一个完整的过滤规则，每行的开始和结束必须是双引号（”），双引号内部是具体的规则。

规则由5部分组成，从左至右分别是：名称，源IP，目标IP，可信度，动作。

规则的语义是对任何一个告警事件如果其名称，源IP，目标IP，可信度条件与规则匹配就执行规则中指定的动作。

名称就是告警的名字，可以从packages策略树上得到，名称的具体组织结构是packagename_backendname:alertname，比如www2_iis:nimda_scan_alert就是指策略名为www2，子策略名为iis，告警名称为nimda_scan_alert这一个告警。

名称也可以指一类告警，比如www2_iis就是指策略名为www2，子策略名为iis的所有告警。

源IP指的是要过滤的告警事件的源IP条件，可以是一个IP地址（比如192.168.0.1）也可以是一个子网（比如192.168.20.0/24）。

可以支持any（任何IP），outside（外网），inside（内网）通配符目的IP指的是要过滤的告警事件的目的IP条件，可以是一个IP地址（比如192.168.0.1）也可以是一个子网（比如192.168.20.0/24）。

以支持any（任何IP），outside （外网），inside（内网）通配符可信度，事件过滤的可信度条件，其值在0-100之间。

每一个告警事件都有一个可信度，表示签名检测此攻击的可靠程度。

其条件写法是confidence>（<，=）Number。

可信度条件可以不写，这时表示任意可信度。

动作，就是满足前面过滤条件后要执行的动作，对用户用处最大的是+alert，-alert，其中+alert表示满足过滤条件后就发出alert，-alert表示满足过滤条件后就不发出alert（也就是用户最需要的功能）。

例子：“www2_iis:nimda_scan_alert from outside to any -alert –record”表示，对于www2策略下的iis子策略中的nimda_scan_alert告警，如果其源IP来自外网，目的IP是任意，那么就不做告警。

因为没有confidence条件所以对于www2_iis:nimda_scan_alert confidence告警就不检查其confidence条件。

要注意的是过滤规则的最后一条必须是：“* from any to any -record”具体过程参考下图下面是 INHIBIT_RULES 变量的详细解释，每个规则由规则应用范围，源地址域，目标地址域，引擎执行的操作。