18. 双击“安全事件列表”中的具体事件，可以弹出“安全事件”对话框，如图 10： （图 10）
件。首先，我们要通过“添加”按钮来调用添加“日志服务器”对话框，在对话框中输 入日志服务器 IP 地址。 13. 如图 6，选择先前添加的日志服务器上右击菜单中“添加查询”，实现查询条件的设置：
（图 6） 14. 在弹出的“设置查询条件”对话框中选择“目标 IP 选择”，在“单一 IP”中输入远端被
服务端 XP 系统的 IP 地址，点击 Scan 按钮运行扫描，如图 1：
（图 1）
5. 在 Nmap Output 框中，会呈现端口扫描结果，其不仅给出了目标的端口开放细节、操作 系统猜测等信息。同时该扫描的多次连接行为已经被远程 Windows XP 系统防火墙日志 记录了下来。
6. 运行远程桌面客户端程序 mstsc.exe，输入服务器端 IP 地址，点击 Connect 连接，如 图 2：
件，这里我们只设置了被扫描系统的 IP 条件做为筛选； 16. 查询结果如图 8，呈现了近期相关的告警事件，里面列出了威胁的详细信息：
（图 8） 17. 我们也可以通过“安全事件”来查看 IDS 实时事件，如果现在使用冰河客户端连接操作，
是可以看到 IDS 检测到的事件信息的，如图 9：
（图 9）
如上设置，点击确定。然后选“高级“ –安全日志记录”设置“
如图选中，“记录被丢弃的数据包“和“记录成功的连接”，点击“确定”。 3. 在客户端安装 NMAP 程序: 在 C:/目录下运行“nmap-5.00-setup”，安装 nmap； 4. 安装完成后，通过桌面快捷图标运行 nmap 程序，在 nmap 程序界面 Target 图 7）
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 【注意】 这里我们可以选择查询时间、目标 IP、事件等级等条件来做更复杂的搜索。 ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 15. 点击“查询”按钮后，会弹出查询条件具体信息对话框，请仔细察看你所设置的查询条
实验拓扑
RG-IDS
IDS-Server
VM Client
实验环境 [实验必备环境]
客户端：：Windows2000/XP/2003 服务端：Windows XP 工具： NMAP 端口扫描程序
VM Server
入侵检测设备 IDS
实验过程指导 [实验完成步骤，力求完整]
1. 服务器 Administrator 用户的登陆密码设为 123456 2. 在实验之前需要打开系统防火墙，打开的方法是："开始"-"设置'-"控制面板"-"安全中心 "-"windows 防火墙”
（图 4） 11. 如图 5，IDS 管理 console 窗口，在工具栏中点击“查询”按钮，调用“事件查询工具”。
（图 5）
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 【注意】 通过工具栏中的“安全事件”按钮可以查看 IDS 告警实时事件；“策略”按钮可以 查看 IDS 检测签名； ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 12. 在 “事件查询工具”程序中，我们可以设置查询条件，来关注筛选出来的安全告警事
端口扫描检测攻击实验
场景
扫描，是攻击者相目标主机发起进攻的一个常用手段，在通过此手段获得相关信息，根 据扫描结果制定进一步攻击的策略。为了预防网络攻击者对主机信息的获得，监控扫描行为 的发生，可通过 IDS 对此类事件进行监控。
实验目标
可完成对主机防护的 IDS 部署 能够根据所面临的威胁配置账户策略 能够完成对帐号的审计操作 能够根据不同的应用环境配置访问权限
（图 2） 7. 以 Administrator（管理员）身份登陆服务器桌面。 8. 远程 Windows XP 系统防火墙日志，默认存储在 C:\WINDOWS\pfirewall.log 位置中，我
们将其打开，如图 3 所示，很明显日志中已经记录了大量来自 192.168.25.30 到 192.168.25.48 各个端口的扫描动作：
（图 3）
9. 由于 XP 系统自带的防火墙日志记录信息有限，并未能充分描述清楚这类信息，所以接 下来我们来通过查看 IDS 设备对攻击行为的检测记录来获得更多的信息。
10. 在监测的主机上双击 Windows 2003 系统桌面上的“RG-IDS 管理控制台”程序，在对话 框中输入实验准备时获取的事件收集器地址、账号、密码，如图 4：