目录

一、安装Aegis. 2

1.安装主监控点MPChief 2

2.安装网络监测点NCP. 2

3.安装主机监测点HCP. 2

二、启动Aegis. 2

1、启动主监控点MPChief 2

2、启动网络监测点NCP. 3

3、启动主机监测点HCP. 4

3、启动网络与主机检测点的系统主界面:... 5

三、如何使用Aegis. 5

1、使用Aegis进行拓扑发现... 5

2、使用Aegis进行网络监测... 6

3、使用Aegis进行主机监测... 17

4、事件分析和响应策略制定... 25

、使用Mobile Agent进行网络管理和入侵检测... 31

1、安装agent系统... 31

2、运行环境... 31

3、使用移动agent 进行系统管理和维护... 32

 

 

 


一、安装Aegis

1.安装主监控点MPChief

     整个系统有一个主监控点(即管理点),需要在其上安装主控点软件MPChief

n         系统要求:win2000jdk1.3

n         方法:将JAR包拷贝到某一目录即可。

2.安装网络监测点NCP

     在每个要监测的网段上,选择一台主机安装NCP软件。

n         系统要求:redhat 7.2OB-4-1-1-eval for linux

n         方法:以root 身份将主机监测点程序包nids.tar.gztar -zxvf 命令展开到某一目录中即可。

3.安装主机监测点HCP

     在每个要监测的主机(服务器)需要安装HCP软件。

n         系统要求:redhat 7.2jdk1.3 for linux

n         方法:

a.       root 身份将主机监测点程序包hids.tar.gztar 命令展开到某一目录中即可。

b.       使用文本编辑工具例如Vi来编辑hcp.conf文件,设置MPChief所在的主机IP地址以及CORBA的通讯端口。例如:192.168.1.22220000

二、启动Aegis

1、启动主监控点MPChief

使用JAVAW命令运行JAR包即可。界面如图(图1)所示:

1 系统初始界面

2、启动网络监测点NCP

NCP安装目录下,执行./Client命令即可启动NCP。如图2所示:

                           2   启动网络监测点

   启动NCP后,会在MPCheif上注册该监测点。如图3所示:

3  一个网络检测点加入系统

3、启动主机监测点HCP

HCP安装目录下,执行./Start命令即可启动HCP。如图4所示:

4 启动主机监控点

启动HCP后,会在MPCheif上注册该监测点。如图5所示:

5 一个主机检测点加入系统

3、启动网络与主机检测点的系统主界面:

6 系统主界面

三、如何使用Aegis

1、使用Aegis进行拓扑发现

(1)    单击主界面(图6)左边的树形目录网络管理主控端。

(2)    右击“拓扑发现”出现“新拓扑”弹出式菜单。

(3)    点击“新拓扑”弹出式菜单,将会出现图7

7 拓扑发现设置

(4)    在图7中填写拓扑发现的种子结点和搜索深度,然后点击“确定”按钮,拓扑发现结果将会出现在图8中。界面的左边是拓扑发现的树型结构表示,右边是以图形化方式表示的拓扑结构。用鼠标拖动图中的任意节点,与他相关的节点会用蓝线相连。

8   拓扑发现结果

2、使用Aegis进行网络监测

(1)       单击主界面(图6)左边的树形目录“网络管理主控端”。

(2)       点击“网络检测”后,会发现已经注册的主机名。如图6所示,已经有一个名为Aegis的主机已经注册。

(3)       选中所要监测的主机名,单击出现如下三个子菜单:“网络状态检测”,“网络误用入侵检测”和“网络异常入侵检测”。

1).网络状态监测

(1)     单机“网络状态检测”右键,出现弹出式菜单“任务配置”。

(2)    右击“任务配置”出现“网络状态任务设置”和“Aegis子网数据监控”两个弹出式菜单。

(3)    在“网络状态任务设置”界面中用户可以按照需要选择不同的数据过滤条件。 

                 9 网络状态任务设置界面

4)点击图9中的“确定”按钮,在Aegis子网数据监控弹出式菜单可以根据需要不同为一个监测点添加多个任务。

       10  新添网络状态检测任务界面

5)单击选中图10中的某一个任务,再单击界面上的“启动任务”按钮。此时该任务的启动标志会从“红”变为“绿”,如图10所。任务启动后,可点击“删除任务”按钮删除当前选中的任务。

     11 任务启动后

6)双击图11中的某一个任务,出现图12。点击“显示数据”按钮显示返回的详细信息。点击“停止显示”按钮停止显示数据。单击“关闭窗口”按钮关闭窗口,返回图11

12 检测任务返回的详细信息

 

2).网络误用入侵监测

网络误误用入侵监测支持两种类型检测引擎:基于专家系统的误用检测和基于规则的误用检测。两种引擎的区分通过在检测点注册文件中指明引擎类型。

一.基于专家系统的误用检测

1)右击(图6)““网络误用入侵检测”出现“任务设置”弹出式菜单。

2)单击 “任务设置”菜单,出现图13

  

13 网络入侵监测参数设置界面

3)点击图13 中的“确定”按钮,完成任务配置。此时将会显示图14

 14网络入侵任务

4)单击选中图14中的某一个任务,再单击界面上的“启动任务”按钮。此时该任务的启动标志会从“红”变为“绿”,如图15所。任务启动后,可点击“删除任务”按钮删除当前选中的任务。

15 网络入侵检测任务启动后

5)任务启动后监测点就开始根据用户要求进行入侵检测。当用户听到“嘀嘀”的声音,就说明已经检测到满足条件的网络入侵。此时用户可以点击图15中的“日志”或“警告”标签查看详细内容。如图16

            16  网络入侵监测报告界面

二.基于规则的网络误用检测

(1)           启动检测点。检测点的配置文件setup.conf中引擎类型设置为“SnortEngine”。

       

                    17  SnortEngie启动主界面

(2)           单击主界面(图17)左边的 “基于规则的网络的网络误用检测”出现 “网络状态监测”和“基于规则的误用检测”两个子菜单。右击“基于规则的误用检测”出现“监测点状态查看”弹出式菜单。

(3)           点击“检测点状态查看”菜单,出现图18

       

                     18  基于规则的误用检测主界面

(4)           点击图18上的启动任务,启动snort检测引擎。

(5)           向监测点检测的网段发起攻击。例如superScan, ddosping, teardrop, apachworm etc

(6)           检查控制台的检测结果

                    19 .snort 检测引擎上报的结果

3)网络异常入侵检测

 网络异常入侵检测支持两种检测引擎:网络状态异常检测和用户行为异常检测。

一.基于状态的异常检测

(1)       点击图6中“网络异常入侵检测”出现“网络状态异常检测”和“用户行为异常检测”两个弹出式菜单。

(2)       右击“网络网络状态异常检测”,出现图20

20 状态异常检测主界面

(3)       点击网络数据收集进行训练数据和待检测数据采集。出现图21 

21 数据收集

(4)       点击(图20)“建立模型与评估”,出现图22

                     22 模型建立与评估界面

(5)       点击(图20)“使用模型”出现图23,对待检测数据应用模型检测得到结果。


                 23数据挖掘检测出的网络链接异常

二.基于行为的异常检测

(1)     点击“用户行为异常检测”,出现图24

                  24用户行为检测主界面

(6)       点击“用户数据收集”,出现图25

                 25 数据采集界面

(7)       点击图24“建立模型”,出现图26

   

                      26 用户行为模型建立界面

(8)       点击图24“用户行为模式检测”出现图27。对待检测数据应用模型得到结果。

               27数据挖掘检测出的异常用户行为

3、使用Aegis进行主机监测

l         单击主界面(图6)左边的树形目录网络管理主控端。

l         击开主机检测目录后,会发现已经注册的主机名。如图6所示,已经有一个名为Aegis16的主机已经注册。

l         选中所要监测的主机名,单击右键,将会发现如下(图 28)菜单:

28

1)、 Seting and run 是监测主机运行状态的,单击该菜单后,出现下图(图 29

29

      在图29中,上部的下拉框是用于选择监测哪一方面的系统性能,如TCP链接、UDP链接、内存、进程以及负载等。图中下部的两个监示器,分别是显示当前CPU和内存的利用率。

改变图中做上角下拉框的选项,并单击“运行”按钮,可以看到下面几个监测结果(图30、图31和图32

30 主机负载检测

31 主机进程检测

32主机内存检测

2)、 Set Condition 是设置系统性能阀值,当所要监测的某些系统性能值低于或高于所设定的阀值,将采取相应的报警。单击该菜单后,出现如图33的界面,设定(输入)阀值、选择报警方式(弹出报警消息或向指定邮箱发电子邮件)后,单击其中“开始监测”按钮,开始主机性能监测,当监测到系统性能值低于或高于所设定的阀值时,会产生如图34的报警信息。当需要停止监测时,单击停止监测按钮,即可停止实时性能监测。

33主机负载阀值设置

 

      在图33中,前三个文本框分别是填写内存、CPU、负载的最大警戒值。注意:对于内存、CPU的警戒值只需填写最大利用率的整数即可,而对于负载则需填写三个整数,并用逗号分开,这三个整数分别表示在1分钟,5分钟,15分钟内主机未能处理的进程数。

34报警信息

 

        34的报警窗口,会自动在10秒后自动关闭。   

3)、 Event Manager 是记录该主机的所有报警信息。界面如图35

35检测结果日志

      Event  Manager中,将系统所有报警分为四类:性能监测日志、文件监测日志、异常监测日志、攻击报警。单击图32中左部树形相应的选项,即可看到(右部)与此相关的报警记录。

4)、 Check files是监测文件完整性,界面如图36

在图36中,单击“设置监测文件”按钮,即可在下面的文本框中书写所要监测的文件的完整路径,一个文件一行。在设置完所要监测的文件后,单击“开始监测”按钮,即可启动文件监测。单击“停止监测”按钮,可以停止文件监测。

    单击“查看历史日志”按钮,会在文本框中显示该主机上历次文件监测的报警记录。

        单击“显示报警窗口”选项,可以开关报警消息框。

        当文本框中所设置的文件发生改变时,系统可以根据需要向管理员发出报警窗口,并记入Event Manger中。

 

36 文件检测

5)、 Log Monitor 是通过监测系统日志,来发现系统的异常事件以及某些网络攻击,例如端口扫描,telnetftplogin等。界面如图37

37 系统异常监测

系统会根据用户所设置的时间间隔来实时监测系统日志,当系统发生一些异常事件时,例如非法的loginTelnetFTP、端口扫描等,系统可以从系统日志中发现这些攻击或异常,然后通过发E-Mail向系统管理员报告,同时将异常结果记入Event Manger中。

38是当系统发现端口扫描时,向管理员发出的E-Mail内容。

38 发现端口扫描时的E-Mail报警

下图(图39)是系统发现非法的Login时的报警Mail

39发现非法的Login时的E-Mail报警

6)基于神经网络的主机检测

1)启动主机检测点。

(2)  选择代表进程(apahcehttp服务进程)模式的历史数据,生成序列,并且将文本数据映射到数据空间。

3)利用神经网络训练。直到满足要求为止。

                         40  原始的历史数据

41 系统调用序列

                    42 神经网络模型训练

(4) 从文件选择系统调用序列,检查测试结果。

                 43文件的调用序列检测

5)访问主机的特权服务(访问主机的页面,http://192.168.1.16),系统将捕获实时的系统调用序列,查看检测结果。

4、事件分析和响应策略制定

1)      事件分析

(1) 单击主界面(图6)目录安全策略。出现 “事件分析”和“响应策略”两个子菜单。

(2) 点击“事件分析”,出现图44

 

44  事件分析导航

(3) 点击图44中“数据输入”导入原始事件文件。

(4) 点击图44中“关联分析”,进入关联分析界面,如图45。设置最小支持度和置信度后点击“运行算法”按钮,获得关联分析结果。

(5) 点击图中44“序列分析”,进入序列分析界面(图46)。设置必要参数后,点击“运行算法”按钮。       

                          45  关联分析结果

                         46 序列分析

(6)       点击图44“模型推理”,首先进入关联分析结果推理。出现图47,导入关联分析结果文件,点击“载入文件”得到推理结果。  

              47 关联规则推理

(7)   点击“下一步”出现图48,进行序列结果推理。导入序列分析结果文件SqNameToAttack  点击“载入数据”获得攻击者与攻击名称序列与关联规则的推理。在图48导入序列分析结果文件SqNameToVicitim,点击“载入数据”获得被攻击者与攻击名称序列与关联规则的推理。如图49

         48 攻击者与攻击名称序列与关联规则的推理

 

49 被攻击者与攻击名称序列与关联规则的推理

(8)       对上一步产生的模型,进行推理从而得到对当前全局攻击形势的分析结果,如图50

                   50 原始的单个事件序列

(9)       比较单个序列与推理产生攻击序列之间的对应关系是否正确,如图51

                       51

2)响应策略制定

(1)     点击(图6)中的“安全策略”,出现“事件分析”和“响应策略”两个弹出式菜单。如图52

                        52  安全策略管理界面

(2)     点击响应策略,出现“防御部件信息”和“响应策略管理”两个弹出式菜单。

(3)     点击“响应策略管理”,出现图53

                   53 响应决策的判定

(4)     输入事件分析引擎产生的攻击序列的结果。

(5)     点击图53“读出数据库”在类型数据中获得不同攻击类型的专家数据。

(6)     在选定“数据库可修改”时,在类型数据中就可以重新指定响应代价、危险代价、防御代价,作为此次判断的标准。

(7)     点击“存入数据库”用用户设定的数据替换专家数据保存到数据库中。

(8)     点击图52“防御部件信息”,出现图54

     

 54 防御部件的注册信息

(9)     点击“更新信息”更新已注册部件。选中一部件,点击“注销部件”删除该部件。

、使用Mobile Agent进行网络管理和入侵检测

1、安装agent系统

n         系统要求:jdk1.3ibm-aglets 2.0 AdventNetSNMP 3.0

n         安装方法:

a.     安装aglets(请参考相关资料)

b.     agent.zip文件考入aglets的安装目录中的public中,并将其解压。

2、运行环境

进入安装aglets的目录中,在bin 目录下,执行

NT:    agletsd -f ..\cnf\aglets.props

Unix: ./agletsd -f ../cnf/aglets.props

界面如下图(图 55):

55基于Mobile Agent的网络管理和入侵检测系统主界面

3、使用移动agent 进行系统管理和维护

1)        主机MIB信息的获取

单击“网络管理”----->Snmp walk”,会弹出如下窗口(图 56

56 snmp walk 窗口

在设备地址上填入所要监测的主机地址,然后单击“go”按钮。会出现如下图所示的结果(图57):

57 主机MIB信息获取

2)        文件分发

单击“检测点管理”--à“检测点安装”, 会弹出如下窗口(图58

58文件分发

单击“browse”按钮找到所要分发的文件,然后在检测点的文本框中填入所要分发到的目的主机名,单击go按钮即可分发完毕。

3)        监测点启动

单击“单击检测点管理”--à“检测点启动”, 会弹出如下窗口(图59

59检测点启动

4)        检测点系统信息获取

单击“入侵检测”à“检测点信息探测”,出现下图(图60)

60 监测点信息探测

填入监测主机名,单击“go“按钮,可以看到下图结果(图61

61监测点信息探测结果