柚子快報(bào)激活碼778899分享：網(wǎng)絡(luò) IPS原理描述

http://yzkb.51969.com/

IPS原理描述

介紹IPS的實(shí)現(xiàn)原理。

基本概念

在了解入侵行為檢測(cè)的原理之前，您需要知道IPS特征庫(kù)、IPS簽名以及安全中心平臺(tái)的作用：

IPS特征庫(kù)：華為公司通過(guò)分析各種常見入侵行為形成了IPS特征庫(kù)，該庫(kù)對(duì)各種常見的入侵行為特征進(jìn)行了定義，同時(shí)為每種入侵行為特征都分配了一個(gè)唯一的入侵行為ID。設(shè)備加載IPS特征庫(kù)后，即可識(shí)別出IPS特征庫(kù)里已經(jīng)定義過(guò)的入侵行為。安全中心平臺(tái)：域名為sec.huawei.com，華為公司部署的服務(wù)器，可以為購(gòu)買License的客戶提供IPS特征庫(kù)升級(jí)服務(wù)。 IPS簽名 IPS簽名用來(lái)描述網(wǎng)絡(luò)中存在的該入侵行為的特征，及設(shè)備需要對(duì)其采取的動(dòng)作。設(shè)備通過(guò)將報(bào)文內(nèi)容和IPS簽名進(jìn)行比較，就可以檢測(cè)和防范該入侵行為攻擊。 IPS簽名包括預(yù)定義簽名和自定義簽名。

預(yù)定義簽名 預(yù)定義簽名是系統(tǒng)預(yù)先定義的大量簽名。預(yù)定義簽名已經(jīng)預(yù)先設(shè)置了匹配該簽名的簽名動(dòng)作為阻斷或告警。管理員可以根據(jù)預(yù)定義簽名對(duì)入侵行為進(jìn)行防范和阻斷。 設(shè)備出廠時(shí)已加載了預(yù)定義簽名庫(kù)，即IPS特征庫(kù)。為了能夠及時(shí)識(shí)別出最新的入侵行為，用戶可以購(gòu)買License并激活，IPS特征庫(kù)會(huì)定期進(jìn)行更新，這樣就能夠不斷地從安全中心平臺(tái)獲取最新的預(yù)定義簽名，以保證對(duì)新的入侵行為及時(shí)響應(yīng)。 自定義簽名 自定義簽名是管理員根據(jù)網(wǎng)絡(luò)流量特點(diǎn)對(duì)特定的入侵行為自行定義的簽名。

在預(yù)定義簽名以外，管理員出于某種原因要阻止或記錄特定的行為時(shí)創(chuàng)建的。比如，員工使用聊天軟件時(shí)，某些行為（并非預(yù)定義簽名中檢測(cè)的入侵行為，如傳送可執(zhí)行文件容易引起病毒傳播）需要被阻斷，管理員則可根據(jù)行為特征來(lái)創(chuàng)建自定義簽名，動(dòng)作為阻斷，引入到配置文件中。當(dāng)網(wǎng)絡(luò)中某些入侵來(lái)臨，而IPS特征庫(kù)尚未更新的情況下，管理員分析入侵特征后也可創(chuàng)建自定義簽名。而當(dāng)IPS特征庫(kù)更新后，便可使用預(yù)定義簽名。

用戶可以通過(guò)簽名過(guò)濾器對(duì)預(yù)定義簽名進(jìn)行管理，通過(guò)例外簽名對(duì)預(yù)定義簽名、自定義簽名進(jìn)行管理。

簽名過(guò)濾器 由于設(shè)備升級(jí)特征庫(kù)后會(huì)存在大量簽名，而這些簽名是沒(méi)有進(jìn)行分類的，且有些簽名所包含的特征本網(wǎng)絡(luò)中不存在，需過(guò)濾出去，故設(shè)置了簽名過(guò)濾器進(jìn)行管理。管理員分析本網(wǎng)絡(luò)中常出現(xiàn)的威脅的特征，并將含有這些特征的簽名通過(guò)簽名過(guò)濾器提取出來(lái)，防御本網(wǎng)絡(luò)中可能存在的威脅。 簽名過(guò)濾器是滿足指定過(guò)濾條件的簽名集合。簽名過(guò)濾器的過(guò)濾條件包括：簽名的類別、對(duì)象、協(xié)議、嚴(yán)重性、操作系統(tǒng)等。只有同時(shí)滿足所有過(guò)濾條件的簽名才能加入簽名過(guò)濾器中。例如，當(dāng)只需要對(duì)HTTP類型的報(bào)文進(jìn)行入侵防御，可以通過(guò)過(guò)濾條件只加入HTTP協(xié)議的簽名。 簽名過(guò)濾器的動(dòng)作分為阻斷、告警和采用簽名的缺省動(dòng)作。簽名過(guò)濾器的動(dòng)作優(yōu)先級(jí)高于簽名缺省動(dòng)作，當(dāng)簽名過(guò)濾器的動(dòng)作不采用簽名缺省動(dòng)作時(shí)，以簽名過(guò)濾器設(shè)置的動(dòng)作為準(zhǔn)。 各簽名過(guò)濾器之間存在優(yōu)先關(guān)系（按照配置順序，先配置的優(yōu)先）。如果一個(gè)安全配置文件中的兩個(gè)簽名過(guò)濾器包含同一個(gè)簽名，當(dāng)報(bào)文命中此簽名后，設(shè)備將根據(jù)優(yōu)先級(jí)高的簽名過(guò)濾器的動(dòng)作對(duì)報(bào)文進(jìn)行處理。 例外簽名 為了方便管理，簽名過(guò)濾器會(huì)批量過(guò)濾出簽名。如果管理員需要將某些簽名設(shè)置為與簽名過(guò)濾器不同的動(dòng)作時(shí)，可將這些簽名引入到例外簽名中，并單獨(dú)配置動(dòng)作。例如，當(dāng)管理員從日志中查看到某個(gè)攻擊事件需要阻斷，可以將匹配此攻擊的簽名加入到例外簽名中，并設(shè)置動(dòng)作為阻斷。 例外簽名的動(dòng)作分為阻斷、告警和放行。 例外簽名的動(dòng)作優(yōu)先級(jí)高于簽名過(guò)濾器。如果一個(gè)簽名同時(shí)命中例外簽名和簽名過(guò)濾器，則以例外簽名的動(dòng)作為準(zhǔn)。 例如，簽名過(guò)濾器中過(guò)濾出一批符合條件的簽名，且動(dòng)作統(tǒng)一設(shè)置為阻斷。但是員工經(jīng)常使用的某款自研軟件卻被攔截了。觀察日志發(fā)現(xiàn)，用戶經(jīng)常使用的該款自研軟件命中了簽名過(guò)濾器中某個(gè)簽名，被誤阻斷了。此時(shí)管理員可將此簽名引入到例外簽名中，并修改動(dòng)作為放行。

IPS特征庫(kù)升級(jí)

IPS特征庫(kù)的升級(jí)支持增量的在線升級(jí)方式，并且在升級(jí)的過(guò)程中不影響系統(tǒng)的正常業(yè)務(wù)。IPS特征庫(kù)升級(jí)完成后，系統(tǒng)自動(dòng)切換IPS特征庫(kù)版本，不需要重啟設(shè)備。如果在IPS特征庫(kù)版本升級(jí)過(guò)程中發(fā)生異常而導(dǎo)致升級(jí)失敗，系統(tǒng)會(huì)自動(dòng)回退到上一個(gè)IPS庫(kù)版本，也不會(huì)影響系統(tǒng)的正常業(yè)務(wù)。

為了保證對(duì)新的入侵行為及時(shí)響應(yīng)，安全中心平臺(tái)上的IPS特征庫(kù)會(huì)實(shí)時(shí)更新。用戶可以選擇通過(guò)在線升級(jí)或者本地升級(jí)的方式，從安全中心平臺(tái)獲取最新的IPS特征庫(kù)升級(jí)包，以達(dá)到最佳的入侵防御效果。

在線升級(jí)

如果設(shè)備可以正常訪問(wèn)安全中心平臺(tái)，可以通過(guò)安全中心平臺(tái)進(jìn)行在線升級(jí)。 如果設(shè)備無(wú)法與安全中心平臺(tái)連接，內(nèi)網(wǎng)升級(jí)服務(wù)器能夠訪問(wèn)安全中心平臺(tái)時(shí)，可以通過(guò)內(nèi)網(wǎng)升級(jí)服務(wù)器進(jìn)行在線升級(jí)。 用戶使用內(nèi)網(wǎng)服務(wù)器連接安全中心平臺(tái)獲取IPS特征庫(kù)，由內(nèi)網(wǎng)升級(jí)服務(wù)器將升級(jí)文件上傳至設(shè)備進(jìn)行IPS特征庫(kù)的更新。 在線升級(jí)支持定時(shí)升級(jí)和立即升級(jí)。

定時(shí)升級(jí)：用戶只需要指定定時(shí)升級(jí)的時(shí)間，就能實(shí)現(xiàn)IPS特征庫(kù)的及時(shí)自動(dòng)更新和手動(dòng)更新。為了避免由于網(wǎng)絡(luò)狀況不好造成的升級(jí)失敗，建議用戶將定時(shí)升級(jí)的時(shí)間設(shè)置在網(wǎng)絡(luò)流量較小的時(shí)間進(jìn)行。立即升級(jí)：當(dāng)管理員發(fā)現(xiàn)網(wǎng)絡(luò)上出現(xiàn)新的攻擊行為，而設(shè)備的定時(shí)升級(jí)時(shí)間尚未到達(dá)時(shí)，立即執(zhí)行升級(jí)操作，讓設(shè)備可以對(duì)新的攻擊行為進(jìn)行防御。本地升級(jí)：當(dāng)設(shè)備與安全中心平臺(tái)之間網(wǎng)絡(luò)不可達(dá)時(shí)，用戶可以在能夠訪問(wèn)安全中心平臺(tái)的PC上，登錄安全中心平臺(tái)手工下載最新的IPS特征庫(kù)升級(jí)包，然后通過(guò)FTP、TFTP或Web方式將升級(jí)文件上傳至設(shè)備進(jìn)行IPS特征庫(kù)的更新。

IPS對(duì)數(shù)據(jù)流的處理

入侵防御配置文件包含多個(gè)簽名過(guò)濾器和多個(gè)例外簽名。

簽名、簽名過(guò)濾器、例外簽名的關(guān)系如圖1所示。假設(shè)設(shè)備中配置了3個(gè)預(yù)定義簽名，分別為a01、a02、a03，且存在1個(gè)自定義簽名a04。配置文件中創(chuàng)建了2個(gè)簽名過(guò)濾器，簽名過(guò)濾器1可以過(guò)濾出協(xié)議為HTTP、其他項(xiàng)為條件A的簽名a01和a02，動(dòng)作為使用簽名缺省動(dòng)作。簽名過(guò)濾器2可以過(guò)濾出協(xié)議為HTTP和UDP、其他項(xiàng)為條件B的簽名a03和a04，動(dòng)作為告警。另外，2個(gè)配置文件中分別引入1個(gè)例外簽名。例外簽名1中，將簽名a02的動(dòng)作設(shè)置為告警；例外簽名2中，將簽名a04的動(dòng)作設(shè)置為阻斷。

簽名的實(shí)際動(dòng)作由簽名缺省動(dòng)作、簽名過(guò)濾器和例外簽名的動(dòng)作共同決定的，參見圖1中的“簽名實(shí)際動(dòng)作”。

圖1?簽名、簽名過(guò)濾器、例外簽名的關(guān)系

當(dāng)數(shù)據(jù)流命中的安全策略中包含IPS配置文件時(shí)，設(shè)備將數(shù)據(jù)流送到IPS模塊，并依次匹配IPS配置文件引用的簽名。IPS對(duì)數(shù)據(jù)流的通用處理流程請(qǐng)參見圖2。

以圖1中的配置為例，根據(jù)圖2，設(shè)備對(duì)數(shù)據(jù)流處理過(guò)程如下：

數(shù)據(jù)流首先匹配例外簽名，假設(shè)命中了例外簽名1中的a02，則由于例外簽名1的動(dòng)作為告警，跳過(guò)并繼續(xù)匹配簽名過(guò)濾器。假設(shè)命中了簽名過(guò)濾器2中的a04。簽名過(guò)濾器2的動(dòng)作為阻斷，則對(duì)報(bào)文最終處理方式為阻斷。

柚子快報(bào)激活碼778899分享：網(wǎng)絡(luò) IPS原理描述

http://yzkb.51969.com/

推薦文章