柚子快報激活碼778899分享：網絡 IPS原理描述

http://yzkb.51969.com/

IPS原理描述

介紹IPS的實現原理。

基本概念

在了解入侵行為檢測的原理之前，您需要知道IPS特征庫、IPS簽名以及安全中心平臺的作用：

IPS特征庫：華為公司通過分析各種常見入侵行為形成了IPS特征庫，該庫對各種常見的入侵行為特征進行了定義，同時為每種入侵行為特征都分配了一個唯一的入侵行為ID。設備加載IPS特征庫后，即可識別出IPS特征庫里已經定義過的入侵行為。安全中心平臺：域名為sec.huawei.com，華為公司部署的服務器，可以為購買License的客戶提供IPS特征庫升級服務。 IPS簽名 IPS簽名用來描述網絡中存在的該入侵行為的特征，及設備需要對其采取的動作。設備通過將報文內容和IPS簽名進行比較，就可以檢測和防范該入侵行為攻擊。 IPS簽名包括預定義簽名和自定義簽名。

預定義簽名 預定義簽名是系統(tǒng)預先定義的大量簽名。預定義簽名已經預先設置了匹配該簽名的簽名動作為阻斷或告警。管理員可以根據預定義簽名對入侵行為進行防范和阻斷。 設備出廠時已加載了預定義簽名庫，即IPS特征庫。為了能夠及時識別出最新的入侵行為，用戶可以購買License并激活，IPS特征庫會定期進行更新，這樣就能夠不斷地從安全中心平臺獲取最新的預定義簽名，以保證對新的入侵行為及時響應。 自定義簽名 自定義簽名是管理員根據網絡流量特點對特定的入侵行為自行定義的簽名。

在預定義簽名以外，管理員出于某種原因要阻止或記錄特定的行為時創(chuàng)建的。比如，員工使用聊天軟件時，某些行為（并非預定義簽名中檢測的入侵行為，如傳送可執(zhí)行文件容易引起病毒傳播）需要被阻斷，管理員則可根據行為特征來創(chuàng)建自定義簽名，動作為阻斷，引入到配置文件中。當網絡中某些入侵來臨，而IPS特征庫尚未更新的情況下，管理員分析入侵特征后也可創(chuàng)建自定義簽名。而當IPS特征庫更新后，便可使用預定義簽名。

用戶可以通過簽名過濾器對預定義簽名進行管理，通過例外簽名對預定義簽名、自定義簽名進行管理。

簽名過濾器 由于設備升級特征庫后會存在大量簽名，而這些簽名是沒有進行分類的，且有些簽名所包含的特征本網絡中不存在，需過濾出去，故設置了簽名過濾器進行管理。管理員分析本網絡中常出現的威脅的特征，并將含有這些特征的簽名通過簽名過濾器提取出來，防御本網絡中可能存在的威脅。 簽名過濾器是滿足指定過濾條件的簽名集合。簽名過濾器的過濾條件包括：簽名的類別、對象、協議、嚴重性、操作系統(tǒng)等。只有同時滿足所有過濾條件的簽名才能加入簽名過濾器中。例如，當只需要對HTTP類型的報文進行入侵防御，可以通過過濾條件只加入HTTP協議的簽名。 簽名過濾器的動作分為阻斷、告警和采用簽名的缺省動作。簽名過濾器的動作優(yōu)先級高于簽名缺省動作，當簽名過濾器的動作不采用簽名缺省動作時，以簽名過濾器設置的動作為準。 各簽名過濾器之間存在優(yōu)先關系（按照配置順序，先配置的優(yōu)先）。如果一個安全配置文件中的兩個簽名過濾器包含同一個簽名，當報文命中此簽名后，設備將根據優(yōu)先級高的簽名過濾器的動作對報文進行處理。 例外簽名 為了方便管理，簽名過濾器會批量過濾出簽名。如果管理員需要將某些簽名設置為與簽名過濾器不同的動作時，可將這些簽名引入到例外簽名中，并單獨配置動作。例如，當管理員從日志中查看到某個攻擊事件需要阻斷，可以將匹配此攻擊的簽名加入到例外簽名中，并設置動作為阻斷。 例外簽名的動作分為阻斷、告警和放行。 例外簽名的動作優(yōu)先級高于簽名過濾器。如果一個簽名同時命中例外簽名和簽名過濾器，則以例外簽名的動作為準。 例如，簽名過濾器中過濾出一批符合條件的簽名，且動作統(tǒng)一設置為阻斷。但是員工經常使用的某款自研軟件卻被攔截了。觀察日志發(fā)現，用戶經常使用的該款自研軟件命中了簽名過濾器中某個簽名，被誤阻斷了。此時管理員可將此簽名引入到例外簽名中，并修改動作為放行。

IPS特征庫升級

IPS特征庫的升級支持增量的在線升級方式，并且在升級的過程中不影響系統(tǒng)的正常業(yè)務。IPS特征庫升級完成后，系統(tǒng)自動切換IPS特征庫版本，不需要重啟設備。如果在IPS特征庫版本升級過程中發(fā)生異常而導致升級失敗，系統(tǒng)會自動回退到上一個IPS庫版本，也不會影響系統(tǒng)的正常業(yè)務。

為了保證對新的入侵行為及時響應，安全中心平臺上的IPS特征庫會實時更新。用戶可以選擇通過在線升級或者本地升級的方式，從安全中心平臺獲取最新的IPS特征庫升級包，以達到最佳的入侵防御效果。

在線升級

如果設備可以正常訪問安全中心平臺，可以通過安全中心平臺進行在線升級。 如果設備無法與安全中心平臺連接，內網升級服務器能夠訪問安全中心平臺時，可以通過內網升級服務器進行在線升級。 用戶使用內網服務器連接安全中心平臺獲取IPS特征庫，由內網升級服務器將升級文件上傳至設備進行IPS特征庫的更新。 在線升級支持定時升級和立即升級。

定時升級：用戶只需要指定定時升級的時間，就能實現IPS特征庫的及時自動更新和手動更新。為了避免由于網絡狀況不好造成的升級失敗，建議用戶將定時升級的時間設置在網絡流量較小的時間進行。立即升級：當管理員發(fā)現網絡上出現新的攻擊行為，而設備的定時升級時間尚未到達時，立即執(zhí)行升級操作，讓設備可以對新的攻擊行為進行防御。本地升級：當設備與安全中心平臺之間網絡不可達時，用戶可以在能夠訪問安全中心平臺的PC上，登錄安全中心平臺手工下載最新的IPS特征庫升級包，然后通過FTP、TFTP或Web方式將升級文件上傳至設備進行IPS特征庫的更新。

IPS對數據流的處理

入侵防御配置文件包含多個簽名過濾器和多個例外簽名。

簽名、簽名過濾器、例外簽名的關系如圖1所示。假設設備中配置了3個預定義簽名，分別為a01、a02、a03，且存在1個自定義簽名a04。配置文件中創(chuàng)建了2個簽名過濾器，簽名過濾器1可以過濾出協議為HTTP、其他項為條件A的簽名a01和a02，動作為使用簽名缺省動作。簽名過濾器2可以過濾出協議為HTTP和UDP、其他項為條件B的簽名a03和a04，動作為告警。另外，2個配置文件中分別引入1個例外簽名。例外簽名1中，將簽名a02的動作設置為告警；例外簽名2中，將簽名a04的動作設置為阻斷。

簽名的實際動作由簽名缺省動作、簽名過濾器和例外簽名的動作共同決定的，參見圖1中的“簽名實際動作”。

圖1?簽名、簽名過濾器、例外簽名的關系

當數據流命中的安全策略中包含IPS配置文件時，設備將數據流送到IPS模塊，并依次匹配IPS配置文件引用的簽名。IPS對數據流的通用處理流程請參見圖2。

以圖1中的配置為例，根據圖2，設備對數據流處理過程如下：

數據流首先匹配例外簽名，假設命中了例外簽名1中的a02，則由于例外簽名1的動作為告警，跳過并繼續(xù)匹配簽名過濾器。假設命中了簽名過濾器2中的a04。簽名過濾器2的動作為阻斷，則對報文最終處理方式為阻斷。

柚子快報激活碼778899分享：網絡 IPS原理描述

http://yzkb.51969.com/

推薦文章