入侵防御(IPS)的原理描述(签名、签名过滤器、例外签名)

入侵防御(IPS)的原理描述(签名、签名过滤器、例外签名)
入侵防御是一种安全机制。设备通过分析网络流量来检测入侵,并通过一定的响应方式实时地中止入侵行为。

原理描述
入侵防御通过完善的检测机制对所有通过的报文进行检测分析,并实时决定允许通过或阻断。
入侵防御实现机制
入侵防御的基本实现机制如下:
(1)重组应用数据
FW首先进行IP分片报文重组以及TCP流重组,确保了应用层数据的连续性,有效检测出逃避入侵防御检测的攻击行为。
(2)协议识别和协议解析
FW根据报文内容识别多种常见应用层协议。
识别出报文的协议后,FW根据具体协议分析方案进行更精细的分析,并深入提取报文特征。
与传统FW只能根据IP地址和端口识别协议相比,大大提高了对应用层攻击行为的检测率。
(3)特征匹配
FW将解析后的报文特征与签名进行匹配,如果命中了签名,则进行响应处理。
签名的匹配顺序可参考入侵防御对数据流的处理。
(4)响应处理
完成检测后,FW根据管理员配置的动作对匹配到签名的报文进行处理。

签名
入侵防御签名用来描述网络中攻击行为的特征,FW通过将数据流和入侵防御签名进行比较来检测和防范攻击。
FW的入侵防御签名分为两类:
(1)预定义签名
预定义签名是入侵防御特征库中包含的签名。用户需要购买License才能获得入侵防御特征库,在License生效期间,用户可以从华为安全能力中心平台获取最新的特征库,然后对本地的特征库进行升级。预定义签名的内容是固定的,不能创建、修改或删除。
每个预定义签名都有缺省的动作,分为:
放行:指对命中签名的报文放行,不记录日志。
告警:指对命中签名的报文放行,但记录日志。
阻断:指丢弃命中签名的报文,阻断该报文所在的数据流,并记录日志。
(2)自定义签名
建议只在非常了解攻击特征的情况下才配置自定义签名。因为自定义签名设置错误可能会导致配置无效,甚至导致报文误丢弃或业务中断等问题。
自定义签名是指管理员通过自定义规则创建的签名。新的攻击出现后,其对应的攻击签名通常都会晚一点才会出现。当用户自身对这些新的攻击比较了解时,可以自行创建自定义签名以便实时地防御这些攻击。另外,当用户出于特殊的目的时,也可以创建一些对应的自定义签名。自定义签名创建后,系统会自动对自定义规则的合法性和正则表达式进行检查,避免低效签名浪费系统资源。
自定义签名的动作分为阻断和告警,您可以在创建自定义签名时配置签名的响应动作。

自定义签名和预定义签名没有优先级,当流量同时命中自定义签名和预定义签名时,最终动作以最为严格的签名为准。例如,自定义签名动作为告警,预定义签名动作为阻断,当流量同时命中该自定义签名和预定义签名时,最终动作为阻断。

签名过滤器
由于设备升级特征库后会存在大量签名,而这些签名是没有进行分类的,且有些签名所包含的特征本网络中不存在,需过滤出去,故设置了签名过滤器进行管理。管理员分析本网络中常出现的威胁的特征,并将含有这些特征的签名通过签名过滤器提取出来,防御本网络中可能存在的威胁。
签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括:签名的类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才能加入签名过滤器中。一个过滤条件中如果配置多个值,多个值之间是“或”的关系,只要匹配任意一个值,就认为匹配了这个条件。
签名过滤器的动作分为阻断、告警和采用签名的缺省动作。签名过滤器的动作优先级高于签名缺省动作,当签名过滤器的动作不采用签名缺省动作时,以签名过滤器设置的动作为准。
各签名过滤器之间存在优先关系(按照配置顺序,先配置的优先)。如果一个安全配置文件中的两个签名过滤器包含同一个签名,当报文命中此签名后,设备将根据优先级高的签名过滤器的动作对报文进行处理。


例外签名
由于签名过滤器会批量过滤出签名,且通常为了方便管理设置为统一的动作。如果管理员需要将某些签名设置为与签名过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
例外签名的动作分为阻断、告警、放行和添加黑名单。其中,添加黑名单是指丢弃命中签名的报文,阻断报文所在的数据流,记录日志,并将报文的源地址或目的地址添加至黑名单。
例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器,则以例外签名的动作为准。
例如,签名过滤器中过滤出一批符合条件的签名,且动作统一设置为阻断。但是员工经常使用的某款自研软件却被拦截了。观察日志发现,用户经常使用的该款自研软件命中了签名过滤器中某个签名,被误阻断了。此时管理员可将此签名引入到例外签名中,并修改动作为放行。



1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 入侵防御(IPS)的原理描述(签名、签名过滤器、例外签名)

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!