《入侵檢測與防御原理及實踐（微課版）》 課件 CH3 CISCO IPS

商用入侵防御系統(tǒng)CISCOIPS目錄IPS的部署方式IPS初始化特征定義事件動作規(guī)則異常檢測案例：配置IPS為雜合模式案例：配置IPS為內(nèi)聯(lián)接口對模式案例：配置IPS為內(nèi)聯(lián)VLAN對模式IPS的部署方式1Managementport帶外網(wǎng)管口，用于網(wǎng)管IPS，需要配置IP地址，有路由能力，管理流量（TELNET、HTTPS）從該接口進入ConsoleportandAUXport：CLI命令行控制口Ethernetport（業(yè)務接口）Sensor口，監(jiān)控接口，沒有IP，沒有路由能力，需要被監(jiān)控的流量從此進入或流出。IPS接口類型PromiscuousMode（雜合模式，也叫側掛式）相當于IDS，阻斷操作需要聯(lián)動設備，且需要設備支持，目前思科IPS僅能聯(lián)動思科設備，且需要設備支持。國產(chǎn)IDS也存在這種問題，如綠盟IDS，可以聯(lián)動的設備僅有天融信與綠盟產(chǎn)品。不能阻止初始化包（有可能初始化包就是一個攻擊），也不能阻止一個連接，比較容易逃避檢查。優(yōu)點是IDS對網(wǎng)絡影響最小，即使IDS掛機不影響網(wǎng)絡正常，業(yè)務流量即使超過IDS處理能力也僅僅只是放過這些流量不處理，不造成斷網(wǎng)。工作模式InlineMode（內(nèi)聯(lián)模式）純正的IPS。能夠阻止觸發(fā)包、后繼數(shù)據(jù)包及所有源于該主機的報文，可以使用流量規(guī)范化技術，可減少或者消除網(wǎng)絡逃避技術，也可有效阻止蠕蟲。缺點：會影響網(wǎng)絡數(shù)據(jù)包的轉發(fā)速率，減緩流量速度并增加延時。IPS一旦掛機將斷網(wǎng)，且一旦流量超過了IPS的處理能力將對網(wǎng)絡正常工作產(chǎn)生影響，且會影響對時間敏感的應用程序，如VOIP流量。工作模式InlineMode（內(nèi)聯(lián)模式）（1）接口對模式：2個嗅探接口組成接口對，數(shù)據(jù)包通過IPS的第1個接口進入，從第2個接口流出。（2）VLAN對模式：該模式類似于接口對模式，具有擴展增強能力，能在物理接口上關聯(lián)VLAN對。嗅探接口在VLAN對模式中作為802.1g中繼端口，且IPS對中繼端口上的VLAN對進行VLAN橋接。被VLAN對其中之一所接收的數(shù)據(jù)包將被分析，然后轉發(fā)到其他配對VLAN。（3）VLAN組模式：每個物理接口或內(nèi)部接口都可分成為VLAN組子接口，每個特定的子接口上包含一組VLAN。VLAN組模式提供對同一傳感器應用多個策略的能力。VLAN組模式允許傳感器模擬多接口，傳感器可以只有幾個接口，但看上去擁有很多個接口。工作模式注意：IPS處理流量是有限制的，IPS4240流量最大為250M。IPS不太可能部署在流量巨大的核心網(wǎng)絡，一般IPS會放在企業(yè)網(wǎng)絡出口邊界。部署位置在邊界上部署應該放在邊界設備內(nèi)部還是外部？只要有錢，內(nèi)外一起放?。?！一般情況只需要一個就足夠了，而且推薦放在內(nèi)部。因為如果外部放置可能會產(chǎn)生很多無用的告警，比如有攻擊行為產(chǎn)生，可能該攻擊行為在經(jīng)過防火墻時被防火墻過濾掉工作模式可根據(jù)企業(yè)需求進行選擇，比如企業(yè)要求上網(wǎng)優(yōu)先，可以選擇側掛式，若需求更安全則需選擇在線模式。部署位置部署階段1、實施階段購置IPS并將其按要求接入網(wǎng)絡sensor幾乎是默認配置，沒有任何更改2、調(diào)整階段實施階段結束后開始，并且會持續(xù)一段時間，可能在一兩個月左右，通過不斷地調(diào)整sensor來提高告警的準確性，減少誤報和漏報。網(wǎng)絡復雜程度不同，時間也不同，需要了解網(wǎng)絡流量3、維護階段主要是升級IPS系統(tǒng)和更新SIG，這個階段是永久持續(xù)的。IPS部署IPS調(diào)整是為了讓IPS更適合用戶網(wǎng)絡，監(jiān)控告警可以更準確地判斷某一行為是否嚴重或造成網(wǎng)絡安全影響，以便更好地保護網(wǎng)絡。調(diào)整前需了解網(wǎng)絡：（1）自身網(wǎng)絡的情況，如拓撲、地址空間、操作系統(tǒng)和應用程序、安全策略等。（2）需要保護的設備，如漏洞掃描程序、重要的服務器或設備等。（3）特征庫中所調(diào)整的Signature（特征，簡稱SIG）所監(jiān)控的協(xié)議。（4）區(qū)分網(wǎng)絡中哪些是正常流量，哪些是異常流量。調(diào)整方法：（1）激活或禁用SIG（2）修改SIG參數(shù)（3）自定義SIG（4）創(chuàng)建eventactionoverrides策略和eventactionfilters策略IPS調(diào)整IPS初始化2GNS3安裝及配置設置語言（中文）導入IOS鏡像（R、SW、FW等的OS）模擬環(huán)境配置搭建網(wǎng)絡拓撲（添加接口模塊并連接）計算IDLEPC減小CPU使用率關聯(lián)SecureCRT和Wireshark設置SecureCRT（alt+序號）字體大小配色方案透明度要求：純英文的路徑關注CPU的使用率推薦用CLI命令配置基本的參數(shù)初始化IPS后，利用CiscoIPS設備管理器（IDM）以圖形化界面來實現(xiàn)管理。2.啟動IPS利用代碼初始化sensor#conft 進入配置模式 sensor(config)#servicehost 進入主機配置模式sensor(config-hos)#network-settings 進入網(wǎng)絡配置模式sensor(config-hos-net)#host-nameIPS4215 設備命名sensor(config-hos-net)#host-ip54/24, 配置管理地址、掩碼及網(wǎng)關sensor(config-hos-net)#telnet-optionenabled 開啟telnetsensor(config-hos-net)#access-list/24 定義管理網(wǎng)段sensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges?[yes]:yes 保存配置 IPS初始化利用代碼初始化sensor(config)#serviceweb-server 啟動WEB服務并利用IDM管理IPSsensor(config-web)#enable-tlstrue 允許https的WEB管理sensor(config-web)#port443 開啟網(wǎng)管端口sensor(config-web)#exitApplyChanges?[yes]:yes Warning:Theeditoperationhasnoeffectontherunningconfigurationsensor(config)#exitsensor#copycurrent-configbackup-config 保存IPS的配置 IPS初始化利用setup向導初始化IPS初始化初始化IPS后，IPS在IP網(wǎng)絡上便可達，在瀏覽器地址欄上輸入https://IPS網(wǎng)管接口的IP地址，就可以啟動IDM，以圖形化界面完成其余的配置。IDM配置IPS接口配置3注意：默認所有的Sensor接口都是關閉的，需要激活接口，并將接口指派到virtualsensor配置網(wǎng)絡配置：交換機配SPAN，路由器配IPIPS激活指定的特征庫IPS激活監(jiān)控接口并關聯(lián)virtualsensorICMPping，特征代碼為2000/2004案例：配置IPS為雜合模式網(wǎng)絡配置交換機配置SPAN路由器配置IP案例：配置IPS為雜合模式IPS主頁案例：配置IPS為雜合模式激活監(jiān)控接口案例：配置IPS為雜合模式激活特征庫案例：配置IPS為雜合模式關聯(lián)VirtualSensors案例：配置IPS為雜合模式查看監(jiān)控信息案例：配置IPS為雜合模式案例：配置IPS為內(nèi)聯(lián)接口對模式流量直接穿越IPS，監(jiān)控、記錄并阻止PING包，交換機配置VLAN配置交換機配置VLAN，并劃分到接口IPS激活指定的特征庫激活監(jiān)控接口，創(chuàng)建接口對，并關聯(lián)virtualsensor案例：配置IPS為內(nèi)聯(lián)接口對模式網(wǎng)絡配置交換機配置VLAN路由器配置IP案例：配置IPS為內(nèi)聯(lián)接口對模式激活監(jiān)控接口案例：配置IPS為內(nèi)聯(lián)接口對模式創(chuàng)建接口對案例：配置IPS為內(nèi)聯(lián)接口對模式關聯(lián)VirtualSensors激活特征庫案例：配置IPS為內(nèi)聯(lián)接口對模式效果驗證案例：配置IPS為內(nèi)聯(lián)接口對模式BypassAUTO：當IPS引擎故障或系統(tǒng)故障時IPS自動進入BYPASS模式，使流量不被監(jiān)控OFF：當IPS故障，IPS關閉接口，不處理流量，當交換機發(fā)現(xiàn)接口壞時會更改數(shù)據(jù)轉發(fā)路徑。建議網(wǎng)絡有備用鏈路時使用。ON：在線模式部署方式，關閉IPS監(jiān)控，直接轉發(fā)流量，一般建議排錯情況下使用。IPS的其他接口特性TrafficFlowNotificationsIPS的其他接口特性案例：配置IPS為內(nèi)聯(lián)VLAN對模式流量直接穿越IPS，監(jiān)控、記錄并阻止PING包，交換機配置VLAN配置交換機配置VLAN及TRUNK，并劃分到接口IPS激活指定的特征庫激活監(jiān)控接口，創(chuàng)建VLAN對，并關聯(lián)virtualsensor案例：配置IPS為內(nèi)聯(lián)VLAN對模式交換機配置VLAN及TRUNK，并劃分到接口案例：配置IPS為內(nèi)聯(lián)VLAN對模式啟用監(jiān)控接口案例：配置IPS為內(nèi)聯(lián)VLAN對模式添加VLAN對案例：配置IPS為內(nèi)聯(lián)VLAN對模式關聯(lián)到virtualsensor激活特征庫案例：配置IPS為內(nèi)聯(lián)VLAN對模式特征定義（SignatureDefinitions）4CiscoIPS策略的配置包含特征定義（SignatureDefinitions）、事件動作規(guī)則（EventActionRules）和異常檢測（AnomalyDetections）3個部分。（1）特征定義策略：用于定義IPS的特征庫，可以對特征庫中的特征進行新增、修改、刪除、啟用/禁用等操作。（2）事件動作規(guī)則策略：主要用于對IPS的調(diào)整，通過創(chuàng)建EventActionOverrides和EventActionFilters策略，以便根據(jù)RiskRating（RR，風險等級）來定義增加或減少事件動作。（3）異常檢測策略：用于檢測異常流量，可以在IPS未升級最新的特征策略時抵御蠕蟲病毒等。IPS策略特征（Signature）是對攻擊者進行基于網(wǎng)絡的攻擊時所呈現(xiàn)的網(wǎng)絡流量模式的描述。當檢測到惡意行為時，IPS通過將流量與具體特征對比，監(jiān)控網(wǎng)絡流量并生成警報。與殺毒軟件模式相同，IPS的特征庫必須保持實時更新，定期升級。IPS的singnature想讓特征生效必須為Enable，且為Active。系統(tǒng)開機時自動加載為Active狀態(tài)的特征。即使是Disable的狀態(tài)的也會被加載，只不過當匹配數(shù)據(jù)時不做動作而已。Retired狀態(tài)的即是系統(tǒng)開機時不加載的特征。如果把一個Disable且Acitve狀態(tài)的特征置為Retired狀態(tài)，IPS將會把系統(tǒng)所有的Active狀態(tài)的特征全部刪除并重新加載，杞剛剛置為Retired狀態(tài)的不載進去。IPS在加載過程中將消耗大量硬件資源。若工作狀態(tài)的IPS頻繁此操作，將有可能對網(wǎng)絡造成一定影響。IPS的singnature特征引擎是相似特征的集合的一個分組，每個分組檢測特定類型的行為。CiscoIPS使用特征引擎，通過查找相似的特征，檢查網(wǎng)絡流量的入侵行為。signatureengine有多種分類，針對不同網(wǎng)絡情況可選擇不同類型的引擎。每一個engine都有專屬于本engine的特定參數(shù)。配置這些特定的engine參數(shù)，能優(yōu)化signature對網(wǎng)絡的分析，可為你的網(wǎng)絡創(chuàng)建新的signature。signature參數(shù)分為普通參數(shù)和特殊參數(shù)Engine為特殊參數(shù)其他參數(shù)均為普通參數(shù)，參數(shù)選項大致相同特征引擎Signatureengine特征引擎的分類：1、ATOMIC2、FLOOD3、SERVICE4、STRING5、SWEEP6、TROJAN7、TRAFFIC8、AIC9、STATE10、META11、NORMALIZER每個引擎的特殊參數(shù)不同，普通參數(shù)所有引擎都相同。特征引擎Signatureengine1、ATOMICEngineATOMIC引擎對一個單一的IP包內(nèi)的特定字段匹配ATOMICARPATOMICIPATOMICIPV6ATOMICADVANCED例：ICMPrequest的類型值為8，replys類型值為0，可抓包。特征引擎Signatureengine協(xié)議號：1：ICMP6：TCP17：UDP47：GRE1、ATOMICEngine例：創(chuàng)建一個SIG，匹配23端口的第一個SYN包，并告警特征引擎Signatureengine2、FLOODengine對泛洪攻擊進行防護FLOODHOST對單個目的主機泛洪FLOODNET對一個目的網(wǎng)絡泛洪一個經(jīng)典的ICMP主機泛洪SIG：2152ICMP請求每秒超過60就告警默認被禁用特征引擎Signatureengine3、SERVICEengine針對特定的應用層服務的攻擊1、SERVICEDNS2、SERVICEFTP3、SERVICEGENERIC4、SERVICEGENERICADVANCED5、SERVICEH2256、SERVICEHTTP7、SERVICEIDENT9、SERVICEMSRPC10、SERVICEMSSQL特征引擎Signatureengine11、SERVICENTP12、SERVICERPC13、SERVICESMB14SERVICESMBADVANCED15、SERVICESNMP16、SERVICESSH17、SERVICETNS3、SERVICEengine案例：HTTP特征引擎SignatureengineSERVICEHTTP可對URL中的字段進行限制，主要針對URL當中URI，ARG，HEADER，REQUEST四個字段進行兩種控制，分別為長度及正則表達式（關鍵字）匹配。限制長度可以比較有效地防止緩沖區(qū)溢出攻擊。使用如下特定字符可正確匹配相關字符。1、“^”：表示以特定的字符開始，如^A。2、在“[”右邊使用“^”：表示排除[]內(nèi)部的字符，如[^0-9]。3、“$”：表示必須以$左邊的字符結尾，如a$。4、“|”表示或者，如Cisco|cisco。5、“[]”：表示[]內(nèi)部字符任意一個，如[Rr]oot。6、“.”：匹配任意一個字符，如A.B。7、“\”：轉義符，如：只匹配A.B，其他不要。8、“*”：表示*號左邊的字符出現(xiàn)零次或多次，如A*。9、“+”：表示+號左邊的字符至少出現(xiàn)一次，如+A。10、“?”：表示？號左邊的字符出現(xiàn)零次或一次。正則表達式4、stringengine對一個流內(nèi)的多個數(shù)據(jù)包緩存，并且通過正則表達式匹配。經(jīng)典考試案例：TELNET主機輸入關鍵字被RESET連接或告警。1、STRINGICMP2、STRINGTCP3、STRINGUDP4、MULTISTRING特征引擎Signatureengine5、Sweepengine掃描引擎，對網(wǎng)絡掃描進行監(jiān)控。一個網(wǎng)絡，不可能做到拒絕掃描，因為不可能把所有服務都關閉，但一般掃描攻擊的報文都會變得不太正常，因此可以部署IPS來發(fā)現(xiàn)掃描。（1）SWEEP普通掃描（2）SWEEPotherTCP特殊TCP包掃描普通掃描一般為正規(guī)掃描，如端口號按順序，IP地址從小到大或從大到小地掃，一般有規(guī)律性。特殊TCP掃描或者特殊掃描則沒有規(guī)律，正常情況IPS很難發(fā)現(xiàn)這是一個掃描攻擊，典型的NMAP掃描工具可做到特殊掃描。如隨機掃描不同端口，且不在短時間內(nèi)掃描；或者TCP報文SYN與FIN同時被置位的包；或者掃描時間很長，如掃描1-1024端口，掃一個星期或半個月等等，正常情況下都比較難被發(fā)現(xiàn)為掃描攻擊。特征引擎Signatureengine6、METAEngine元特征基于多個獨立特征，這些特征定義為在很短的時間間隔內(nèi)以相關方式發(fā)生的事件。不處理數(shù)據(jù)，用于提供事件的關聯(lián)。主要用來關聯(lián)一些事件來產(chǎn)生某種告警，如圖所示特征引擎Signatureengine在3秒內(nèi)5個SIG告警，正常人根本不知道為什么，META提供了這一事件的關聯(lián)，當出現(xiàn)這種情況時產(chǎn)生個告警，告訴管理員，3秒內(nèi)出現(xiàn)如上5個告警有可能是出現(xiàn)了NIMDA蠕蟲病毒。7、TRAFFICEngine檢測非標準流量或異常流量，如ICMPTUNNEL，80端口的TELNETTRAFFICICMPTRAFFICAnomaly正常情況ICMP的數(shù)據(jù)位為填充位，沒有意義，一般填充的內(nèi)容是重復的大寫的ABCD。木馬程序有可能使用ICMP協(xié)議來承載數(shù)據(jù)。目的是為了能夠隱藏這些傳送的數(shù)據(jù)。讓安全設備或者網(wǎng)管無法發(fā)現(xiàn)這些重要數(shù)據(jù)正在被泄漏。配置TRAFFICICMP可檢測這些ICMP數(shù)據(jù)位，如果發(fā)現(xiàn)填充的數(shù)據(jù)并非正常填充的無意義的數(shù)據(jù)則認為這是ICMP流量異常，可有效防止信息泄漏。特征引擎Signatureengine8、AlCEngine（應用層監(jiān)控和控制引擎）對FTP與HTTP協(xié)議進行徹底的流量分析，實現(xiàn)應用層過濾。AICFTP：檢測FTP流量，控制FTP會話中發(fā)布的命令AICHTTP：提供HTTP會話更細粒度的控制，以防止HTTP協(xié)議弊端，允許管理控制應用可以認為是IPS的另一種功能，可以讓IPS有防火墻類似的功能對流量進行限制。IPS與防火墻在功能上幾乎沒有交集，IPS只做流量監(jiān)控，發(fā)現(xiàn)流量不對或者說匹配了SIG就告警或執(zhí)行某種動作，主要功能還是在于對某些協(xié)議進行防御。而防火墻的功能主要在于限制，比如僅能訪問某些特定站點，只能下載某些文件等等，主要對流量訪問作控制及限制。特征引擎Signatureengine9、STATEEngine可對CISCO登陸，遠程打印，SMTP發(fā)送郵件的特定狀態(tài)的特定字段匹配。作用于發(fā)現(xiàn)發(fā)送的郵件字段中或登陸cisco設備時的特殊字段。狀態(tài)引擎所具有的隱藏配置文件用于定義狀態(tài)轉換，因而新的狀態(tài)定義可運行于更新的特征庫。特征引擎Signatureengine10、NORMALIZEREngine規(guī)范化引擎規(guī)范化流量，保障IPS告警更準確。很多攻擊流量都為不標準的流量，也有很多逃避技術來逃避檢查?？梢耘渲肐P和TCP標準化功能，為與IP和TCP標準化相關的特征事件提供配置。IPfragmentationnormalizationTCPnormailization特征引擎Signatureengine11、TROJANEngine:木馬引擎檢測木馬程序的網(wǎng)絡流量，分析流量中的非標準協(xié)議，如BO2K和TFN2K協(xié)議。TROJANBO2KTORJANTFN2KTROJANUDP木馬程序一般情況都為控制主機或者竊聽信息，因此木馬程序也會產(chǎn)生一些網(wǎng)絡流量，可部署IPS來發(fā)現(xiàn)一些木馬程序產(chǎn)生的流量。特征引擎Signatureengine每個特征都有很多參數(shù)，特征的參數(shù)可分為普通參數(shù)和特殊參數(shù)（即引擎參數(shù)）兩種。1）普通參數(shù)2）引擎參數(shù)所有的SIG的普通參數(shù)都是一樣的，只有引擎參數(shù)是不同的?。?！特征的參數(shù)所有的SIG的普通參數(shù)都是一樣的，只有引擎參數(shù)是不同的?。?！1、SIG定義：Signature普通參數(shù)Sub-ID：子ID號，有可能多種版本的SIG告警嚴重級別：info，low，medium，hight ASRSIG真實度：默認100，100％真實 SFR雜合增量：用于計算在線模式和雜合模式的威脅率。默認為0，表示兩種模式的威脅相同，配置10則表示在線模式的威脅率要比雜合模式高10。

PD2、SIG描述：Signature普通參數(shù)3、eventcounterSignature普通參數(shù)Eventcounter：只要滿足SIG引擎的參數(shù)配置就會有一個事件，而且會對應一個告警。如果該值為10，則需要10個事件才會有一個告警。比如PING，PING了10個包會有10個事件及一個告警。Eventcounterkey：默認攻擊者與受害主機之間一個包觸發(fā)了SIG就告警了，如果eventcount的值為10，則需要10個包的源和目都是這個攻擊者與受害主機。也可以選擇其他，eventcount的值必須滿足所選的條件才會有告警。3、eventcounterSignature普通參數(shù)SpecifyAlertInterval：告警間隔時間，默認為NO，意思為有一個事件就告警，或者有10個事件就告警。而且不管等了多久湊足了10個都會告警。如果配置如上，則表示在60秒內(nèi)，湊足eventcount里配置的個數(shù)就會告警，如eventcount配置為10，interval配置為60，表示在60秒內(nèi)，湊足10個包會告警，如果在這時間內(nèi)沒有湊足10個不告警。4、Alertfrequency告警頻率Signature普通參數(shù)這里面的參數(shù)與eventcount的配置有關。Summarymode：默認ICMP是summarizeFireall：所有都告警，eventcount里面配置的個數(shù)是多少就會有多少個告警條目。Ping100就有100告警Fireonce：在一個時間周期內(nèi)只告警一次，不管有多少攻擊。時間周期聽說是14-15分鐘，思科沒說。Sunmmarize：匯總，默認有個intervall間隔時間30秒。當?shù)谝粋€包出現(xiàn)，產(chǎn)生告警了，等待30秒后會有一個匯總告警，這個參數(shù)也與eventcount的參數(shù)有關，如果eventcount設置為10個，則要10個包出現(xiàn)了才有一個告警，然后等30秒再來個匯總告警，告訴你30秒內(nèi)一共出現(xiàn)了幾個包。4、Alertfrequency告警頻率Signature普通參數(shù)Summarizekey：sunmmarize模式下的參數(shù)。默認選項為攻擊者與受害主機之間。5、Status狀態(tài)Signature普通參數(shù)所有SlG都必須是enable，且為非退休狀態(tài)。VulnerableOSlist：脆弱OS列表。用來匹配該攻擊事件對哪類系統(tǒng)生效。特征的事件動作（EventAction）共有16種，動作可分為如下三大類1、告警與日志行為2、拒絕行為3、其他行為注意：引擎的不同，行為內(nèi)的參數(shù)也不同特征的事件動作1、告警與日志行為Producealert：告警，默認所有signature都有這個行為，只是告警。Produceverbosealert：冗長告警，把觸發(fā)告警的流量的抓包文件顯示出來。2004可測Logattackerpackets：將對觸發(fā)告警的包的源主機lP進行日志記錄一段時間Logpairpackets：啟動包含攻擊/受害者地址對的包的P日志記錄。Logvictimpackets：啟動去往受害者地址的包，進行日志記錄。RequestSNMPtrap：發(fā)現(xiàn)告是將告警推送一份到SNMP服務器。特征的事件動作2、拒絕行為（必須為在線模式）DenyPacketInline：觸發(fā)SIG，該報文被拒絕DenyConnectionInline：觸發(fā)SIG且一小時內(nèi)該源目IP及源目端口被拒絕訪問DenyAttackerVictimPairInline：禁止觸發(fā)SIG的包的源至目的流量DenyAttackerServicePairInline：禁止觸發(fā)SIG的包的源去往任意目的的某個端口（目的端口）DenyAttackerInline：觸發(fā)SIG的包的源IP一小時內(nèi)被禁止訪問所有特征的事件動作3、其他行為(IPS的特殊處理，通過與其他設備聯(lián)動拒絕流量或服務)RequestBlockConnection：觸發(fā)SIG，IPS遠程連接設備拒絕該觸發(fā)包的源目IP源目端口連接RequestBlockHost：觸發(fā)SIG，遠程連接設備拒絕某個主機半小時RequestRateLimit：觸發(fā)SIG，限速半小時ResetTCPConnection：觸發(fā)SIG，IPS模擬源目發(fā)送ResetTCP連接。ModifyPacketInline：修改某些報頭位被置位的位。如TCP包前三位默認為0，若發(fā)現(xiàn)被置位則IPS修改成默認值。特征的事件動作自定義singnature5調(diào)整Signature2004，設置ICMP告警。需求：1、調(diào)整SIG2004告警級別為最高級2、當PING去往目的主機時告警3、每個事件告警一次4、連續(xù)三個PING包去往時告警5、30s內(nèi)出現(xiàn)6個PING去往時告警6、超過40秒兩個告警時切換到summary7、當40秒內(nèi)告警超過5個時切換到global實驗1：調(diào)整SIG2004創(chuàng)建一個新的signature60010，告警級別設置為高，配置去往23端口服務，匹配關鍵字ccie，且字母不區(qū)分大小寫。當發(fā)現(xiàn)該關鍵字時Producealert、ProduceVerboseAlert、LogAttackerPackets、ResetTcpConnect。實驗2：設置特定報文觸發(fā)告警實驗2：設置特定報文觸發(fā)告警需求：創(chuàng)建一個自定義signature60011匹配去往目的端口23的SYN包名稱：SYN嚴重級別：高脆弱OS：IOS當匹配該條件時，產(chǎn)生告警并查看抓包信息，并配置LogAttackerPackets。實驗3：觸發(fā)23端口的SYN包需求：創(chuàng)建一個自定義signature60011匹配去往目的端口23的SYN包名稱：SYN嚴重級別：高脆弱OS：IOS當匹配該條件時，產(chǎn)生告警并查看抓包信息，并配置LogAttackerPackets。實驗3：觸發(fā)23端口的SYN包需求：當PC在30秒內(nèi)訪問URL/exec/-/show/run/CR或/exec/-/Show/run/CR，show首字母不區(qū)分大小寫，超過三次時，觸發(fā)signature60020名稱：SHOW嚴重級別：高動作：告警并丟棄該攻擊者后續(xù)報文實驗4：自定義singnature限制訪問URLEventActionRules事件動作規(guī)則6CiscoIPS包含一個名為rules0的默認事件動作規(guī)則策略，也可以根據(jù)需要添加新的事件動作規(guī)則。通過事件動作規(guī)則（EventActionRules），用戶可以創(chuàng)建EventActionOverrides（事件動作重寫）、EventActionFilters（事件動作過濾）策略，根據(jù)RiskRating（RR，風險等級）的值來增加或減少事件動作，實現(xiàn)對IPS的調(diào)整。EventActionRules事件動作規(guī)則EventVariables（事件變量）類似于object，方便后續(xù)調(diào)用無需記IP地址EventActionRules事件動作規(guī)則TargetValueRating（TVR，目標價值率）可為網(wǎng)絡設備指派一個值，用于描述設備的重要性，用于計算每一個告警的RR。簡單地講，就是網(wǎng)絡設備很多，有重要的服務器，有不重要的無線路由器或PC，即設備的重要性不同。當有攻擊發(fā)生，且攻擊的對象不同，IPS即可以對這些預先配置好的TVR值來判斷這條攻擊（告警）是否對網(wǎng)絡威脅極大。默認值為中等MediumEventActionRules事件動作規(guī)則注意：在同一級別中添加多個設備時，變量與IP地址不能復合使用。RiskRating（RR，風險等級）RiskRating是一個0到100的數(shù)值，用來量化在網(wǎng)絡在一個特定事件的風險程度。該值越高，風險越大，告警重要程度越高。計算公式：EventActionRules事件動作規(guī)則ASR：告警的嚴重級別。Information（25），low（50），medium（75），high（100）TVR：目標價值率。Zero（50），low（75），medium（100），high（150），missioncritical（200），默認值為mediumSFR：SIG真實度。取值0到100，越大越真實，創(chuàng)建SIG時默認提供的值為75。ARR：attackrelevancyrating，攻擊關聯(lián)率。Relevancy（10），unknown（0），notrelevancy（-10）PD：雜合增量。默認情況都為0，在線模式不計算PD值，雜合模式減10。取值0到30WLR：watchlistrating取值為0到35。關聯(lián)產(chǎn)品CSAMC，如果一個攻擊，NIPS及HIPS兩個產(chǎn)品都發(fā)現(xiàn)了，CSAMC就會產(chǎn)生一個關聯(lián)值來讓IPS加分?？珊雎浴?/p>

RiskRating（RR，風險等級）計算公式：EventActionRules事件動作規(guī)則測試1：R1#ping測試2：R2#ping

OSIdentifications（操作系統(tǒng)識別）為了計算RR，需要知道是否有關聯(lián)上，因此需要知道目標操作系統(tǒng)發(fā)現(xiàn)目標設備所使用的操作系統(tǒng)，通過檢測TCP報文的SYN和ACK包的特定字段進行判斷。通過報文的序列號或IP頭部字段中的ID位等特殊位來判斷。發(fā)現(xiàn)操作系統(tǒng)的方法有三種：1）手動添加2）自動學習3）導入:需要從CSAMC導入，該產(chǎn)品已停用EventActionRules事件動作規(guī)則OSIdentifications（操作系統(tǒng)識別）配置R1為IOS，R2為WINDOWS，同時修改SIG2004的脆弱OS選項為IOS，然后再次PING測試，查看告警RR值。EventActionRules事件動作規(guī)則

R1PINGR2，目的操作系統(tǒng)為window，而告警的脆弱OS為IOS，不匹配，RR值為37R2PINGR1，目的操作系統(tǒng)為IOS，告警的脆弱1OS也為IOS，匹配，RR值為60EventActionOverrides（事件動作重寫）根據(jù)RR的值來定義新的動作，可以根據(jù)不同范圍的RR值來定義。默認配置如圖。EventActionRules事件動作規(guī)則默認RR值為90-100之間的，即使SIG的動作當中只設置了告警，該報文也會被丟棄?？梢詼y試2004，將其告警嚴重級別設置為high，所有PING包都將被DENY，原因是RR值100，會額外添加一個動作，就是上面默認配置的DENYPACKET。EventActionOverrides（事件動作重寫）EventActionRules事件動作規(guī)則實驗配置：R1PINGR2，配置RISK20-59，添加動作為produceverbosealertR2PINGR1，配置RISK60-90，添加動作為denyattackerPING測試效果。EventActionFilters（事件動作過濾）與eventactionoverride剛好相反，eventactionoverride是根據(jù)條件添加額外的動作，eventactionfilters是根據(jù)條件來減少動作。可根據(jù)的條件如圖：EventActionRules事件動作規(guī)則EventActionFilters（事件動作過濾）實驗：配置兩個SIG:1、TELNET會話出現(xiàn)CCIE關鍵字觸發(fā)告警2、發(fā)現(xiàn)finger流量觸發(fā)告警EventActionRules事件動作規(guī)則AnomalyDetection異常檢測7AD是用于檢測感染蠕蟲病毒主機的一個組件。可以在IPS未升級最新的SIG策略時抵御蠕蟲病毒或紅色代碼病毒。AD組件先在網(wǎng)絡當中學習正常流量，當網(wǎng)絡流量突然出現(xiàn)異常時發(fā)生告警或采取相應的行為。背景：當網(wǎng)絡中出現(xiàn)了蠕蟲病毒，該病毒會通過郵件或網(wǎng)絡連接進行傳播，傳播過程會占用大量鏈路帶寬；被感染病毒的主機可能遭受黑客遠程入侵攻擊或被黑客遠程控制進行網(wǎng)絡掃描，因此網(wǎng)絡帶寬同樣會突然上漲，并有可能出現(xiàn)擁塞。此時IPS并沒有做任何的SIG升級，可能并不能夠匹配到這一螺蟲病毒，因此現(xiàn)在的IPS沒任何卵用；為了解決這一問題IPS添加了AD組件，讓IPS先在網(wǎng)絡中學習一段時間，讓IPS知道網(wǎng)絡在正常的情況下是怎么樣的，當網(wǎng)絡出現(xiàn)了帶寬突然上漲或網(wǎng)絡掃描的蠕蟲病毒的特征時采取行為。AnomalyDetection異常檢測AD可以檢測的兩種情況遭受蠕蟲病毒流量擁塞被感染的主機正在掃描其他脆弱主機AD的工作模式學習模式：在最初的24小時中為學習模式，在這時間內(nèi)如果沒有出現(xiàn)病毒，IPS就會記錄下現(xiàn)在這種情況，AD會自動創(chuàng)建個初始的在線數(shù)據(jù)庫，記錄網(wǎng)絡正常情況的基準線。檢測模式：當學習模式已過，AD早創(chuàng)建數(shù)據(jù)庫后，IPS就會通過這個數(shù)據(jù)庫來開始檢測網(wǎng)絡的兩種情況，如果一旦網(wǎng)絡情況出現(xiàn)了超過正常情況的流量閾值就會告警。需要注意的，在配置時即使直接選擇為檢測模式，在最初的24小時內(nèi)也只是學習模式，是不檢測的。inactivemode不激活模式不檢測：當網(wǎng)絡出現(xiàn)了異步路由的情況的時候可以先擇此模式。AnomalyDetection異常檢測AD特性使用zone的概念，zone是一個目的IP地址集，通過把網(wǎng)絡劃分為不同的zo