用IPS追蹤入侵者系列之“行為處理法”

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

行為處理法的用途

前文介紹了如何通過(guò)IPS入侵防御系統(tǒng)在第一時(shí)間發(fā)現(xiàn)攻擊者以及分析下連設(shè)備主機(jī)漏洞，今天我們繼續(xù)為大家講解入侵防御系統(tǒng)IPS的一大特色功能——行為處理法，通過(guò)行為處理法我們可以更加靈活的選擇入侵防御系統(tǒng)發(fā)現(xiàn)入侵?jǐn)?shù)據(jù)包后采取的措施與行為，這個(gè)特色也是IPS入侵防御系統(tǒng)與IDS入侵檢測(cè)系統(tǒng)最大的區(qū)別。

一、行為處理法的用途：

行為處理法就是針對(duì)不同類(lèi)型的網(wǎng)絡(luò)通訊數(shù)據(jù)包采取不同的轉(zhuǎn)發(fā)和處理策略，例如正常通訊數(shù)據(jù)包可以容許通過(guò)，漏洞攻擊數(shù)據(jù)包直接禁止通行或者轉(zhuǎn)發(fā)到一個(gè)固定的服務(wù)器進(jìn)行分析，一些非常規(guī)數(shù)據(jù)包則首先放行但是對(duì)其進(jìn)行記錄監(jiān)控如果影響正常網(wǎng)絡(luò)服務(wù)就馬上禁用。

通過(guò)行為處理法我們可以輕松應(yīng)對(duì)企業(yè)網(wǎng)絡(luò)通訊中有用的，非法的，不確定的數(shù)據(jù)包，根據(jù)協(xié)議不同功能不同端口不同目的地址的不同采取不同的處理策略。每過(guò)一段時(shí)間我們可以通過(guò)IPS入侵防御系統(tǒng)的日志來(lái)分析各個(gè)類(lèi)型的數(shù)據(jù)包，然后根據(jù)統(tǒng)計(jì)歸納制訂新的行為處理規(guī)則，讓企業(yè)網(wǎng)絡(luò)更加穩(wěn)固的運(yùn)行。

二、用行為處理法追蹤入侵者：

下面我們就來(lái)了解下行為處理法是如何運(yùn)轉(zhuǎn)工作的，我們依舊以華為公司的Tippingpoint入侵防御系統(tǒng)為例進(jìn)行介紹。

(1)行為處理法之配置安全策略：

第一步：登錄到IPS系統(tǒng)管理界面，我們?cè)谧筮呎业絀PS選項(xiàng)下的security profiles，這個(gè)是關(guān)于安全配置的信息，在這里我們能夠看到默認(rèn)的是default security profile，這個(gè)是系統(tǒng)集成時(shí)廠商制訂好的。(如圖1)

第二步：下面我們來(lái)修改這個(gè)默認(rèn)的default security profile，打開(kāi)后會(huì)顯示該安全策略應(yīng)用的接口，由于筆者所在公司只使用了兩個(gè)接口，一個(gè)入一個(gè)出所以這里不用修改。(如圖2)

第三步：接下來(lái)是profile details(advanced)設(shè)置，這里是關(guān)于策略的詳細(xì)信息進(jìn)行配置的。我們可以看到默認(rèn)情況系統(tǒng)針對(duì)各個(gè)攻擊類(lèi)型劃分了類(lèi)別，每個(gè)類(lèi)別是一個(gè)category。可以處理的攻擊包括exploits益出，identity theft，security policy(安全策略)，virus病毒，spyware間諜程序等等，種類(lèi)很多這里就不一一羅列了，對(duì)于每個(gè)大類(lèi)category來(lái)說(shuō)我們都可以設(shè)置IPS操作的行為以及處理方法，包括block禁止通行,block+notify禁止通行并提示,block+notify+trace禁止通行并提示而且追蹤源地址,limit rate to 10M容許速度限制為10M,limit rate to 5M,permit+notify,perminotify+trace容許通行并追蹤數(shù)據(jù)等等?；旧线@里羅列的行為處理方法足夠在實(shí)際中使用了，如果企業(yè)需要特殊的行為處理操作的話可以按照下文介紹的方法添加。這里有一個(gè)recommended的意思是推薦，他表示對(duì)于該大類(lèi)處理方法按照單獨(dú)小類(lèi)進(jìn)行處理，例如virus下有A病毒與B病毒，如果大類(lèi)virus設(shè)置為recommended的話，那么具體到處理AB病毒時(shí)按照A病毒與B病毒自身設(shè)置的行為處理規(guī)則運(yùn)行。(如圖3)

第四步：在該默認(rèn)安全策略的最后一個(gè)區(qū)域就是我們之前提到的針對(duì)單個(gè)種類(lèi)病毒，單個(gè)種類(lèi)的漏洞以及攻擊腳本進(jìn)行策略設(shè)置，理論上小類(lèi)設(shè)置服從大類(lèi)的配置類(lèi)別，如果大類(lèi)設(shè)置為recommended的話按照小類(lèi)的action行為參數(shù)實(shí)施。小類(lèi)行為處理時(shí)可以通過(guò)右邊的編輯選項(xiàng)修改或叉子按鈕刪除該安全類(lèi)別。(如圖4)

第五步：每個(gè)安全規(guī)律規(guī)則都有詳細(xì)的講解內(nèi)容，我們可以從該頁(yè)面了解其運(yùn)行原理以及避免解決辦法。(如圖5)

第六步：針對(duì)單獨(dú)小類(lèi)進(jìn)行設(shè)置可以讓我們的網(wǎng)絡(luò)管理以及IPS入侵防御系統(tǒng)運(yùn)行得更有效率，更加靈活的應(yīng)對(duì)不同安全級(jí)別不同漏洞種類(lèi)的攻擊數(shù)據(jù)包。(如圖6)