《入侵檢測與防御原理及實(shí)踐（微課版）》 課件 CH3 CISCO IPS

商用入侵防御系統(tǒng)CISCOIPS目錄IPS的部署方式IPS初始化特征定義事件動作規(guī)則異常檢測案例：配置IPS為雜合模式案例：配置IPS為內(nèi)聯(lián)接口對模式案例：配置IPS為內(nèi)聯(lián)VLAN對模式IPS的部署方式1Managementport帶外網(wǎng)管口，用于網(wǎng)管IPS，需要配置IP地址，有路由能力，管理流量（TELNET、HTTPS）從該接口進(jìn)入ConsoleportandAUXport：CLI命令行控制口Ethernetport（業(yè)務(wù)接口）Sensor口，監(jiān)控接口，沒有IP，沒有路由能力，需要被監(jiān)控的流量從此進(jìn)入或流出。IPS接口類型PromiscuousMode（雜合模式，也叫側(cè)掛式）相當(dāng)于IDS，阻斷操作需要聯(lián)動設(shè)備，且需要設(shè)備支持，目前思科IPS僅能聯(lián)動思科設(shè)備，且需要設(shè)備支持。國產(chǎn)IDS也存在這種問題，如綠盟IDS，可以聯(lián)動的設(shè)備僅有天融信與綠盟產(chǎn)品。不能阻止初始化包（有可能初始化包就是一個攻擊），也不能阻止一個連接，比較容易逃避檢查。優(yōu)點(diǎn)是IDS對網(wǎng)絡(luò)影響最小，即使IDS掛機(jī)不影響網(wǎng)絡(luò)正常，業(yè)務(wù)流量即使超過IDS處理能力也僅僅只是放過這些流量不處理，不造成斷網(wǎng)。工作模式InlineMode（內(nèi)聯(lián)模式）純正的IPS。能夠阻止觸發(fā)包、后繼數(shù)據(jù)包及所有源于該主機(jī)的報文，可以使用流量規(guī)范化技術(shù)，可減少或者消除網(wǎng)絡(luò)逃避技術(shù)，也可有效阻止蠕蟲。缺點(diǎn)：會影響網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)速率，減緩流量速度并增加延時。IPS一旦掛機(jī)將斷網(wǎng)，且一旦流量超過了IPS的處理能力將對網(wǎng)絡(luò)正常工作產(chǎn)生影響，且會影響對時間敏感的應(yīng)用程序，如VOIP流量。工作模式InlineMode（內(nèi)聯(lián)模式）（1）接口對模式：2個嗅探接口組成接口對，數(shù)據(jù)包通過IPS的第1個接口進(jìn)入，從第2個接口流出。（2）VLAN對模式：該模式類似于接口對模式，具有擴(kuò)展增強(qiáng)能力，能在物理接口上關(guān)聯(lián)VLAN對。嗅探接口在VLAN對模式中作為802.1g中繼端口，且IPS對中繼端口上的VLAN對進(jìn)行VLAN橋接。被VLAN對其中之一所接收的數(shù)據(jù)包將被分析，然后轉(zhuǎn)發(fā)到其他配對VLAN。（3）VLAN組模式：每個物理接口或內(nèi)部接口都可分成為VLAN組子接口，每個特定的子接口上包含一組VLAN。VLAN組模式提供對同一傳感器應(yīng)用多個策略的能力。VLAN組模式允許傳感器模擬多接口，傳感器可以只有幾個接口，但看上去擁有很多個接口。工作模式注意：IPS處理流量是有限制的，IPS4240流量最大為250M。IPS不太可能部署在流量巨大的核心網(wǎng)絡(luò)，一般IPS會放在企業(yè)網(wǎng)絡(luò)出口邊界。部署位置在邊界上部署應(yīng)該放在邊界設(shè)備內(nèi)部還是外部？只要有錢，內(nèi)外一起放?。?！一般情況只需要一個就足夠了，而且推薦放在內(nèi)部。因?yàn)槿绻獠糠胖每赡軙a(chǎn)生很多無用的告警，比如有攻擊行為產(chǎn)生，可能該攻擊行為在經(jīng)過防火墻時被防火墻過濾掉工作模式可根據(jù)企業(yè)需求進(jìn)行選擇，比如企業(yè)要求上網(wǎng)優(yōu)先，可以選擇側(cè)掛式，若需求更安全則需選擇在線模式。部署位置部署階段1、實(shí)施階段購置IPS并將其按要求接入網(wǎng)絡(luò)sensor幾乎是默認(rèn)配置，沒有任何更改2、調(diào)整階段實(shí)施階段結(jié)束后開始，并且會持續(xù)一段時間，可能在一兩個月左右，通過不斷地調(diào)整sensor來提高告警的準(zhǔn)確性，減少誤報和漏報。網(wǎng)絡(luò)復(fù)雜程度不同，時間也不同，需要了解網(wǎng)絡(luò)流量3、維護(hù)階段主要是升級IPS系統(tǒng)和更新SIG，這個階段是永久持續(xù)的。IPS部署IPS調(diào)整是為了讓IPS更適合用戶網(wǎng)絡(luò)，監(jiān)控告警可以更準(zhǔn)確地判斷某一行為是否嚴(yán)重或造成網(wǎng)絡(luò)安全影響，以便更好地保護(hù)網(wǎng)絡(luò)。調(diào)整前需了解網(wǎng)絡(luò)：（1）自身網(wǎng)絡(luò)的情況，如拓?fù)?、地址空間、操作系統(tǒng)和應(yīng)用程序、安全策略等。（2）需要保護(hù)的設(shè)備，如漏洞掃描程序、重要的服務(wù)器或設(shè)備等。（3）特征庫中所調(diào)整的Signature（特征，簡稱SIG）所監(jiān)控的協(xié)議。（4）區(qū)分網(wǎng)絡(luò)中哪些是正常流量，哪些是異常流量。調(diào)整方法：（1）激活或禁用SIG（2）修改SIG參數(shù)（3）自定義SIG（4）創(chuàng)建eventactionoverrides策略和eventactionfilters策略IPS調(diào)整IPS初始化2GNS3安裝及配置設(shè)置語言（中文）導(dǎo)入IOS鏡像（R、SW、FW等的OS）模擬環(huán)境配置搭建網(wǎng)絡(luò)拓?fù)洌ㄌ砑咏涌谀K并連接）計(jì)算IDLEPC減小CPU使用率關(guān)聯(lián)SecureCRT和Wireshark設(shè)置SecureCRT（alt+序號）字體大小配色方案透明度要求：純英文的路徑關(guān)注CPU的使用率推薦用CLI命令配置基本的參數(shù)初始化IPS后，利用CiscoIPS設(shè)備管理器（IDM）以圖形化界面來實(shí)現(xiàn)管理。2.啟動IPS利用代碼初始化sensor#conft 進(jìn)入配置模式 sensor(config)#servicehost 進(jìn)入主機(jī)配置模式sensor(config-hos)#network-settings 進(jìn)入網(wǎng)絡(luò)配置模式sensor(config-hos-net)#host-nameIPS4215 設(shè)備命名sensor(config-hos-net)#host-ip54/24, 配置管理地址、掩碼及網(wǎng)關(guān)sensor(config-hos-net)#telnet-optionenabled 開啟telnetsensor(config-hos-net)#access-list/24 定義管理網(wǎng)段sensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges?[yes]:yes 保存配置 IPS初始化利用代碼初始化sensor(config)#serviceweb-server 啟動WEB服務(wù)并利用IDM管理IPSsensor(config-web)#enable-tlstrue 允許https的WEB管理sensor(config-web)#port443 開啟網(wǎng)管端口sensor(config-web)#exitApplyChanges?[yes]:yes Warning:Theeditoperationhasnoeffectontherunningconfigurationsensor(config)#exitsensor#copycurrent-configbackup-config 保存IPS的配置 IPS初始化利用setup向?qū)С跏蓟疘PS初始化初始化IPS后，IPS在IP網(wǎng)絡(luò)上便可達(dá)，在瀏覽器地址欄上輸入https://IPS網(wǎng)管接口的IP地址，就可以啟動IDM，以圖形化界面完成其余的配置。IDM配置IPS接口配置3注意：默認(rèn)所有的Sensor接口都是關(guān)閉的，需要激活接口，并將接口指派到virtualsensor配置網(wǎng)絡(luò)配置：交換機(jī)配SPAN，路由器配IPIPS激活指定的特征庫IPS激活監(jiān)控接口并關(guān)聯(lián)virtualsensorICMPping，特征代碼為2000/2004案例：配置IPS為雜合模式網(wǎng)絡(luò)配置交換機(jī)配置SPAN路由器配置IP案例：配置IPS為雜合模式IPS主頁案例：配置IPS為雜合模式激活監(jiān)控接口案例：配置IPS為雜合模式激活特征庫案例：配置IPS為雜合模式關(guān)聯(lián)VirtualSensors案例：配置IPS為雜合模式查看監(jiān)控信息案例：配置IPS為雜合模式案例：配置IPS為內(nèi)聯(lián)接口對模式流量直接穿越IPS，監(jiān)控、記錄并阻止PING包，交換機(jī)配置VLAN配置交換機(jī)配置VLAN，并劃分到接口IPS激活指定的特征庫激活監(jiān)控接口，創(chuàng)建接口對，并關(guān)聯(lián)virtualsensor案例：配置IPS為內(nèi)聯(lián)接口對模式網(wǎng)絡(luò)配置交換機(jī)配置VLAN路由器配置IP案例：配置IPS為內(nèi)聯(lián)接口對模式激活監(jiān)控接口案例：配置IPS為內(nèi)聯(lián)接口對模式創(chuàng)建接口對案例：配置IPS為內(nèi)聯(lián)接口對模式關(guān)聯(lián)VirtualSensors激活特征庫案例：配置IPS為內(nèi)聯(lián)接口對模式效果驗(yàn)證案例：配置IPS為內(nèi)聯(lián)接口對模式BypassAUTO：當(dāng)IPS引擎故障或系統(tǒng)故障時IPS自動進(jìn)入BYPASS模式，使流量不被監(jiān)控OFF：當(dāng)IPS故障，IPS關(guān)閉接口，不處理流量，當(dāng)交換機(jī)發(fā)現(xiàn)接口壞時會更改數(shù)據(jù)轉(zhuǎn)發(fā)路徑。建議網(wǎng)絡(luò)有備用鏈路時使用。ON：在線模式部署方式，關(guān)閉IPS監(jiān)控，直接轉(zhuǎn)發(fā)流量，一般建議排錯情況下使用。IPS的其他接口特性TrafficFlowNotificationsIPS的其他接口特性案例：配置IPS為內(nèi)聯(lián)VLAN對模式流量直接穿越IPS，監(jiān)控、記錄并阻止PING包，交換機(jī)配置VLAN配置交換機(jī)配置VLAN及TRUNK，并劃分到接口IPS激活指定的特征庫激活監(jiān)控接口，創(chuàng)建VLAN對，并關(guān)聯(lián)virtualsensor案例：配置IPS為內(nèi)聯(lián)VLAN對模式交換機(jī)配置VLAN及TRUNK，并劃分到接口案例：配置IPS為內(nèi)聯(lián)VLAN對模式啟用監(jiān)控接口案例：配置IPS為內(nèi)聯(lián)VLAN對模式添加VLAN對案例：配置IPS為內(nèi)聯(lián)VLAN對模式關(guān)聯(lián)到virtualsensor激活特征庫案例：配置IPS為內(nèi)聯(lián)VLAN對模式特征定義（SignatureDefinitions）4CiscoIPS策略的配置包含特征定義（SignatureDefinitions）、事件動作規(guī)則（EventActionRules）和異常檢測（AnomalyDetections）3個部分。（1）特征定義策略：用于定義IPS的特征庫，可以對特征庫中的特征進(jìn)行新增、修改、刪除、啟用/禁用等操作。（2）事件動作規(guī)則策略：主要用于對IPS的調(diào)整，通過創(chuàng)建EventActionOverrides和EventActionFilters策略，以便根據(jù)RiskRating（RR，風(fēng)險等級）來定義增加或減少事件動作。（3）異常檢測策略：用于檢測異常流量，可以在IPS未升級最新的特征策略時抵御蠕蟲病毒等。IPS策略特征（Signature）是對攻擊者進(jìn)行基于網(wǎng)絡(luò)的攻擊時所呈現(xiàn)的網(wǎng)絡(luò)流量模式的描述。當(dāng)檢測到惡意行為時，IPS通過將流量與具體特征對比，監(jiān)控網(wǎng)絡(luò)流量并生成警報。與殺毒軟件模式相同，IPS的特征庫必須保持實(shí)時更新，定期升級。IPS的singnature想讓特征生效必須為Enable，且為Active。系統(tǒng)開機(jī)時自動加載為Active狀態(tài)的特征。即使是Disable的狀態(tài)的也會被加載，只不過當(dāng)匹配數(shù)據(jù)時不做動作而已。Retired狀態(tài)的即是系統(tǒng)開機(jī)時不加載的特征。如果把一個Disable且Acitve狀態(tài)的特征置為Retired狀態(tài)，IPS將會把系統(tǒng)所有的Active狀態(tài)的特征全部刪除并重新加載，杞剛剛置為Retired狀態(tài)的不載進(jìn)去。IPS在加載過程中將消耗大量硬件資源。若工作狀態(tài)的IPS頻繁此操作，將有可能對網(wǎng)絡(luò)造成一定影響。IPS的singnature特征引擎是相似特征的集合的一個分組，每個分組檢測特定類型的行為。CiscoIPS使用特征引擎，通過查找相似的特征，檢查網(wǎng)絡(luò)流量的入侵行為。signatureengine有多種分類，針對不同網(wǎng)絡(luò)情況可選擇不同類型的引擎。每一個engine都有專屬于本engine的特定參數(shù)。配置這些特定的engine參數(shù)，能優(yōu)化signature對網(wǎng)絡(luò)的分析，可為你的網(wǎng)絡(luò)創(chuàng)建新的signature。signature參數(shù)分為普通參數(shù)和特殊參數(shù)Engine為特殊參數(shù)其他參數(shù)均為普通參數(shù)，參數(shù)選項(xiàng)大致相同特征引擎Signatureengine特征引擎的分類：1、ATOMIC2、FLOOD3、SERVICE4、STRING5、SWEEP6、TROJAN7、TRAFFIC8、AIC9、STATE10、META11、NORMALIZER每個引擎的特殊參數(shù)不同，普通參數(shù)所有引擎都相同。特征引擎Signatureengine1、ATOMICEngineATOMIC引擎對一個單一的IP包內(nèi)的特定字段匹配ATOMICARPATOMICIPATOMICIPV6ATOMICADVANCED例：ICMPrequest的類型值為8，replys類型值為0，可抓包。特征引擎Signatureengine協(xié)議號：1：ICMP6：TCP17：UDP47：GRE1、ATOMICEngine例：創(chuàng)建一個SIG，匹配23端口的第一個SYN包，并告警特征引擎Signatureengine2、FLOODengine對泛洪攻擊進(jìn)行防護(hù)FLOODHOST對單個目的主機(jī)泛洪FLOODNET對一個目的網(wǎng)絡(luò)泛洪一個經(jīng)典的ICMP主機(jī)泛洪SIG：2152ICMP請求每秒超過60就告警默認(rèn)被禁用特征引擎Signatureengine3、SERVICEengine針對特定的應(yīng)用層服務(wù)的攻擊1、SERVICEDNS2、SERVICEFTP3、SERVICEGENERIC4、SERVICEGENERICADVANCED5、SERVICEH2256、SERVICEHTTP7、SERVICEIDENT9、SERVICEMSRPC10、SERVICEMSSQL特征引擎Signatureengine11、SERVICENTP12、SERVICERPC13、SERVICESMB14SERVICESMBADVANCED15、SERVICESNMP16、SERVICESSH17、SERVICETNS3、SERVICEengine案例：HTTP特征引擎SignatureengineSERVICEHTTP可對URL中的字段進(jìn)行限制，主要針對URL當(dāng)中URI，ARG，HEADER，REQUEST四個字段進(jìn)行兩種控制，分別為長度及正則表達(dá)式（關(guān)鍵字）匹配。限制長度可以比較有效地防止緩沖區(qū)溢出攻擊。使用如下特定字符可正確匹配相關(guān)字符。1、“^”：表示以特定的字符開始，如^A。2、在“[”右邊使用“^”：表示排除[]內(nèi)部的字符，如[^0-9]。3、“$”：表示必須以$左邊的字符結(jié)尾，如a$。4、“|”表示或者，如Cisco|cisco。5、“[]”：表示[]內(nèi)部字符任意一個，如[Rr]oot。6、“.”：匹配任意一個字符，如A.B。7、“\”：轉(zhuǎn)義符，如：只匹配A.B，其他不要。8、“*”：表示*號左邊的字符出現(xiàn)零次或多次，如A*。9、“+”：表示+號左邊的字符至少出現(xiàn)一次，如+A。10、“?”：表示？號左邊的字符出現(xiàn)零次或一次。正則表達(dá)式4、stringengine對一個流內(nèi)的多個數(shù)據(jù)包緩存，并且通過正則表達(dá)式匹配。經(jīng)典考試案例：TELNET主機(jī)輸入關(guān)鍵字被RESET連接或告警。1、STRINGICMP2、STRINGTCP3、STRINGUDP4、MULTISTRING特征引擎Signatureengine5、Sweepengine掃描引擎，對網(wǎng)絡(luò)掃描進(jìn)行監(jiān)控。一個網(wǎng)絡(luò)，不可能做到拒絕掃描，因?yàn)椴豢赡馨阉蟹?wù)都關(guān)閉，但一般掃描攻擊的報文都會變得不太正常，因此可以部署IPS來發(fā)現(xiàn)掃描。（1）SWEEP普通掃描（2）SWEEPotherTCP特殊TCP包掃描普通掃描一般為正規(guī)掃描，如端口號按順序，IP地址從小到大或從大到小地掃，一般有規(guī)律性。特殊TCP掃描或者特殊掃描則沒有規(guī)律，正常情況IPS很難發(fā)現(xiàn)這是一個掃描攻擊，典型的NMAP掃描工具可做到特殊掃描。如隨機(jī)掃描不同端口，且不在短時間內(nèi)掃描；或者TCP報文SYN與FIN同時被置位的包；或者掃描時間很長，如掃描1-1024端口，掃一個星期或半個月等等，正常情況下都比較難被發(fā)現(xiàn)為掃描攻擊。特征引擎Signatureengine6、METAEngine元特征基于多個獨(dú)立特征，這些特征定義為在很短的時間間隔內(nèi)以相關(guān)方式發(fā)生的事件。不處理數(shù)據(jù)，用于提供事件的關(guān)聯(lián)。主要用來關(guān)聯(lián)一些事件來產(chǎn)生某種告警，如圖所示特征引擎Signatureengine在3秒內(nèi)5個SIG告警，正常人根本不知道為什么，META提供了這一事件的關(guān)聯(lián)，當(dāng)出現(xiàn)這種情況時產(chǎn)生個告警，告訴管理員，3秒內(nèi)出現(xiàn)如上5個告警有可能是出現(xiàn)了NIMDA蠕蟲病毒。7、TRAFFICEngine檢測非標(biāo)準(zhǔn)流量或異常流量，如ICMPTUNNEL，80端口的TELNETTRAFFICICMPTRAFFICAnomaly正常情況ICMP的數(shù)據(jù)位為填充位，沒有意義，一般填充的內(nèi)容是重復(fù)的大寫的ABCD。木馬程序有可能使用ICMP協(xié)議來承載數(shù)據(jù)。目的是為了能夠隱藏這些傳送的數(shù)據(jù)。讓安全設(shè)備或者網(wǎng)管無法發(fā)現(xiàn)這些重要數(shù)據(jù)正在被泄漏。配置TRAFFICICMP可檢測這些ICMP數(shù)據(jù)位，如果發(fā)現(xiàn)填充的數(shù)據(jù)并非正常填充的無意義的數(shù)據(jù)則認(rèn)為這是ICMP流量異常，可有效防止信息泄漏。特征引擎Signatureengine8、AlCEngine（應(yīng)用層監(jiān)控和控制引擎）對FTP與HTTP協(xié)議進(jìn)行徹底的流量分析，實(shí)現(xiàn)應(yīng)用層過濾。AICFTP：檢測FTP流量，控制FTP會話中發(fā)布的命令A(yù)ICHTTP：提供HTTP會話更細(xì)粒度的控制，以防止HTTP協(xié)議弊端，允許管理控制應(yīng)用可以認(rèn)為是IPS的另一種功能，可以讓IPS有防火墻類似的功能對流量進(jìn)行限制。IPS與防火墻在功能上幾乎沒有交集，IPS只做流量監(jiān)控，發(fā)現(xiàn)流量不對或者說匹配了SIG就告警或執(zhí)行某種動作，主要功能還是在于對某些協(xié)議進(jìn)行防御。而防火墻的功能主要在于限制，比如僅能訪問某些特定站點(diǎn)，只能下載某些文件等等，主要對流量訪問作控制及限制。特征引擎Signatureengine9、STATEEngine可對CISCO登陸，遠(yuǎn)程打印，SMTP發(fā)送郵件的特定狀態(tài)的特定字段匹配。作用于發(fā)現(xiàn)發(fā)送的郵件字段中或登陸cisco設(shè)備時的特殊字段。狀態(tài)引擎所具有的隱藏配置文件用于定義狀態(tài)轉(zhuǎn)換，因而新的狀態(tài)定義可運(yùn)行于更新的特征庫。特征引擎Signatureengine10、NORMALIZEREngine規(guī)范化引擎規(guī)范化流量，保障IPS告警更準(zhǔn)確。很多攻擊流量都為不標(biāo)準(zhǔn)的流量，也有很多逃避技術(shù)來逃避檢查?？梢耘渲肐P和TCP標(biāo)準(zhǔn)化功能，為與IP和TCP標(biāo)準(zhǔn)化相關(guān)的特征事件提供配置。IPfragmentationnormalizationTCPnormailization特征引擎Signatureengine11、TROJANEngine:木馬引擎檢測木馬程序的網(wǎng)絡(luò)流量，分析流量中的非標(biāo)準(zhǔn)協(xié)議，如BO2K和TFN2K協(xié)議。TROJANBO2KTORJANTFN2KTROJANUDP木馬程序一般情況都為控制主機(jī)或者竊聽信息，因此木馬程序也會產(chǎn)生一些網(wǎng)絡(luò)流量，可部署IPS來發(fā)現(xiàn)一些木馬程序產(chǎn)生的流量。特征引擎Signatureengine每個特征都有很多參數(shù)，特征的參數(shù)可分為普通參數(shù)和特殊參數(shù)（即引擎參數(shù)）兩種。1）普通參數(shù)2）引擎參數(shù)所有的SIG的普通參數(shù)都是一樣的，只有引擎參數(shù)是不同的！??！特征的參數(shù)所有的SIG的普通參數(shù)都是一樣的，只有引擎參數(shù)是不同的?。。?、SIG定義：Signature普通參數(shù)Sub-ID：子ID號，有可能多種版本的SIG告警嚴(yán)重級別：info，low，medium，hight ASRSIG真實(shí)度：默認(rèn)100，100％真實(shí) SFR雜合增量：用于計(jì)算在線模式和雜合模式的威脅率。默認(rèn)為0，表示兩種模式的威脅相同，配置10則表示在線模式的威脅率要比雜合模式高10。

PD2、SIG描述：Signature普通參數(shù)3、eventcounterSignature普通參數(shù)Eventcounter：只要滿足SIG引擎的參數(shù)配置就會有一個事件，而且會對應(yīng)一個告警。如果該值為10，則需要10個事件才會有一個告警。比如PING，PING了10個包會有10個事件及一個告警。Eventcounterkey：默認(rèn)攻擊者與受害主機(jī)之間一個包觸發(fā)了SIG就告警了，如果eventcount的值為10，則需要10個包的源和目都是這個攻擊者與受害主機(jī)。也可以選擇其他，eventcount的值必須滿足所選的條件才會有告警。3、eventcounterSignature普通參數(shù)SpecifyAlertInterval：告警間隔時間，默認(rèn)為NO，意思為有一個事件就告警，或者有10個事件就告警。而且不管等了多久湊足了10個都會告警。如果配置如上，則表示在60秒內(nèi)，湊足eventcount里配置的個數(shù)就會告警，如eventcount配置為10，interval配置為60，表示在60秒內(nèi)，湊足10個包會告警，如果在這時間內(nèi)沒有湊足10個不告警。4、Alertfrequency告警頻率Signature普通參數(shù)這里面的參數(shù)與eventcount的配置有關(guān)。Summarymode：默認(rèn)ICMP是summarizeFireall：所有都告警，eventcount里面配置的個數(shù)是多少就會有多少個告警條目。Ping100就有100告警Fireonce：在一個時間周期內(nèi)只告警一次，不管有多少攻擊。時間周期聽說是14-15分鐘，思科沒說。Sunmmarize：匯總，默認(rèn)有個intervall間隔時間30秒。當(dāng)?shù)谝粋€包出現(xiàn)，產(chǎn)生告警了，等待30秒后會有一個匯總告警，這個參數(shù)也與eventcount的參數(shù)有關(guān)，如果eventcount設(shè)置為10個，則要10個包出現(xiàn)了才有一個告警，然后等30秒再來個匯總告警，告訴你30秒內(nèi)一共出現(xiàn)了幾個包。4、Alertfrequency告警頻率Signature普通參數(shù)Summarizekey：sunmmarize模式下的參數(shù)。默認(rèn)選項(xiàng)為攻擊者與受害主機(jī)之間。5、Status狀態(tài)Signature普通參數(shù)所有SlG都必須是enable，且為非退休狀態(tài)。VulnerableOSlist：脆弱OS列表。用來匹配該攻擊事件對哪類系統(tǒng)生效。特征的事件動作（EventAction）共有16種，動作可分為如下三大類1、告警與日志行為2、拒絕行為3、其他行為注意：引擎的不同，行為內(nèi)的參數(shù)也不同特征的事件動作1、告警與日志行為Producealert：告警，默認(rèn)所有signature都有這個行為，只是告警。Produceverbosealert：冗長告警，把觸發(fā)告警的流量的抓包文件顯示出來。2004可測Logattackerpackets：將對觸發(fā)告警的包的源主機(jī)lP進(jìn)行日志記錄一段時間Logpairpackets：啟動包含攻擊/受害者地址對的包的P日志記錄。Logvictimpackets：啟動去往受害者地址的包，進(jìn)行日志記錄。RequestSNMPtrap：發(fā)現(xiàn)告是將告警推送一份到SNMP服務(wù)器。特征的事件動作2、拒絕行為（必須為在線模式）DenyPacketInline：觸發(fā)SIG，該報文被拒絕DenyConnectionInline：觸發(fā)SIG且一小時內(nèi)該源目IP及源目端口被拒絕訪問DenyAttackerVictimPairInline：禁止觸發(fā)SIG的包的源至目的流量DenyAttackerServicePairInline：禁止觸發(fā)SIG的包的源去往任意目的的某個端口（目的端口）DenyAttackerInline：觸發(fā)SIG的包的源IP一小時內(nèi)被禁止訪問所有特征的事件動作3、其他行為(IPS的特殊處理，通過與其他設(shè)備聯(lián)動拒絕流量或服務(wù))RequestBlockConnection：觸發(fā)SIG，IPS遠(yuǎn)程連接設(shè)備拒絕該觸發(fā)包的源目IP源目端口連接RequestBlockHost：觸發(fā)SIG，遠(yuǎn)程連接設(shè)備拒絕某個主機(jī)半小時RequestRateLimit：觸發(fā)SIG，限速半小時ResetTCPConnection：觸發(fā)SIG，IPS模擬源目發(fā)送ResetTCP連接。ModifyPacketInline：修改某些報頭位被置位的位。如TCP包前三位默認(rèn)為0，若發(fā)現(xiàn)被置位則IPS修改成默認(rèn)值。特征的事件動作自定義singnature5調(diào)整Signature2004，設(shè)置ICMP告警。需求：1、調(diào)整SIG2004告警級別為最高級2、當(dāng)PING去往目的主機(jī)時告警3、每個事件告警一次4、連續(xù)三個PING包去往時告警5、30s內(nèi)出現(xiàn)6個PING去往時告警6、超過40秒兩個告警時切換到summary7、當(dāng)40秒內(nèi)告警超過5個時切換到global實(shí)驗(yàn)1：調(diào)整SIG2004創(chuàng)建一個新的signature60010，告警級別設(shè)置為高，配置去往23端口服務(wù)，匹配關(guān)鍵字ccie，且字母不區(qū)分大小寫。當(dāng)發(fā)現(xiàn)該關(guān)鍵字時Producealert、ProduceVerboseAlert、LogAttackerPackets、ResetTcpConnect。實(shí)驗(yàn)2：設(shè)置特定報文觸發(fā)告警實(shí)驗(yàn)2：設(shè)置特定報文觸發(fā)告警需求：創(chuàng)建一個自定義signature60011匹配去往目的端口23的SYN包名稱：SYN嚴(yán)重級別：高脆弱OS：IOS當(dāng)匹配該條件時，產(chǎn)生告警并查看抓包信息，并配置LogAttackerPackets。實(shí)驗(yàn)3：觸發(fā)23端口的SYN包需求：創(chuàng)建一個自定義signature60011匹配去往目的端口23的SYN包名稱：SYN嚴(yán)重級別：高脆弱OS：IOS當(dāng)匹配該條件時，產(chǎn)生告警并查看抓包信息，并配置LogAttackerPackets。實(shí)驗(yàn)3：觸發(fā)23端口的SYN包需求：當(dāng)PC在30秒內(nèi)訪問URL/exec/-/show/run/CR或/exec/-/Show/run/CR，show首字母不區(qū)分大小寫，超過三次時，觸發(fā)signature60020名稱：SHOW嚴(yán)重級別：高動作：告警并丟棄該攻擊者后續(xù)報文實(shí)驗(yàn)4：自定義singnature限制訪問URLEventActionRules事件動作規(guī)則6CiscoIPS包含一個名為rules0的默認(rèn)事件動作規(guī)則策略，也可以根據(jù)需要添加新的事件動作規(guī)則。通過事件動作規(guī)則（EventActionRules），用戶可以創(chuàng)建EventActionOverrides（事件動作重寫）、EventActionFilters（事件動作過濾）策略，根據(jù)RiskRating（RR，風(fēng)險等級）的值來增加或減少事件動作，實(shí)現(xiàn)對IPS的調(diào)整。EventActionRules事件動作規(guī)則EventVariables（事件變量）類似于object，方便后續(xù)調(diào)用無需記IP地址EventActionRules事件動作規(guī)則TargetValueRating（TVR，目標(biāo)價值率）可為網(wǎng)絡(luò)設(shè)備指派一個值，用于描述設(shè)備的重要性，用于計(jì)算每一個告警的RR。簡單地講，就是網(wǎng)絡(luò)設(shè)備很多，有重要的服務(wù)器，有不重要的無線路由器或PC，即設(shè)備的重要性不同。當(dāng)有攻擊發(fā)生，且攻擊的對象不同，IPS即可以對這些預(yù)先配置好的TVR值來判斷這條攻擊（告警）是否對網(wǎng)絡(luò)威脅極大。默認(rèn)值為中等MediumEventActionRules事件動作規(guī)則注意：在同一級別中添加多個設(shè)備時，變量與IP地址不能復(fù)合使用。RiskRating（RR，風(fēng)險等級）RiskRating是一個0到100的數(shù)值，用來量化在網(wǎng)絡(luò)在一個特定事件的風(fēng)險程度。該值越高，風(fēng)險越大，告警重要程度越高。計(jì)算公式：EventActionRules事件動作規(guī)則ASR：告警的嚴(yán)重級別。Information（25），low（50），medium（75），high（100）TVR：目標(biāo)價值率。Zero（50），low（75），medium（100），high（150），missioncritical（200），默認(rèn)值為mediumSFR：SIG真實(shí)度。取值0到100，越大越真實(shí)，創(chuàng)建SIG時默認(rèn)提供的值為75。ARR：attackrelevancyrating，攻擊關(guān)聯(lián)率。Relevancy（10），unknown（0），notrelevancy（-10）PD：雜合增量。默認(rèn)情況都為0，在線模式不計(jì)算PD值，雜合模式減10。取值0到30WLR：watchlistrating取值為0到35。關(guān)聯(lián)產(chǎn)品CSAMC，如果一個攻擊，NIPS及HIPS兩個產(chǎn)品都發(fā)現(xiàn)了，CSAMC就會產(chǎn)生一個關(guān)聯(lián)值來讓IPS加分?？珊雎?。

RiskRating（RR，風(fēng)險等級）計(jì)算公式：EventActionRules事件動作規(guī)則測試1：R1#ping測試2：R2#ping

OSIdentifications（操作系統(tǒng)識別）為了計(jì)算RR，需要知道是否有關(guān)聯(lián)上，因此需要知道目標(biāo)操作系統(tǒng)發(fā)現(xiàn)目標(biāo)設(shè)備所使用的操作系統(tǒng)，通過檢測TCP報文的SYN和ACK包的特定字段進(jìn)行判斷。通過報文的序列號或IP頭部字段中的ID位等特殊位來判斷。發(fā)現(xiàn)操作系統(tǒng)的方法有三種：1）手動添加2）自動學(xué)習(xí)3）導(dǎo)入:需要從CSAMC導(dǎo)入，該產(chǎn)品已停用EventActionRules事件動作規(guī)則OSIdentifications（操作系統(tǒng)識別）配置R1為IOS，R2為WINDOWS，同時修改SIG2004的脆弱OS選項(xiàng)為IOS，然后再次PING測試，查看告警RR值。EventActionRules事件動作規(guī)則

R1PINGR2，目的操作系統(tǒng)為window，而告警的脆弱OS為IOS，不匹配，RR值為37R2PINGR1，目的操作系統(tǒng)為IOS，告警的脆弱1OS也為IOS，匹配，RR值為60EventActionOverrides（事件動作重寫）根據(jù)RR的值來定義新的動作，可以根據(jù)不同范圍的RR值來定義。默認(rèn)配置如圖。EventActionRules事件動作規(guī)則默認(rèn)RR值為90-100之間的，即使SIG的動作當(dāng)中只設(shè)置了告警，該報文也會被丟棄?？梢詼y試2004，將其告警嚴(yán)重級別設(shè)置為high，所有PING包都將被DENY，原因是RR值100，會額外添加一個動作，就是上面默認(rèn)配置的DENYPACKET。EventActionOverrides（事件動作重寫）EventActionRules事件動作規(guī)則實(shí)驗(yàn)配置：R1PINGR2，配置RISK20-59，添加動作為produceverbosealertR2PINGR1，配置RISK60-90，添加動作為denyattackerPING測試效果。EventActionFilters（事件動作過濾）與eventactionoverride剛好相反，eventactionoverride是根據(jù)條件添加額外的動作，eventactionfilters是根據(jù)條件來減少動作?？筛鶕?jù)的條件如圖：EventActionRules事件動作規(guī)則EventActionFilters（事件動作過濾）實(shí)驗(yàn)：配置兩個SIG:1、TELNET會話出現(xiàn)CCIE關(guān)鍵字觸發(fā)告警2、發(fā)現(xiàn)finger流量觸發(fā)告警EventActionRules事件動作規(guī)則AnomalyDetection異常檢測7AD是用于檢測感染蠕蟲病毒主機(jī)的一個組件?？梢栽贗PS未升級最新的SIG策略時抵御蠕蟲病毒或紅色代碼病毒。AD組件先在網(wǎng)絡(luò)當(dāng)中學(xué)習(xí)正常流量，當(dāng)網(wǎng)絡(luò)流量突然出現(xiàn)異常時發(fā)生告警或采取相應(yīng)的行為。背景：當(dāng)網(wǎng)絡(luò)中出現(xiàn)了蠕蟲病毒，該病毒會通過郵件或網(wǎng)絡(luò)連接進(jìn)行傳播，傳播過程會占用大量鏈路帶寬；被感染病毒的主機(jī)可能遭受黑客遠(yuǎn)程入侵攻擊或被黑客遠(yuǎn)程控制進(jìn)行網(wǎng)絡(luò)掃描，因此網(wǎng)絡(luò)帶寬同樣會突然上漲，并有可能出現(xiàn)擁塞。此時IPS并沒有做任何的SIG升級，可能并不能夠匹配到這一螺蟲病毒，因此現(xiàn)在的IPS沒任何卵用；為了解決這一問題IPS添加了AD組件，讓IPS先在網(wǎng)絡(luò)中學(xué)習(xí)一段時間，讓IPS知道網(wǎng)絡(luò)在正常的情況下是怎么樣的，當(dāng)網(wǎng)絡(luò)出現(xiàn)了帶寬突然上漲或網(wǎng)絡(luò)掃描的蠕蟲病毒的特征時采取行為。AnomalyDetection異常檢測AD可以檢測的兩種情況遭受蠕蟲病毒流量擁塞被感染的主機(jī)正在掃描其他脆弱主機(jī)AD的工作模式學(xué)習(xí)模式：在最初的24小時中為學(xué)習(xí)模式，在這時間內(nèi)如果沒有出現(xiàn)病毒，IPS就會記錄下現(xiàn)在這種情況，AD會自動創(chuàng)建個初始的在線數(shù)據(jù)庫，記錄網(wǎng)絡(luò)正常情況的基準(zhǔn)線。檢測模式：當(dāng)學(xué)習(xí)模式已過，AD早創(chuàng)建數(shù)據(jù)庫后，IPS就會通過這個數(shù)據(jù)庫來開始檢測網(wǎng)絡(luò)的兩種情況，如果一旦網(wǎng)絡(luò)情況出現(xiàn)了超過正常情況的流量閾值就會告警。需要注意的，在配置時即使直接選擇為檢測模式，在最初的24小時內(nèi)也只是學(xué)習(xí)模式，是不檢測的。inactivemode不激活模式不檢測：當(dāng)網(wǎng)絡(luò)出現(xiàn)了異步路由的情況的時候可以先擇此模式。AnomalyDetection異常檢測AD特性使用zone的概念，zone是一個目的IP地址集，通過把網(wǎng)絡(luò)劃分為不同的zo