《入侵检测与防御原理及实践（微课版）》 课件 CH3 CISCO IPS

商用入侵防御系统CISCOIPS目录IPS的部署方式IPS初始化特征定义事件动作规则异常检测案例：配置IPS为杂合模式案例：配置IPS为内联接口对模式案例：配置IPS为内联VLAN对模式IPS的部署方式1Managementport带外网管口，用于网管IPS，需要配置IP地址，有路由能力，管理流量（TELNET、HTTPS）从该接口进入ConsoleportandAUXport：CLI命令行控制口Ethernetport（业务接口）Sensor口，监控接口，没有IP，没有路由能力，需要被监控的流量从此进入或流出。IPS接口类型PromiscuousMode（杂合模式，也叫侧挂式）相当于IDS，阻断操作需要联动设备，且需要设备支持，目前思科IPS仅能联动思科设备，且需要设备支持。国产IDS也存在这种问题，如绿盟IDS，可以联动的设备仅有天融信与绿盟产品。不能阻止初始化包（有可能初始化包就是一个攻击），也不能阻止一个连接，比较容易逃避检查。优点是IDS对网络影响最小，即使IDS挂机不影响网络正常，业务流量即使超过IDS处理能力也仅仅只是放过这些流量不处理，不造成断网。工作模式InlineMode（内联模式）纯正的IPS。能够阻止触发包、后继数据包及所有源于该主机的报文，可以使用流量规范化技术，可减少或者消除网络逃避技术，也可有效阻止蠕虫。缺点：会影响网络数据包的转发速率，减缓流量速度并增加延时。IPS一旦挂机将断网，且一旦流量超过了IPS的处理能力将对网络正常工作产生影响，且会影响对时间敏感的应用程序，如VOIP流量。工作模式InlineMode（内联模式）（1）接口对模式：2个嗅探接口组成接口对，数据包通过IPS的第1个接口进入，从第2个接口流出。（2）VLAN对模式：该模式类似于接口对模式，具有扩展增强能力，能在物理接口上关联VLAN对。嗅探接口在VLAN对模式中作为802.1g中继端口，且IPS对中继端口上的VLAN对进行VLAN桥接。被VLAN对其中之一所接收的数据包将被分析，然后转发到其他配对VLAN。（3）VLAN组模式：每个物理接口或内部接口都可分成为VLAN组子接口，每个特定的子接口上包含一组VLAN。VLAN组模式提供对同一传感器应用多个策略的能力。VLAN组模式允许传感器模拟多接口，传感器可以只有几个接口，但看上去拥有很多个接口。工作模式注意：IPS处理流量是有限制的，IPS4240流量最大为250M。IPS不太可能部署在流量巨大的核心网络，一般IPS会放在企业网络出口边界。部署位置在边界上部署应该放在边界设备内部还是外部？只要有钱，内外一起放！！！一般情况只需要一个就足够了，而且推荐放在内部。因为如果外部放置可能会产生很多无用的告警，比如有攻击行为产生，可能该攻击行为在经过防火墙时被防火墙过滤掉工作模式可根据企业需求进行选择，比如企业要求上网优先，可以选择侧挂式，若需求更安全则需选择在线模式。部署位置部署阶段1、实施阶段购置IPS并将其按要求接入网络sensor几乎是默认配置，没有任何更改2、调整阶段实施阶段结束后开始，并且会持续一段时间，可能在一两个月左右，通过不断地调整sensor来提高告警的准确性，减少误报和漏报。网络复杂程度不同，时间也不同，需要了解网络流量3、维护阶段主要是升级IPS系统和更新SIG，这个阶段是永久持续的。IPS部署IPS调整是为了让IPS更适合用户网络，监控告警可以更准确地判断某一行为是否严重或造成网络安全影响，以便更好地保护网络。调整前需了解网络：（1）自身网络的情况，如拓扑、地址空间、操作系统和应用程序、安全策略等。（2）需要保护的设备，如漏洞扫描程序、重要的服务器或设备等。（3）特征库中所调整的Signature（特征，简称SIG）所监控的协议。（4）区分网络中哪些是正常流量，哪些是异常流量。调整方法：（1）激活或禁用SIG（2）修改SIG参数（3）自定义SIG（4）创建eventactionoverrides策略和eventactionfilters策略IPS调整IPS初始化2GNS3安装及配置设置语言（中文）导入IOS镜像（R、SW、FW等的OS）模拟环境配置搭建网络拓扑（添加接口模块并连接）计算IDLEPC减小CPU使用率关联SecureCRT和Wireshark设置SecureCRT（alt+序号）字体大小配色方案透明度要求：纯英文的路径关注CPU的使用率推荐用CLI命令配置基本的参数初始化IPS后，利用CiscoIPS设备管理器（IDM）以图形化界面来实现管理。2.启动IPS利用代码初始化sensor#conft 进入配置模式 sensor(config)#servicehost 进入主机配置模式sensor(config-hos)#network-settings 进入网络配置模式sensor(config-hos-net)#host-nameIPS4215 设备命名sensor(config-hos-net)#host-ip54/24, 配置管理地址、掩码及网关sensor(config-hos-net)#telnet-optionenabled 开启telnetsensor(config-hos-net)#access-list/24 定义管理网段sensor(config-hos-net)#exitsensor(config-hos)#exitApplyChanges?[yes]:yes 保存配置 IPS初始化利用代码初始化sensor(config)#serviceweb-server 启动WEB服务并利用IDM管理IPSsensor(config-web)#enable-tlstrue 允许https的WEB管理sensor(config-web)#port443 开启网管端口sensor(config-web)#exitApplyChanges?[yes]:yes Warning:Theeditoperationhasnoeffectontherunningconfigurationsensor(config)#exitsensor#copycurrent-configbackup-config 保存IPS的配置 IPS初始化利用setup向导初始化IPS初始化初始化IPS后，IPS在IP网络上便可达，在浏览器地址栏上输入https://IPS网管接口的IP地址，就可以启动IDM，以图形化界面完成其余的配置。IDM配置IPS接口配置3注意：默认所有的Sensor接口都是关闭的，需要激活接口，并将接口指派到virtualsensor配置网络配置：交换机配SPAN，路由器配IPIPS激活指定的特征库IPS激活监控接口并关联virtualsensorICMPping，特征代码为2000/2004案例：配置IPS为杂合模式网络配置交换机配置SPAN路由器配置IP案例：配置IPS为杂合模式IPS主页案例：配置IPS为杂合模式激活监控接口案例：配置IPS为杂合模式激活特征库案例：配置IPS为杂合模式关联VirtualSensors案例：配置IPS为杂合模式查看监控信息案例：配置IPS为杂合模式案例：配置IPS为内联接口对模式流量直接穿越IPS，监控、记录并阻止PING包，交换机配置VLAN配置交换机配置VLAN，并划分到接口IPS激活指定的特征库激活监控接口，创建接口对，并关联virtualsensor案例：配置IPS为内联接口对模式网络配置交换机配置VLAN路由器配置IP案例：配置IPS为内联接口对模式激活监控接口案例：配置IPS为内联接口对模式创建接口对案例：配置IPS为内联接口对模式关联VirtualSensors激活特征库案例：配置IPS为内联接口对模式效果验证案例：配置IPS为内联接口对模式BypassAUTO：当IPS引擎故障或系统故障时IPS自动进入BYPASS模式，使流量不被监控OFF：当IPS故障，IPS关闭接口，不处理流量，当交换机发现接口坏时会更改数据转发路径。建议网络有备用链路时使用。ON：在线模式部署方式，关闭IPS监控，直接转发流量，一般建议排错情况下使用。IPS的其他接口特性TrafficFlowNotificationsIPS的其他接口特性案例：配置IPS为内联VLAN对模式流量直接穿越IPS，监控、记录并阻止PING包，交换机配置VLAN配置交换机配置VLAN及TRUNK，并划分到接口IPS激活指定的特征库激活监控接口，创建VLAN对，并关联virtualsensor案例：配置IPS为内联VLAN对模式交换机配置VLAN及TRUNK，并划分到接口案例：配置IPS为内联VLAN对模式启用监控接口案例：配置IPS为内联VLAN对模式添加VLAN对案例：配置IPS为内联VLAN对模式关联到virtualsensor激活特征库案例：配置IPS为内联VLAN对模式特征定义（SignatureDefinitions）4CiscoIPS策略的配置包含特征定义（SignatureDefinitions）、事件动作规则（EventActionRules）和异常检测（AnomalyDetections）3个部分。（1）特征定义策略：用于定义IPS的特征库，可以对特征库中的特征进行新增、修改、删除、启用/禁用等操作。（2）事件动作规则策略：主要用于对IPS的调整，通过创建EventActionOverrides和EventActionFilters策略，以便根据RiskRating（RR，风险等级）来定义增加或减少事件动作。（3）异常检测策略：用于检测异常流量，可以在IPS未升级最新的特征策略时抵御蠕虫病毒等。IPS策略特征（Signature）是对攻击者进行基于网络的攻击时所呈现的网络流量模式的描述。当检测到恶意行为时，IPS通过将流量与具体特征对比，监控网络流量并生成警报。与杀毒软件模式相同，IPS的特征库必须保持实时更新，定期升级。IPS的singnature想让特征生效必须为Enable，且为Active。系统开机时自动加载为Active状态的特征。即使是Disable的状态的也会被加载，只不过当匹配数据时不做动作而已。Retired状态的即是系统开机时不加载的特征。如果把一个Disable且Acitve状态的特征置为Retired状态，IPS将会把系统所有的Active状态的特征全部删除并重新加载，杞刚刚置为Retired状态的不载进去。IPS在加载过程中将消耗大量硬件资源。若工作状态的IPS频繁此操作，将有可能对网络造成一定影响。IPS的singnature特征引擎是相似特征的集合的一个分组，每个分组检测特定类型的行为。CiscoIPS使用特征引擎，通过查找相似的特征，检查网络流量的入侵行为。signatureengine有多种分类，针对不同网络情况可选择不同类型的引擎。每一个engine都有专属于本engine的特定参数。配置这些特定的engine参数，能优化signature对网络的分析，可为你的网络创建新的signature。signature参数分为普通参数和特殊参数Engine为特殊参数其他参数均为普通参数，参数选项大致相同特征引擎Signatureengine特征引擎的分类：1、ATOMIC2、FLOOD3、SERVICE4、STRING5、SWEEP6、TROJAN7、TRAFFIC8、AIC9、STATE10、META11、NORMALIZER每个引擎的特殊参数不同，普通参数所有引擎都相同。特征引擎Signatureengine1、ATOMICEngineATOMIC引擎对一个单一的IP包内的特定字段匹配ATOMICARPATOMICIPATOMICIPV6ATOMICADVANCED例：ICMPrequest的类型值为8，replys类型值为0，可抓包。特征引擎Signatureengine协议号：1：ICMP6：TCP17：UDP47：GRE1、ATOMICEngine例：创建一个SIG，匹配23端口的第一个SYN包，并告警特征引擎Signatureengine2、FLOODengine对泛洪攻击进行防护FLOODHOST对单个目的主机泛洪FLOODNET对一个目的网络泛洪一个经典的ICMP主机泛洪SIG：2152ICMP请求每秒超过60就告警默认被禁用特征引擎Signatureengine3、SERVICEengine针对特定的应用层服务的攻击1、SERVICEDNS2、SERVICEFTP3、SERVICEGENERIC4、SERVICEGENERICADVANCED5、SERVICEH2256、SERVICEHTTP7、SERVICEIDENT9、SERVICEMSRPC10、SERVICEMSSQL特征引擎Signatureengine11、SERVICENTP12、SERVICERPC13、SERVICESMB14SERVICESMBADVANCED15、SERVICESNMP16、SERVICESSH17、SERVICETNS3、SERVICEengine案例：HTTP特征引擎SignatureengineSERVICEHTTP可对URL中的字段进行限制，主要针对URL当中URI，ARG，HEADER，REQUEST四个字段进行两种控制，分别为长度及正则表达式（关键字）匹配。限制长度可以比较有效地防止缓冲区溢出攻击。使用如下特定字符可正确匹配相关字符。1、“^”：表示以特定的字符开始，如^A。2、在“[”右边使用“^”：表示排除[]内部的字符，如[^0-9]。3、“$”：表示必须以$左边的字符结尾，如a$。4、“|”表示或者，如Cisco|cisco。5、“[]”：表示[]内部字符任意一个，如[Rr]oot。6、“.”：匹配任意一个字符，如A.B。7、“\”：转义符，如：只匹配A.B，其他不要。8、“*”：表示*号左边的字符出现零次或多次，如A*。9、“+”：表示+号左边的字符至少出现一次，如+A。10、“?”：表示？号左边的字符出现零次或一次。正则表达式4、stringengine对一个流内的多个数据包缓存，并且通过正则表达式匹配。经典考试案例：TELNET主机输入关键字被RESET连接或告警。1、STRINGICMP2、STRINGTCP3、STRINGUDP4、MULTISTRING特征引擎Signatureengine5、Sweepengine扫描引擎，对网络扫描进行监控。一个网络，不可能做到拒绝扫描，因为不可能把所有服务都关闭，但一般扫描攻击的报文都会变得不太正常，因此可以部署IPS来发现扫描。（1）SWEEP普通扫描（2）SWEEPotherTCP特殊TCP包扫描普通扫描一般为正规扫描，如端口号按顺序，IP地址从小到大或从大到小地扫，一般有规律性。特殊TCP扫描或者特殊扫描则没有规律，正常情况IPS很难发现这是一个扫描攻击，典型的NMAP扫描工具可做到特殊扫描。如随机扫描不同端口，且不在短时间内扫描；或者TCP报文SYN与FIN同时被置位的包；或者扫描时间很长，如扫描1-1024端口，扫一个星期或半个月等等，正常情况下都比较难被发现为扫描攻击。特征引擎Signatureengine6、METAEngine元特征基于多个独立特征，这些特征定义为在很短的时间间隔内以相关方式发生的事件。不处理数据，用于提供事件的关联。主要用来关联一些事件来产生某种告警，如图所示特征引擎Signatureengine在3秒内5个SIG告警，正常人根本不知道为什么，META提供了这一事件的关联，当出现这种情况时产生个告警，告诉管理员，3秒内出现如上5个告警有可能是出现了NIMDA蠕虫病毒。7、TRAFFICEngine检测非标准流量或异常流量，如ICMPTUNNEL，80端口的TELNETTRAFFICICMPTRAFFICAnomaly正常情况ICMP的数据位为填充位，没有意义，一般填充的内容是重复的大写的ABCD。木马程序有可能使用ICMP协议来承载数据。目的是为了能够隐藏这些传送的数据。让安全设备或者网管无法发现这些重要数据正在被泄漏。配置TRAFFICICMP可检测这些ICMP数据位，如果发现填充的数据并非正常填充的无意义的数据则认为这是ICMP流量异常，可有效防止信息泄漏。特征引擎Signatureengine8、AlCEngine（应用层监控和控制引擎）对FTP与HTTP协议进行彻底的流量分析，实现应用层过滤。AICFTP：检测FTP流量，控制FTP会话中发布的命令AICHTTP：提供HTTP会话更细粒度的控制，以防止HTTP协议弊端，允许管理控制应用可以认为是IPS的另一种功能，可以让IPS有防火墙类似的功能对流量进行限制。IPS与防火墙在功能上几乎没有交集，IPS只做流量监控，发现流量不对或者说匹配了SIG就告警或执行某种动作，主要功能还是在于对某些协议进行防御。而防火墙的功能主要在于限制，比如仅能访问某些特定站点，只能下载某些文件等等，主要对流量访问作控制及限制。特征引擎Signatureengine9、STATEEngine可对CISCO登陆，远程打印，SMTP发送邮件的特定状态的特定字段匹配。作用于发现发送的邮件字段中或登陆cisco设备时的特殊字段。状态引擎所具有的隐藏配置文件用于定义状态转换，因而新的状态定义可运行于更新的特征库。特征引擎Signatureengine10、NORMALIZEREngine规范化引擎规范化流量，保障IPS告警更准确。很多攻击流量都为不标准的流量，也有很多逃避技术来逃避检查。可以配置IP和TCP标准化功能，为与IP和TCP标准化相关的特征事件提供配置。IPfragmentationnormalizationTCPnormailization特征引擎Signatureengine11、TROJANEngine:木马引擎检测木马程序的网络流量，分析流量中的非标准协议，如BO2K和TFN2K协议。TROJANBO2KTORJANTFN2KTROJANUDP木马程序一般情况都为控制主机或者窃听信息，因此木马程序也会产生一些网络流量，可部署IPS来发现一些木马程序产生的流量。特征引擎Signatureengine每个特征都有很多参数，特征的参数可分为普通参数和特殊参数（即引擎参数）两种。1）普通参数2）引擎参数所有的SIG的普通参数都是一样的，只有引擎参数是不同的！！！特征的参数所有的SIG的普通参数都是一样的，只有引擎参数是不同的！！！1、SIG定义：Signature普通参数Sub-ID：子ID号，有可能多种版本的SIG告警严重级别：info，low，medium，hight ASRSIG真实度：默认100，100％真实 SFR杂合增量：用于计算在线模式和杂合模式的威胁率。默认为0，表示两种模式的威胁相同，配置10则表示在线模式的威胁率要比杂合模式高10。

PD2、SIG描述：Signature普通参数3、eventcounterSignature普通参数Eventcounter：只要满足SIG引擎的参数配置就会有一个事件，而且会对应一个告警。如果该值为10，则需要10个事件才会有一个告警。比如PING，PING了10个包会有10个事件及一个告警。Eventcounterkey：默认攻击者与受害主机之间一个包触发了SIG就告警了，如果eventcount的值为10，则需要10个包的源和目都是这个攻击者与受害主机。也可以选择其他，eventcount的值必须满足所选的条件才会有告警。3、eventcounterSignature普通参数SpecifyAlertInterval：告警间隔时间，默认为NO，意思为有一个事件就告警，或者有10个事件就告警。而且不管等了多久凑足了10个都会告警。如果配置如上，则表示在60秒内，凑足eventcount里配置的个数就会告警，如eventcount配置为10，interval配置为60，表示在60秒内，凑足10个包会告警，如果在这时间内没有凑足10个不告警。4、Alertfrequency告警频率Signature普通参数这里面的参数与eventcount的配置有关。Summarymode：默认ICMP是summarizeFireall：所有都告警，eventcount里面配置的个数是多少就会有多少个告警条目。Ping100就有100告警Fireonce：在一个时间周期内只告警一次，不管有多少攻击。时间周期听说是14-15分钟，思科没说。Sunmmarize：汇总，默认有个intervall间隔时间30秒。当第一个包出现，产生告警了，等待30秒后会有一个汇总告警，这个参数也与eventcount的参数有关，如果eventcount设置为10个，则要10个包出现了才有一个告警，然后等30秒再来个汇总告警，告诉你30秒内一共出现了几个包。4、Alertfrequency告警频率Signature普通参数Summarizekey：sunmmarize模式下的参数。默认选项为攻击者与受害主机之间。5、Status状态Signature普通参数所有SlG都必须是enable，且为非退休状态。VulnerableOSlist：脆弱OS列表。用来匹配该攻击事件对哪类系统生效。特征的事件动作（EventAction）共有16种，动作可分为如下三大类1、告警与日志行为2、拒绝行为3、其他行为注意：引擎的不同，行为内的参数也不同特征的事件动作1、告警与日志行为Producealert：告警，默认所有signature都有这个行为，只是告警。Produceverbosealert：冗长告警，把触发告警的流量的抓包文件显示出来。2004可测Logattackerpackets：将对触发告警的包的源主机lP进行日志记录一段时间Logpairpackets：启动包含攻击/受害者地址对的包的P日志记录。Logvictimpackets：启动去往受害者地址的包，进行日志记录。RequestSNMPtrap：发现告是将告警推送一份到SNMP服务器。特征的事件动作2、拒绝行为（必须为在线模式）DenyPacketInline：触发SIG，该报文被拒绝DenyConnectionInline：触发SIG且一小时内该源目IP及源目端口被拒绝访问DenyAttackerVictimPairInline：禁止触发SIG的包的源至目的流量DenyAttackerServicePairInline：禁止触发SIG的包的源去往任意目的的某个端口（目的端口）DenyAttackerInline：触发SIG的包的源IP一小时内被禁止访问所有特征的事件动作3、其他行为(IPS的特殊处理，通过与其他设备联动拒绝流量或服务)RequestBlockConnection：触发SIG，IPS远程连接设备拒绝该触发包的源目IP源目端口连接RequestBlockHost：触发SIG，远程连接设备拒绝某个主机半小时RequestRateLimit：触发SIG，限速半小时ResetTCPConnection：触发SIG，IPS模拟源目发送ResetTCP连接。ModifyPacketInline：修改某些报头位被置位的位。如TCP包前三位默认为0，若发现被置位则IPS修改成默认值。特征的事件动作自定义singnature5调整Signature2004，设置ICMP告警。需求：1、调整SIG2004告警级别为最高级2、当PING去往目的主机时告警3、每个事件告警一次4、连续三个PING包去往时告警5、30s内出现6个PING去往时告警6、超过40秒两个告警时切换到summary7、当40秒内告警超过5个时切换到global实验1：调整SIG2004创建一个新的signature60010，告警级别设置为高，配置去往23端口服务，匹配关键字ccie，且字母不区分大小写。当发现该关键字时Producealert、ProduceVerboseAlert、LogAttackerPackets、ResetTcpConnect。实验2：设置特定报文触发告警实验2：设置特定报文触发告警需求：创建一个自定义signature60011匹配去往目的端口23的SYN包名称：SYN严重级别：高脆弱OS：IOS当匹配该条件时，产生告警并查看抓包信息，并配置LogAttackerPackets。实验3：触发23端口的SYN包需求：创建一个自定义signature60011匹配去往目的端口23的SYN包名称：SYN严重级别：高脆弱OS：IOS当匹配该条件时，产生告警并查看抓包信息，并配置LogAttackerPackets。实验3：触发23端口的SYN包需求：当PC在30秒内访问URL/exec/-/show/run/CR或/exec/-/Show/run/CR，show首字母不区分大小写，超过三次时，触发signature60020名称：SHOW严重级别：高动作：告警并丢弃该攻击者后续报文实验4：自定义singnature限制访问URLEventActionRules事件动作规则6CiscoIPS包含一个名为rules0的默认事件动作规则策略，也可以根据需要添加新的事件动作规则。通过事件动作规则（EventActionRules），用户可以创建EventActionOverrides（事件动作重写）、EventActionFilters（事件动作过滤）策略，根据RiskRating（RR，风险等级）的值来增加或减少事件动作，实现对IPS的调整。EventActionRules事件动作规则EventVariables（事件变量）类似于object，方便后续调用无需记IP地址EventActionRules事件动作规则TargetValueRating（TVR，目标价值率）可为网络设备指派一个值，用于描述设备的重要性，用于计算每一个告警的RR。简单地讲，就是网络设备很多，有重要的服务器，有不重要的无线路由器或PC，即设备的重要性不同。当有攻击发生，且攻击的对象不同，IPS即可以对这些预先配置好的TVR值来判断这条攻击（告警）是否对网络威胁极大。默认值为中等MediumEventActionRules事件动作规则注意：在同一级别中添加多个设备时，变量与IP地址不能复合使用。RiskRating（RR，风险等级）RiskRating是一个0到100的数值，用来量化在网络在一个特定事件的风险程度。该值越高，风险越大，告警重要程度越高。计算公式：EventActionRules事件动作规则ASR：告警的严重级别。Information（25），low（50），medium（75），high（100）TVR：目标价值率。Zero（50），low（75），medium（100），high（150），missioncritical（200），默认值为mediumSFR：SIG真实度。取值0到100，越大越真实，创建SIG时默认提供的值为75。ARR：attackrelevancyrating，攻击关联率。Relevancy（10），unknown（0），notrelevancy（-10）PD：杂合增量。默认情况都为0，在线模式不计算PD值，杂合模式减10。取值0到30WLR：watchlistrating取值为0到35。关联产品CSAMC，如果一个攻击，NIPS及HIPS两个产品都发现了，CSAMC就会产生一个关联值来让IPS加分。可忽略。

RiskRating（RR，风险等级）计算公式：EventActionRules事件动作规则测试1：R1#ping测试2：R2#ping

OSIdentifications（操作系统识别）为了计算RR，需要知道是否有关联上，因此需要知道目标操作系统发现目标设备所使用的操作系统，通过检测TCP报文的SYN和ACK包的特定字段进行判断。通过报文的序列号或IP头部字段中的ID位等特殊位来判断。发现操作系统的方法有三种：1）手动添加2）自动学习3）导入:需要从CSAMC导入，该产品已停用EventActionRules事件动作规则OSIdentifications（操作系统识别）配置R1为IOS，R2为WINDOWS，同时修改SIG2004的脆弱OS选项为IOS，然后再次PING测试，查看告警RR值。EventActionRules事件动作规则

R1PINGR2，目的操作系统为window，而告警的脆弱OS为IOS，不匹配，RR值为37R2PINGR1，目的操作系统为IOS，告警的脆弱1OS也为IOS，匹配，RR值为60EventActionOverrides（事件动作重写）根据RR的值来定义新的动作，可以根据不同范围的RR值来定义。默认配置如图。EventActionRules事件动作规则默认RR值为90-100之间的，即使SIG的动作当中只设置了告警，该报文也会被丢弃。可以测试2004，将其告警严重级别设置为high，所有PING包都将被DENY，原因是RR值100，会额外添加一个动作，就是上面默认配置的DENYPACKET。EventActionOverrides（事件动作重写）EventActionRules事件动作规则实验配置：R1PINGR2，配置RISK20-59，添加动作为produceverbosealertR2PINGR1，配置RISK60-90，添加动作为denyattackerPING测试效果。EventActionFilters（事件动作过滤）与eventactionoverride刚好相反，eventactionoverride是根据条件添加额外的动作，eventactionfilters是根据条件来减少动作。可根据的条件如图：EventActionRules事件动作规则EventActionFilters（事件动作过滤）实验：配置两个SIG:1、TELNET会话出现CCIE关键字触发告警2、发现finger流量触发告警EventActionRules事件动作规则AnomalyDetection异常检测7AD是用于检测感染蠕虫病毒主机的一个组件。可以在IPS未升级最新的SIG策略时抵御蠕虫病毒或红色代码病毒。AD组件先在网络当中学习正常流量，当网络流量突然出现异常时发生告警或采取相应的行为。背景：当网络中出现了蠕虫病毒，该病毒会通过邮件或网络连接进行传播，传播过程会占用大量链路带宽；被感染病毒的主机可能遭受黑客远程入侵攻击或被黑客远程控制进行网络扫描，因此网络带宽同样会突然上涨，并有可能出现拥塞。此时IPS并没有做任何的SIG升级，可能并不能够匹配到这一螺虫病毒，因此现在的IPS没任何卵用；为了解决这一问题IPS添加了AD组件，让IPS先在网络中学习一段时间，让IPS知道网络在正常的情况下是怎么样的，当网络出现了带宽突然上涨或网络扫描的蠕虫病毒的特征时采取行为。AnomalyDetection异常检测AD可以检测的两种情况遭受蠕虫病毒流量拥塞被感染的主机正在扫描其他脆弱主机AD的工作模式学习模式：在最初的24小时中为学习模式，在这时间内如果没有出现病毒，IPS就会记录下现在这种情况，AD会自动创建个初始的在线数据库，记录网络正常情况的基准线。检测模式：当学习模式已过，AD早创建数据库后，IPS就会通过这个数据库来开始检测网络的两种情况，如果一旦网络情况出现了超过正常情况的流量阈值就会告警。需要注意的，在配置时即使直接选择为检测模式，在最初的24小时内也只是学习模式，是不检测的。inactivemode不激活模式不检测：当网络出现了异步路由的情况的时候可以先择此模式。AnomalyDetection异常检测AD特性使用zone的概念，zone是一个目的IP地址集，通过把网络划分为不同的zo