• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      配置IPS 異常檢測(cè)防御蠕蟲攻擊

      2020-10-22 09:25:50河南許紅軍
      網(wǎng)絡(luò)安全和信息化 2020年12期
      關(guān)鍵詞:蠕蟲基準(zhǔn)端口

      ■ 河南 許紅軍

      編者按:在防御越來越嚴(yán)重的網(wǎng)絡(luò)攻擊方面,IPS(入侵防御系統(tǒng))發(fā)展已較為成熟。與IDS(入侵檢測(cè)系統(tǒng))不同,IPS 不僅可以檢測(cè)網(wǎng)絡(luò)威脅,還可以對(duì)其進(jìn)行抵御。IPS 提供了商業(yè)化的攻擊解決方案,通過安裝部署IPS 設(shè)備,可以有效抗擊各種網(wǎng)絡(luò)入侵行為。對(duì)于IPS 來說,最常用的是基于特征代碼的入侵檢測(cè)技術(shù),即通過匹配Signature 特征碼來匹配攻擊行為,通過靈活的自定義特征碼,可以大大提高檢測(cè)和防御的準(zhǔn)確性。

      IPS 設(shè)備的工作模式

      以思科某款I(lǐng)PS 設(shè)備為例,它可以工作在雜合模式(Promiscuous-Mode)和在線模式(InLine-Mode)。

      對(duì)于雜合模式來說,通過在核心交換機(jī)上使用SPAN技術(shù),將通過某接口或VALN的流量復(fù)制一份,并發(fā)送到IPS 設(shè)備Sensor 口上。IPS設(shè)備會(huì)對(duì)其進(jìn)行分析,如果發(fā)現(xiàn)攻擊行為,就會(huì)產(chǎn)生告警信息。安全人員在IPS 管理中心窗口就會(huì)看到告警信息。但該模式對(duì)網(wǎng)絡(luò)攻擊抵御能力很弱。

      對(duì)于在線模式來說,IPS設(shè)備串接在核心路由器等關(guān)鍵設(shè)備之間,它相當(dāng)于兩口交換機(jī),流量通過其橋接功能進(jìn)入內(nèi)網(wǎng)。這樣IPS 就可以實(shí)時(shí)對(duì)進(jìn)入的流量進(jìn)行分析。對(duì)于正常的流量可以放行,對(duì)于存在威脅的流量則直接進(jìn)行攔截。該模式與透明防火墻有些類似。

      在線模式可以有效抵御觸發(fā)包以及后續(xù)攻擊數(shù)據(jù)包,或者所有源自攻擊者的數(shù)據(jù)包。對(duì)于IPS 設(shè)備來說,能夠使用流量規(guī)范化技術(shù),減少或者消除很多網(wǎng)絡(luò)逃避技術(shù),特別適用于防御網(wǎng)絡(luò)蠕蟲。

      這里就針對(duì)IPS 設(shè)備的異常檢測(cè)機(jī)制,來重點(diǎn)談?wù)勅绾畏烙W(wǎng)絡(luò)蠕蟲。

      IPS 異常檢測(cè)機(jī)制實(shí)現(xiàn)方法

      IPS 設(shè)備的異常檢測(cè)策略,可以有效防御網(wǎng)絡(luò)蠕蟲的侵襲。異常檢測(cè)是IPS 的Sensor 用于檢測(cè)感染蠕蟲病毒主機(jī)的組件,該組件可以讓Sensor 學(xué)習(xí)正常流量,當(dāng)在網(wǎng)絡(luò)流量出現(xiàn)異常時(shí)及時(shí)發(fā)出報(bào)警信息,或者采取動(dòng)態(tài)相應(yīng)行為對(duì)其進(jìn)行抵御。

      利用該組件可以降低Sensor 為了檢測(cè)蠕蟲和掃描器對(duì)于病毒特征庫的依賴。按照常規(guī)處理方式,當(dāng)某個(gè)蠕蟲爆發(fā)后,用戶需要從安全廠商處進(jìn)行病毒庫升級(jí)包,用來匹配該蠕蟲的特征碼,并據(jù)此進(jìn)行判斷,確定具體的蠕蟲病毒后才可以將其解決掉。

      該方法實(shí)際上可靠性不高,因?yàn)榘踩珡S商的病毒庫更新可能比較慢。在等候更新包期間,正常的網(wǎng)絡(luò)通訊早已被蠕蟲完全破壞。注意,這里的Sensor 就是IPS 設(shè)備的核心功能,因?yàn)楝F(xiàn)在的IPS 設(shè)備幾乎都提供的虛擬化功能,可以創(chuàng)建多個(gè)虛擬Sensor(例如VS0 等)。某個(gè)虛擬Sensor 需要和對(duì)應(yīng)的IPS 設(shè)備流量接口綁定,才可以實(shí)現(xiàn)檢測(cè)操作。例如,將該款思科IPS 設(shè)備的VS0 和GigabitEthernet0/0 接口綁定起來,這樣由該接口進(jìn)入的流量就會(huì)被VS0 虛擬設(shè)備內(nèi)置的三個(gè)策略(包括特征碼策略、事件行為策略和異常檢測(cè)策略)進(jìn)行處理,如果發(fā)現(xiàn)其中數(shù)據(jù)包觸發(fā)了預(yù)設(shè)的規(guī)則,就會(huì)進(jìn)行相應(yīng)的處理(例如丟棄、報(bào)警等)。

      異常檢測(cè)機(jī)制運(yùn)行模式

      利用IPS 的異常檢測(cè)機(jī)制,可以避開上述問題,從另一個(gè)方面對(duì)蠕蟲進(jìn)行防御。因?yàn)楫?dāng)蠕蟲爆發(fā)后,必然出現(xiàn)網(wǎng)絡(luò)異常。

      例如,當(dāng)?shù)谝慌_(tái)主機(jī)遭到蠕蟲侵襲后,就會(huì)對(duì)其他的安全性比較脆弱(例如存在系統(tǒng)漏洞等)的主機(jī)產(chǎn)生威脅。病毒會(huì)針對(duì)某個(gè)端口(例如TCP 445 等)或者某些端口進(jìn)行掃描,當(dāng)其攻擊得手后,會(huì)讓更多的主機(jī)感染蠕蟲,在感染網(wǎng)絡(luò)過程中,會(huì)制造大量的垃圾流量來干擾網(wǎng)絡(luò)的運(yùn)行。當(dāng)網(wǎng)絡(luò)遭到蠕蟲流量擁塞時(shí),或者當(dāng)蠕蟲開始感染其他正常主機(jī)時(shí),就會(huì)被IPS 的異常檢測(cè)機(jī)制捕獲。

      該機(jī)制會(huì)通過檢測(cè)正常主機(jī)的并發(fā)連接數(shù)以及流量變動(dòng)值,來確認(rèn)網(wǎng)絡(luò)是否遭到了蠕蟲的攻擊。例如,該機(jī)制會(huì)在固定的周期內(nèi)(例如從周一到周五)對(duì)網(wǎng)絡(luò)流量進(jìn)行基準(zhǔn)線的采樣。當(dāng)網(wǎng)絡(luò)流量突然劇增,明顯超出了平均的流量值,或者正常主機(jī)出現(xiàn)太多的并發(fā)連接,IPS 設(shè)備就認(rèn)為網(wǎng)絡(luò)出現(xiàn)了異常情況,就會(huì)采取相應(yīng)的行為進(jìn)行控制。

      IPS 設(shè)備的異常檢測(cè)機(jī)制提供了Learn mode(學(xué)習(xí)模式),Detect mode(檢測(cè)模式)以及Inactive mode(不生效)三種工作模式。

      對(duì)于學(xué)習(xí)模式來說,主要用來學(xué)習(xí)在正常模式下,網(wǎng)絡(luò)的基準(zhǔn)流量以及正常的并發(fā)連接數(shù)等信息。檢測(cè)模式是默認(rèn)模式,需注意,即使將其配置成為了檢測(cè)模式,在最初的24 h 內(nèi)依然處于學(xué)習(xí)模式。超過默認(rèn)學(xué)習(xí)時(shí)間后,就可以將其設(shè)置為檢測(cè)模式。之后該機(jī)制將基于學(xué)習(xí)到的網(wǎng)絡(luò)基本信息來檢測(cè)攻擊行為,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)流量超過基準(zhǔn)線后就會(huì)發(fā)出報(bào)警信息。因?yàn)楫惓z測(cè)機(jī)制無法工作在異步路由環(huán)境,在該環(huán)境中其會(huì)認(rèn)為所有的連接都是半開連接,所以在該狀態(tài)下需要將其置于不生效模式。

      異常檢測(cè)機(jī)制會(huì)使用到Zones 的概念,Zones 是目的IP 地址集,通過將網(wǎng)絡(luò)劃分為不同的Zones,可以有效降低誤報(bào)率。一般情況下存在Internal 內(nèi)部、External 外部和Lllegal 非法三種類型的Zones,不同的Zones 都有屬于自己的閥值。一臺(tái)主機(jī)可以創(chuàng)建多少個(gè)并發(fā)連接,一個(gè)網(wǎng)絡(luò)會(huì)產(chǎn)生多大的流量,在不同類別下是不同的。對(duì)于內(nèi)部網(wǎng)絡(luò)來說,流量的容忍性自然會(huì)大些。而對(duì)于外部網(wǎng)絡(luò)來說,流量的容忍性就會(huì)小一些。對(duì)于非法網(wǎng)絡(luò)來說,是不允許其產(chǎn)生任何流量的。

      配置IPS 異常檢測(cè)機(jī)制

      在配置異常檢測(cè)功能時(shí),首先需要添加異常檢測(cè)策略到虛擬Sensor 中。

      在IPS 的管理界面中點(diǎn)擊工具欄上的Configura tion項(xiàng),在左側(cè)選擇“Anomaly Detections”項(xiàng),在右側(cè)點(diǎn)擊“Add”按鈕,輸入策略的名稱(例如“ycjc”),然后點(diǎn)擊“OK”按鈕創(chuàng)建該策略。在左側(cè)點(diǎn)擊“IPS Policies”節(jié)點(diǎn),在右側(cè)選擇某個(gè)虛擬Sensor,點(diǎn)擊“Edit”按鈕,在其屬性窗口中的“Anomaly Detection”列表中選擇該策略,在“AD Operational Mode”列表中選擇所需的模式,就可以將其關(guān)聯(lián)到該虛擬Sensor 上。

      之后需要配置異常檢測(cè)模式的Zones、協(xié)議和服務(wù)信息,在左側(cè)選擇“Anomaly Detections”項(xiàng),在這里列出所有的異常檢測(cè)策略項(xiàng)。這里選擇上述“ycjc”項(xiàng),在右側(cè)的“Internal Zones”面板中輸入內(nèi)部網(wǎng)絡(luò)地址集,例如,“172.16.0.0 ~172.16.255.255”等。在“Illegal Zone”面板中輸入非法的網(wǎng)絡(luò)地址集,例如“11.0.0.0 ~11.255.255”等。

      當(dāng)確定了內(nèi)部的和非法的地址集后,其余的地址集就屬于外部的。之后將異常檢測(cè)機(jī)制置于學(xué)習(xí)模式,并讓其學(xué)習(xí)24 h,然后切換到檢測(cè)模式,并根據(jù)情況配置合適的參數(shù)。

      例如,打開上述策略中的“屬性→Operation Sett ings →Worm Timeout”,設(shè)置蠕蟲檢測(cè)超時(shí),默認(rèn)為600 s。IPS 設(shè)備使用該時(shí)間間隔對(duì)網(wǎng)絡(luò)流量進(jìn)行采樣。通過對(duì)該時(shí)間段內(nèi)的流量進(jìn)行采樣,來發(fā)現(xiàn)是否超過基準(zhǔn)流量值,并據(jù)此來判斷是否為蠕蟲爆發(fā)。選擇“Enable Ignored IP Addresses”項(xiàng),可以輸入所需的源地址和目標(biāo)地址,來設(shè)置忽略的IP 地址范圍。因?yàn)楣芾韱T有時(shí)會(huì)使用一些掃描工具對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行檢測(cè),因此需要將相關(guān)的地址忽略掉,防止產(chǎn)生誤報(bào)。

      在Learning Accept Mode面板中的“Action”列表中選擇“Rotate”項(xiàng),采用的是輪轉(zhuǎn)模式。在該模式下,前一天24 h 內(nèi)學(xué)習(xí)的基準(zhǔn)流量值會(huì)應(yīng)用到第二天,之后以此類推。選擇“Save Only”項(xiàng),表示每天學(xué)習(xí)的基準(zhǔn)流量單獨(dú)保存,必須相互獨(dú)立,使用時(shí)需要手工指派。該模式更具靈活性,可以周期性的進(jìn)行基準(zhǔn)流量的學(xué)習(xí)。

      在“Scheule”列表中選擇“Periodic Schedule”項(xiàng),可以設(shè)置每天進(jìn)行基準(zhǔn)掃描的時(shí)間段。選擇“Calendar Schedule”項(xiàng),可以針對(duì)從周一到周日設(shè)置基準(zhǔn)掃描的時(shí)間段。

      對(duì)于學(xué)習(xí)到的基準(zhǔn)參數(shù),可以在IPS 管理界面頂部點(diǎn)擊“Monitoring”按鈕,在左側(cè)選擇“Sensor Monitoring →Dynamic Data→Anomaly Detection”項(xiàng),在右側(cè)顯示所有的基準(zhǔn)參數(shù)值。選擇所需的參數(shù)項(xiàng),點(diǎn)擊“Load”按鈕,就可以據(jù)此進(jìn)行檢測(cè)了。

      手動(dòng)配置參數(shù),提供防御靈活性

      除了可以讓IPS 自動(dòng)學(xué)習(xí)基準(zhǔn)參數(shù)外,還可以手動(dòng)設(shè)置一些關(guān)鍵參數(shù)。

      在上述異常檢測(cè)策略項(xiàng)屬性窗口中依次點(diǎn)擊并打開“Internal Zone →TCP Protocol →Default Thre sholds → Scanner Thre shold”項(xiàng),設(shè)置掃描的閥值,默認(rèn)為200。該參數(shù)表示當(dāng)一臺(tái)主機(jī)在一分鐘之內(nèi)向不同的目標(biāo)地址的相同端口發(fā)起超過200 個(gè)不完全連接時(shí),就會(huì)觸發(fā)對(duì)應(yīng)的IPS 特征碼,表示其違反了相應(yīng)的安全規(guī)則,可能是由于蠕蟲的活動(dòng)所引起的。對(duì)于蠕蟲來說,其最常見的動(dòng)作是針對(duì)特定的端口進(jìn)行大量的掃描。

      當(dāng)蠕蟲在內(nèi)部Zones 中發(fā)起的不完全連接滿足該閥值條件后,就會(huì)觸發(fā)IPS 內(nèi)置 的Traffic Anomaly 流量異常引擎。在IPS 管理窗口左側(cè)選擇“Configurat ion→Policies→Signature Definitions →sig0 →All Signatures”項(xiàng),然后在右側(cè)的“Filter”列表中選擇“Engine”項(xiàng),在右側(cè)列表中選擇“Traffic Anomaly”項(xiàng),就會(huì)顯示所有和異常流量檢測(cè)相關(guān)的特征動(dòng)作處理規(guī)則。

      注意,滿足上述條件后觸發(fā)的是ID 為0 的處理規(guī)則。ID 為0 的Signatures 規(guī)則處理的是掃描行為,ID 為1的規(guī)則處理的是泛洪行為。例如,對(duì)于TCP 的掃描連接超過預(yù)設(shè)的閥值后,就會(huì)觸發(fā)編號(hào)13000 的0 號(hào)子ID 的Signatures 規(guī)則。

      在“Threshold histo gram”列表中顯示了閥值柱狀圖參數(shù),主要用來處理蠕蟲的網(wǎng)絡(luò)泛洪行為。按照常規(guī)理解,在蠕蟲超時(shí)流量檢測(cè)時(shí)間段內(nèi),向超過100 個(gè)不同目標(biāo)地址的相同特定端口發(fā)起的不完全連接的主機(jī)數(shù)超過1 個(gè)時(shí),表示泛洪嚴(yán)重等級(jí)為High;向超過20 個(gè)不同目標(biāo)地址的相同特定端口發(fā)起的不完全連接的主機(jī)數(shù)超過3 個(gè)時(shí),表示泛洪嚴(yán)重等級(jí)為Medium;向超過5個(gè)不同目標(biāo)地址的相同特定端口發(fā)起的不完全連接的主機(jī)數(shù)超過10 個(gè)時(shí),表示泛洪嚴(yán)重等級(jí)為L(zhǎng)ow。

      滿足以上嚴(yán)重等級(jí)后,就可以認(rèn)為蠕蟲除以爆發(fā)狀態(tài)。例如,對(duì)于TCP 的掃描連接超過預(yù)設(shè)的閥值后,就會(huì)觸發(fā)編號(hào)13000 的10 號(hào)子ID 的Signatures 規(guī)則。在“Destination Port Map”欄中還可以針對(duì)特定端口設(shè)置閥值參數(shù)。

      當(dāng)然,除了針對(duì)TCP 協(xié)議進(jìn)行內(nèi)部Zone 的參數(shù)設(shè)置外,還可以針對(duì)UDP 或者其他協(xié)議進(jìn)行上述參數(shù)的手工配置。

      猜你喜歡
      蠕蟲基準(zhǔn)端口
      蠕蟲狀MoS2/C的制備及其在鋰離子電池負(fù)極材料中的應(yīng)用
      一種端口故障的解決方案
      秋季謹(jǐn)防家禽蠕蟲病
      端口阻塞與優(yōu)先級(jí)
      明基準(zhǔn)講方法??待R
      青海海晏縣牛羊寄生蠕蟲種調(diào)查與防治
      初識(shí)電腦端口
      電腦迷(2015年6期)2015-05-30 08:52:42
      生成樹協(xié)議實(shí)例探討
      滑落還是攀爬
      基于隔離和免疫的蠕蟲傳播模型及穩(wěn)定性分析
      民权县| 安顺市| 东丽区| 新野县| 宁德市| 武强县| 同德县| 隆化县| 日照市| 青岛市| 泾川县| 哈尔滨市| 壤塘县| 霸州市| 山东省| 台江县| 繁峙县| 邹平县| 盐池县| 长沙市| 阳原县| 大丰市| 新余市| 偃师市| 孝义市| 任丘市| 大邑县| 南岸区| 黄石市| 丁青县| 城口县| 江油市| 图们市| 醴陵市| 十堰市| 宁波市| 太湖县| 辉县市| 望奎县| 响水县| 双牌县|