配置IPS 異常檢測(cè)防御蠕蟲攻擊

2020-10-22 09:25:50河南許紅軍

網(wǎng)絡(luò)安全和信息化 2020年12期

■ 河南許紅軍

編者按：在防御越來越嚴(yán)重的網(wǎng)絡(luò)攻擊方面，IPS（入侵防御系統(tǒng)）發(fā)展已較為成熟。與IDS（入侵檢測(cè)系統(tǒng)）不同，IPS 不僅可以檢測(cè)網(wǎng)絡(luò)威脅，還可以對(duì)其進(jìn)行抵御。IPS 提供了商業(yè)化的攻擊解決方案，通過安裝部署IPS 設(shè)備，可以有效抗擊各種網(wǎng)絡(luò)入侵行為。對(duì)于IPS 來說，最常用的是基于特征代碼的入侵檢測(cè)技術(shù)，即通過匹配Signature 特征碼來匹配攻擊行為，通過靈活的自定義特征碼，可以大大提高檢測(cè)和防御的準(zhǔn)確性。

IPS 設(shè)備的工作模式

以思科某款I(lǐng)PS 設(shè)備為例，它可以工作在雜合模式（Promiscuous-Mode）和在線模式（InLine-Mode）。

對(duì)于雜合模式來說，通過在核心交換機(jī)上使用SPAN技術(shù)，將通過某接口或VALN的流量復(fù)制一份，并發(fā)送到IPS 設(shè)備Sensor 口上。IPS設(shè)備會(huì)對(duì)其進(jìn)行分析，如果發(fā)現(xiàn)攻擊行為，就會(huì)產(chǎn)生告警信息。安全人員在IPS 管理中心窗口就會(huì)看到告警信息。但該模式對(duì)網(wǎng)絡(luò)攻擊抵御能力很弱。

對(duì)于在線模式來說，IPS設(shè)備串接在核心路由器等關(guān)鍵設(shè)備之間，它相當(dāng)于兩口交換機(jī)，流量通過其橋接功能進(jìn)入內(nèi)網(wǎng)。這樣IPS 就可以實(shí)時(shí)對(duì)進(jìn)入的流量進(jìn)行分析。對(duì)于正常的流量可以放行，對(duì)于存在威脅的流量則直接進(jìn)行攔截。該模式與透明防火墻有些類似。

在線模式可以有效抵御觸發(fā)包以及后續(xù)攻擊數(shù)據(jù)包，或者所有源自攻擊者的數(shù)據(jù)包。對(duì)于IPS 設(shè)備來說，能夠使用流量規(guī)范化技術(shù)，減少或者消除很多網(wǎng)絡(luò)逃避技術(shù)，特別適用于防御網(wǎng)絡(luò)蠕蟲。

這里就針對(duì)IPS 設(shè)備的異常檢測(cè)機(jī)制，來重點(diǎn)談?wù)勅绾畏烙W(wǎng)絡(luò)蠕蟲。

IPS 異常檢測(cè)機(jī)制實(shí)現(xiàn)方法

IPS 設(shè)備的異常檢測(cè)策略，可以有效防御網(wǎng)絡(luò)蠕蟲的侵襲。異常檢測(cè)是IPS 的Sensor 用于檢測(cè)感染蠕蟲病毒主機(jī)的組件，該組件可以讓Sensor 學(xué)習(xí)正常流量，當(dāng)在網(wǎng)絡(luò)流量出現(xiàn)異常時(shí)及時(shí)發(fā)出報(bào)警信息，或者采取動(dòng)態(tài)相應(yīng)行為對(duì)其進(jìn)行抵御。

利用該組件可以降低Sensor 為了檢測(cè)蠕蟲和掃描器對(duì)于病毒特征庫的依賴。按照常規(guī)處理方式，當(dāng)某個(gè)蠕蟲爆發(fā)后，用戶需要從安全廠商處進(jìn)行病毒庫升級(jí)包，用來匹配該蠕蟲的特征碼，并據(jù)此進(jìn)行判斷，確定具體的蠕蟲病毒后才可以將其解決掉。

該方法實(shí)際上可靠性不高，因?yàn)榘踩珡S商的病毒庫更新可能比較慢。在等候更新包期間，正常的網(wǎng)絡(luò)通訊早已被蠕蟲完全破壞。注意，這里的Sensor 就是IPS 設(shè)備的核心功能，因?yàn)楝F(xiàn)在的IPS 設(shè)備幾乎都提供的虛擬化功能，可以創(chuàng)建多個(gè)虛擬Sensor（例如VS0 等）。某個(gè)虛擬Sensor 需要和對(duì)應(yīng)的IPS 設(shè)備流量接口綁定，才可以實(shí)現(xiàn)檢測(cè)操作。例如，將該款思科IPS 設(shè)備的VS0 和GigabitEthernet0/0 接口綁定起來，這樣由該接口進(jìn)入的流量就會(huì)被VS0 虛擬設(shè)備內(nèi)置的三個(gè)策略（包括特征碼策略、事件行為策略和異常檢測(cè)策略）進(jìn)行處理，如果發(fā)現(xiàn)其中數(shù)據(jù)包觸發(fā)了預(yù)設(shè)的規(guī)則，就會(huì)進(jìn)行相應(yīng)的處理（例如丟棄、報(bào)警等）。

異常檢測(cè)機(jī)制運(yùn)行模式

利用IPS 的異常檢測(cè)機(jī)制，可以避開上述問題，從另一個(gè)方面對(duì)蠕蟲進(jìn)行防御。因?yàn)楫?dāng)蠕蟲爆發(fā)后，必然出現(xiàn)網(wǎng)絡(luò)異常。

例如，當(dāng)?shù)谝慌_(tái)主機(jī)遭到蠕蟲侵襲后，就會(huì)對(duì)其他的安全性比較脆弱（例如存在系統(tǒng)漏洞等）的主機(jī)產(chǎn)生威脅。病毒會(huì)針對(duì)某個(gè)端口（例如TCP 445 等）或者某些端口進(jìn)行掃描，當(dāng)其攻擊得手后，會(huì)讓更多的主機(jī)感染蠕蟲，在感染網(wǎng)絡(luò)過程中，會(huì)制造大量的垃圾流量來干擾網(wǎng)絡(luò)的運(yùn)行。當(dāng)網(wǎng)絡(luò)遭到蠕蟲流量擁塞時(shí)，或者當(dāng)蠕蟲開始感染其他正常主機(jī)時(shí)，就會(huì)被IPS 的異常檢測(cè)機(jī)制捕獲。

該機(jī)制會(huì)通過檢測(cè)正常主機(jī)的并發(fā)連接數(shù)以及流量變動(dòng)值，來確認(rèn)網(wǎng)絡(luò)是否遭到了蠕蟲的攻擊。例如，該機(jī)制會(huì)在固定的周期內(nèi)（例如從周一到周五）對(duì)網(wǎng)絡(luò)流量進(jìn)行基準(zhǔn)線的采樣。當(dāng)網(wǎng)絡(luò)流量突然劇增，明顯超出了平均的流量值，或者正常主機(jī)出現(xiàn)太多的并發(fā)連接，IPS 設(shè)備就認(rèn)為網(wǎng)絡(luò)出現(xiàn)了異常情況，就會(huì)采取相應(yīng)的行為進(jìn)行控制。

IPS 設(shè)備的異常檢測(cè)機(jī)制提供了Learn mode（學(xué)習(xí)模式），Detect mode（檢測(cè)模式）以及Inactive mode（不生效）三種工作模式。

對(duì)于學(xué)習(xí)模式來說，主要用來學(xué)習(xí)在正常模式下，網(wǎng)絡(luò)的基準(zhǔn)流量以及正常的并發(fā)連接數(shù)等信息。檢測(cè)模式是默認(rèn)模式，需注意，即使將其配置成為了檢測(cè)模式，在最初的24 h 內(nèi)依然處于學(xué)習(xí)模式。超過默認(rèn)學(xué)習(xí)時(shí)間后，就可以將其設(shè)置為檢測(cè)模式。之后該機(jī)制將基于學(xué)習(xí)到的網(wǎng)絡(luò)基本信息來檢測(cè)攻擊行為，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)流量超過基準(zhǔn)線后就會(huì)發(fā)出報(bào)警信息。因?yàn)楫惓z測(cè)機(jī)制無法工作在異步路由環(huán)境，在該環(huán)境中其會(huì)認(rèn)為所有的連接都是半開連接，所以在該狀態(tài)下需要將其置于不生效模式。

異常檢測(cè)機(jī)制會(huì)使用到Zones 的概念，Zones 是目的IP 地址集，通過將網(wǎng)絡(luò)劃分為不同的Zones，可以有效降低誤報(bào)率。一般情況下存在Internal 內(nèi)部、External 外部和Lllegal 非法三種類型的Zones，不同的Zones 都有屬于自己的閥值。一臺(tái)主機(jī)可以創(chuàng)建多少個(gè)并發(fā)連接，一個(gè)網(wǎng)絡(luò)會(huì)產(chǎn)生多大的流量，在不同類別下是不同的。對(duì)于內(nèi)部網(wǎng)絡(luò)來說，流量的容忍性自然會(huì)大些。而對(duì)于外部網(wǎng)絡(luò)來說，流量的容忍性就會(huì)小一些。對(duì)于非法網(wǎng)絡(luò)來說，是不允許其產(chǎn)生任何流量的。

配置IPS 異常檢測(cè)機(jī)制

在配置異常檢測(cè)功能時(shí)，首先需要添加異常檢測(cè)策略到虛擬Sensor 中。

在IPS 的管理界面中點(diǎn)擊工具欄上的Configura tion項(xiàng)，在左側(cè)選擇“Anomaly Detections”項(xiàng)，在右側(cè)點(diǎn)擊“Add”按鈕，輸入策略的名稱（例如“ycjc”），然后點(diǎn)擊“OK”按鈕創(chuàng)建該策略。在左側(cè)點(diǎn)擊“IPS Policies”節(jié)點(diǎn)，在右側(cè)選擇某個(gè)虛擬Sensor，點(diǎn)擊“Edit”按鈕，在其屬性窗口中的“Anomaly Detection”列表中選擇該策略，在“AD Operational Mode”列表中選擇所需的模式，就可以將其關(guān)聯(lián)到該虛擬Sensor 上。

之后需要配置異常檢測(cè)模式的Zones、協(xié)議和服務(wù)信息，在左側(cè)選擇“Anomaly Detections”項(xiàng)，在這里列出所有的異常檢測(cè)策略項(xiàng)。這里選擇上述“ycjc”項(xiàng)，在右側(cè)的“Internal Zones”面板中輸入內(nèi)部網(wǎng)絡(luò)地址集，例如，“172.16.0.0 ～172.16.255.255”等。在“Illegal Zone”面板中輸入非法的網(wǎng)絡(luò)地址集，例如“11.0.0.0 ～11.255.255”等。

當(dāng)確定了內(nèi)部的和非法的地址集后，其余的地址集就屬于外部的。之后將異常檢測(cè)機(jī)制置于學(xué)習(xí)模式，并讓其學(xué)習(xí)24 h，然后切換到檢測(cè)模式，并根據(jù)情況配置合適的參數(shù)。

例如，打開上述策略中的“屬性→Operation Sett ings →Worm Timeout”，設(shè)置蠕蟲檢測(cè)超時(shí)，默認(rèn)為600 s。IPS 設(shè)備使用該時(shí)間間隔對(duì)網(wǎng)絡(luò)流量進(jìn)行采樣。通過對(duì)該時(shí)間段內(nèi)的流量進(jìn)行采樣，來發(fā)現(xiàn)是否超過基準(zhǔn)流量值，并據(jù)此來判斷是否為蠕蟲爆發(fā)。選擇“Enable Ignored IP Addresses”項(xiàng)，可以輸入所需的源地址和目標(biāo)地址，來設(shè)置忽略的IP 地址范圍。因?yàn)楣芾韱T有時(shí)會(huì)使用一些掃描工具對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行檢測(cè)，因此需要將相關(guān)的地址忽略掉，防止產(chǎn)生誤報(bào)。

在Learning Accept Mode面板中的“Action”列表中選擇“Rotate”項(xiàng)，采用的是輪轉(zhuǎn)模式。在該模式下，前一天24 h 內(nèi)學(xué)習(xí)的基準(zhǔn)流量值會(huì)應(yīng)用到第二天，之后以此類推。選擇“Save Only”項(xiàng)，表示每天學(xué)習(xí)的基準(zhǔn)流量單獨(dú)保存，必須相互獨(dú)立，使用時(shí)需要手工指派。該模式更具靈活性，可以周期性的進(jìn)行基準(zhǔn)流量的學(xué)習(xí)。

在“Scheule”列表中選擇“Periodic Schedule”項(xiàng)，可以設(shè)置每天進(jìn)行基準(zhǔn)掃描的時(shí)間段。選擇“Calendar Schedule”項(xiàng)，可以針對(duì)從周一到周日設(shè)置基準(zhǔn)掃描的時(shí)間段。

對(duì)于學(xué)習(xí)到的基準(zhǔn)參數(shù)，可以在IPS 管理界面頂部點(diǎn)擊“Monitoring”按鈕，在左側(cè)選擇“Sensor Monitoring →Dynamic Data→Anomaly Detection”項(xiàng)，在右側(cè)顯示所有的基準(zhǔn)參數(shù)值。選擇所需的參數(shù)項(xiàng)，點(diǎn)擊“Load”按鈕，就可以據(jù)此進(jìn)行檢測(cè)了。

手動(dòng)配置參數(shù)，提供防御靈活性

除了可以讓IPS 自動(dòng)學(xué)習(xí)基準(zhǔn)參數(shù)外，還可以手動(dòng)設(shè)置一些關(guān)鍵參數(shù)。

在上述異常檢測(cè)策略項(xiàng)屬性窗口中依次點(diǎn)擊并打開“Internal Zone →TCP Protocol →Default Thre sholds → Scanner Thre shold”項(xiàng)，設(shè)置掃描的閥值，默認(rèn)為200。該參數(shù)表示當(dāng)一臺(tái)主機(jī)在一分鐘之內(nèi)向不同的目標(biāo)地址的相同端口發(fā)起超過200 個(gè)不完全連接時(shí)，就會(huì)觸發(fā)對(duì)應(yīng)的IPS 特征碼，表示其違反了相應(yīng)的安全規(guī)則，可能是由于蠕蟲的活動(dòng)所引起的。對(duì)于蠕蟲來說，其最常見的動(dòng)作是針對(duì)特定的端口進(jìn)行大量的掃描。

當(dāng)蠕蟲在內(nèi)部Zones 中發(fā)起的不完全連接滿足該閥值條件后，就會(huì)觸發(fā)IPS 內(nèi)置的Traffic Anomaly 流量異常引擎。在IPS 管理窗口左側(cè)選擇“Configurat ion→Policies→Signature Definitions →sig0 →All Signatures”項(xiàng)，然后在右側(cè)的“Filter”列表中選擇“Engine”項(xiàng)，在右側(cè)列表中選擇“Traffic Anomaly”項(xiàng)，就會(huì)顯示所有和異常流量檢測(cè)相關(guān)的特征動(dòng)作處理規(guī)則。

注意，滿足上述條件后觸發(fā)的是ID 為0 的處理規(guī)則。ID 為0 的Signatures 規(guī)則處理的是掃描行為，ID 為1的規(guī)則處理的是泛洪行為。例如，對(duì)于TCP 的掃描連接超過預(yù)設(shè)的閥值后，就會(huì)觸發(fā)編號(hào)13000 的0 號(hào)子ID 的Signatures 規(guī)則。

在“Threshold histo gram”列表中顯示了閥值柱狀圖參數(shù)，主要用來處理蠕蟲的網(wǎng)絡(luò)泛洪行為。按照常規(guī)理解，在蠕蟲超時(shí)流量檢測(cè)時(shí)間段內(nèi)，向超過100 個(gè)不同目標(biāo)地址的相同特定端口發(fā)起的不完全連接的主機(jī)數(shù)超過1 個(gè)時(shí)，表示泛洪嚴(yán)重等級(jí)為High；向超過20 個(gè)不同目標(biāo)地址的相同特定端口發(fā)起的不完全連接的主機(jī)數(shù)超過3 個(gè)時(shí)，表示泛洪嚴(yán)重等級(jí)為Medium；向超過5個(gè)不同目標(biāo)地址的相同特定端口發(fā)起的不完全連接的主機(jī)數(shù)超過10 個(gè)時(shí)，表示泛洪嚴(yán)重等級(jí)為L(zhǎng)ow。

滿足以上嚴(yán)重等級(jí)后，就可以認(rèn)為蠕蟲除以爆發(fā)狀態(tài)。例如，對(duì)于TCP 的掃描連接超過預(yù)設(shè)的閥值后，就會(huì)觸發(fā)編號(hào)13000 的10 號(hào)子ID 的Signatures 規(guī)則。在“Destination Port Map”欄中還可以針對(duì)特定端口設(shè)置閥值參數(shù)。