创建自定义 IPS 签名
您的位置: 安全服务 > IPS > 签名。
创建自定义攻击对象以检测已知或未知的攻击,从而保护您的网络。
要创建自定义 IPS 签名:
| 现场 | 操作 |
|---|---|
| 一般 |
|
| 名字 |
输入自定义攻击对象的名称。最多 250 个字符。 |
| 描述 |
输入自定义攻击对象的描述。 |
| 建议的操作 |
从列表中选择设备检测到攻击时要执行的操作:
|
| 严重性 |
从列表中选择与网络上的攻击对象严重性匹配的严重性:
|
| 检测过滤器 |
|
| 时间计数 |
设置攻击对象必须在指定范围内检测到攻击的次数。在设备确定攻击对象是否与攻击匹配之前,将进行检测。 范围:0 至 4,294,967,295 |
| 时间范围 |
从发生计数的列表中选择范围:
|
| 时间间隔 |
输入时间绑定自定义攻击的任何两个实例之间的最大时间间隔。 支持的格式为 MMm-SS。 范围:0 分 0 秒到 60 分 0 秒。 |
| 签名 |
|
| 攻击类型 |
从列表中选择以下攻击类型之一: |
| 现场 | 操作 |
|---|---|
| 攻击类型 |
签名 — IPS 使用状态式签名检测攻击。IPS 使用状态式签名查找用于执行攻击的特定协议或服务。 |
| 上下文 |
从列表中选择攻击上下文,该上下文定义了 IPS 应在特定应用层协议中查找攻击的签名位置。 |
| 协议绑定 |
从列表中选择攻击用来进入网络的协议。 |
| 应用 |
从列表中选择攻击必须匹配的应用程序。
注意:
仅当协议绑定类型为应用程序时,此选项才可用。 |
| 协议编号 |
设置传输层协议编号,使 IPS 能够将攻击与其匹配。 范围:0 到 139
注意:
仅当协议绑定类型为 IP 和 IPv6 时,此选项才可用。 |
| 计划编号 |
设置远程过程调用 (RPC) 程序编号,以便将攻击与它匹配。
注意:
仅当协议绑定类型为 RPC 时,此选项才可用。 |
| 最小端口 |
设置端口范围内的最小端口。 范围:0 到 65,535
注意:
仅当协议绑定类型为 TCP 时,此选项才可用。 |
| 最大端口数 |
设置端口范围中的最大端口。 范围:0 到 65,535
注意:
仅当协议绑定类型为 TCP 时,此选项才可用。 |
| 方向 |
从检测到攻击的列表中选择流量方向:
|
| 内容 |
|
| DFA 模式 |
输入确定性有限自动化 (DFA) 格式的签名模式。 例如: 使用语法: 语法匹配的示例包括 hElLo、HEllO 和 heLLO。 |
| PCRE 模式 |
输入标准 Perl 兼容正则表达式 (PCRE) 格式的签名模式。 示例语法: 语法匹配的示例包括 Seal、Seam 和 Sean |
| 深度 |
允许您指定数据包的深度以搜索给定模式。深度不是相对的。例如,您可以将深度值指定为 100。 |
| 变量 |
输入深度变量名称。 |
| 价值 |
设置要使用深度值。 范围:1 到 65535 |
| 抵消 |
允许您指定从何处开始搜索数据包中的模式。偏移量不是相对值。例如,您可以将深度值指定为 100。 |
| 变量 |
输入偏移变量名称。 |
| 价值 |
设置要使用的偏移值。 范围:1 到 65535 |
| 数据在 |
启用此选项可允许您验证有效负载是否具有位于指定位置的数据。 |
| 否定 |
启用此选项可否定 Is data at 的结果。 |
| 与 |
启用此选项可以使用相对于上次模式匹配的偏移量。 |
| 抵消 |
允许您指定从何处开始搜索数据包中的模式。偏移量不是相对值。例如,您可以将深度值指定为 100。 |
| 变量 |
输入偏移变量名称。 |
| 价值 |
设置要使用的偏移值。 范围:1 到 65535 |
| 现场 | 操作 |
|---|---|
| 攻击类型 |
异常 — 协议异常攻击对象使用协议的规则集检测连接内的异常或模棱两可消息。 |
| 服务 |
从列表中选择一项服务。服务是在攻击中定义异常的协议。示例:IP、TCP 和 ICMP。 |
| 测试异常 |
从列表中选择要检查的协议异常测试条件。 |
| 方向 |
从检测到攻击的列表中选择流量方向:
|
| 现场 | 操作 |
|---|---|
| 攻击类型 |
链 — 链攻击对象将多个签名和/或协议异常组合到一个对象中。流量必须匹配所有组合签名和/或协议异常,才能与链攻击对象匹配。 |
| 协议绑定 |
从列表中选择攻击用来进入网络的协议。 |
| 应用 |
选择攻击必须匹配的应用程序。
注意:
仅当协议绑定类型为应用程序时,此选项才可用。 |
| 协议编号 |
设置传输层协议编号,使 IPS 能够将攻击与其匹配。 范围:0 到 139
注意:
仅当协议绑定类型为 IP 和 IPv6 时,此选项才可用。 |
| 计划编号 |
设置远程过程调用 (RPC) 程序编号,以便将攻击与它匹配。
注意:
仅当协议绑定类型为 RCP 时,此选项才可用。 |
| 最小端口 |
设置端口范围内的最小端口。 范围:0 到 65,535
注意:
仅当协议绑定类型为 TCP 时,此选项才可用。 |
| 最大端口数 |
设置端口范围中的最大端口。 范围:0 到 65,535
注意:
仅当协议绑定类型为 TCP 时,此选项才可用。 |
| 链顺序表达式 |
选择一个布尔表达式,用于定义链攻击的各个成员的条件,该条件将决定是否击中链攻击:
|
| 定制订购 |
启用此选项可创建一个复合攻击对象,该对象必须按照您指定的顺序匹配每个成员签名或协议异常。如果未指定有序匹配,复合攻击对象仍必须匹配所有成员,但攻击或协议异常可以随机顺序出现。 |
| 重 置 |
如果在单个会话或事务中多次匹配复合攻击,请启用此选项。 |
| 范围 |
选择以下范围之一:
|
| 添加签名 |
|
| 编辑(铅笔图标) |
选择要编辑的现有签名。单击编辑(铅笔)图标,进行所需的更改,然后单击 确定。 |
| 删除(垃圾箱图标) |
选择要删除的现有签名。单击删除(垃圾箱)图标,然后单击 是。 |
| + |
单击 + 可添加一个或多个签名攻击对象,这些对象使用状态攻击签名(攻击的特定部分始终存在的模式)来检测已知攻击。 |
| 签名否 |
显示系统生成的签名编号。您不能修改此字段。 |
| 上下文 |
从列表中选择攻击上下文,该列表中定义了 IPS 应在特定应用层协议中查找攻击的签名位置。 |
| 方向 |
从检测到攻击的列表中选择流量方向:
|
| 内容 |
|
| DFA 模式 |
输入确定性有限自动化 (DFA) 格式的签名模式。 示例语法: 语法匹配的示例包括 hElLo、HEllO 和 heLLO。 |
| PCRE 模式 |
输入标准 Perl 兼容正则表达式 (PCRE) 格式的签名模式。 示例语法: 与语法 Seal、Seam 和 Sean 匹配的示例 |
| 深度 |
允许您指定数据包的深度以搜索给定模式。深度不是相对的。例如,您可以将深度值指定为 100。 |
| 变量 |
输入深度变量名称。 |
| 价值 |
设置要使用深度值。 范围:1 到 65535 |
| 距离 |
允许您指定在 IPS 引擎开始搜索与上一个模式匹配的末尾相关的指定模式之前应忽略的数据包数据量。 |
| 变量 |
输入距离变量名称。 |
| 价值 |
设置要使用的匹配值。这始终与上一个匹配项相关。 |
| 抵消 |
允许您指定从何处开始搜索数据包中的模式。偏移量不是相对值。例如,您可以将深度值指定为 100。 |
| 变量 |
输入偏移变量名称。 |
| 价值 |
设置要使用的偏移值。 范围:1 到 65535 |
| 数据在 |
启用此选项可允许您验证有效负载是否具有位于指定位置的数据。 |
| 否定 |
启用此选项可否定 Is data at 的结果。 |
| 与 |
启用此选项可以使用相对于上次模式匹配的偏移量。 |
| 抵消 |
允许您指定从何处开始搜索数据包中的模式。偏移量不是相对值。例如,您可以将深度值指定为 100。 |
| 变量 |
输入偏移变量名称。 |
| 价值 |
设置要使用的偏移值。 范围:1 到 65535 |
| 在 |
允许您指定模式匹配之间有最大 N 个字节。 |
| 变量 |
输入匹配变量名称。 |
| 价值 |
设置要使用的匹配值。这始终与上一个匹配项相关。 |
| 添加异常情况 |
|
| 编辑(铅笔图标) |
选择要编辑的现有异常。单击编辑(铅笔)图标,进行所需的更改,然后单击 确定。 |
| 删除(垃圾箱图标) |
选择要删除的现有异常。单击删除(垃圾箱)图标,然后单击 是。 |
| + |
单击 + 可添加一个或多个协议异常攻击对象,以便根据正在使用的特定协议的规则集检测连接内的异常或模棱两可消息。 |
| 异常否 |
显示系统生成的异常编号。您不能修改此字段。 |
| 测试异常 |
选择要检查的协议异常测试条件。 |
| 方向 |
从检测到攻击的列表中选择流量方向:
|