了解 IPS 签名
入侵防御系统 (IPS) 将流量与已知威胁的签名进行比较,并在检测到威胁时阻止流量。网络入侵是对网络资源的攻击或以其他方式滥用。为了检测此类活动,IPS 使用签名。签名指定您希望设备检测和报告的网络入侵类型。每当发现与签名匹配的流量模式时,IPS 就会触发告警并阻止流量到达其目的地。签名数据库是IPS的主要组成部分之一。它包含不同对象的定义,例如攻击对象、应用签名对象和服务对象,这些对象用于定义 IPS 策略规则。
为了保持 IPS 策略井井有条且可管理,可以对攻击对象进行分组。攻击对象组可以包含一种或多种类型的攻击对象。Junos OS 支持以下三种类型的攻击组:
IPS 签名 - 包含签名数据库中存在的对象。
动态组 - 包含基于特定匹配条件的攻击对象。在签名更新期间,动态组成员身份将根据该组的匹配条件自动更新。例如,您可以使用动态攻击组过滤器对与特定应用相关的攻击进行动态分组。
静态组 - 包含在攻击定义中指定的攻击列表。
签名攻击对象使用状态攻击签名(一种始终存在于攻击的特定部分中的模式)来检测已知攻击。它们还包括:
用于实施攻击的协议或服务以及发生攻击的上下文。
特定于签名攻击的属性 — 攻击上下文、攻击方向、攻击模式和协议特定参数(TCP、UDP、ICMP 或 IP 报头字段)。
签名可能会产生误报,因为某些正常的网络活动可能会被解释为恶意。例如,某些网络应用或操作系统会发出大量 ICMP 消息,基于签名的检测系统可能会将这些消息理解为攻击者试图绘制网络分段。您可以通过编辑签名参数(以微调签名)来最大程度地减少误报。
您可以在 Security Director 的 IPS 策略签名页面上创建、过滤、修改或删除 IPS 签名。您可以下载签名数据库并将其安装到安全设备。您可以通过安排下载和安装任务并将这些任务配置为以特定时间间隔重复来自动执行下载和安装过程。这可确保您的签名数据库是最新的。