创建 IPS 签名

姓名

输入由字母数字字符、冒号、句点、破折号和下划线组成的唯一字符串。不允许使用空格，最大长度为 63 个字符。

描述

输入 IPS 签名的说明;最大长度为 1024 个字符。

类别

输入预定义类别或新类别。使用此类别对攻击对象进行分组。在每个类别中，攻击对象都按严重性分组。例如：FTP、TROJAN、SNMP。

行动

选择当受监控流量与规则中指定的攻击对象匹配时希望 IPS 签名执行的作：

• 无 - 不执行任何作。使用此作可仅生成某些流量的日志。

• 关闭客户端和服务器 - 关闭连接并向客户端和服务器发送 RST 数据包。

• 关闭客户端 — 关闭连接，并向客户端发送 RST 数据包，但不向服务器发送数据包。

• 关闭服务器 - 关闭连接并向服务器发送 RST 数据包，但不向客户端发送数据包。

• 忽略 — 如果发现攻击匹配项，则停止扫描连接其余部分的流量。IPS 会禁用特定连接的规则库。

• 丢弃 — 丢弃与连接关联的所有数据包，防止连接的流量到达其目标。使用此作可丢弃不易发生欺骗的流量的连接。

• 丢弃数据包 — 在匹配的数据包到达目的地之前丢弃它，但不会关闭连接。使用此作可丢弃易受欺骗流量（如 UDP 流量）中遭受攻击的数据包。丢弃此类流量的连接可能会导致拒绝服务，从而阻止您接收来自合法源 IP 地址的流量。

关键词

输入可用于搜索和排序日志记录的唯一标识符。关键字应与攻击和攻击对象相关。例如， Amanda Amindexd Remote Overflow。

严重性

为签名将报告的攻击选择严重性级别：

• 严重 — 包含与试图逃避检测、导致网络设备崩溃或获取系统级权限的漏洞匹配的攻击对象。

• 信息 — 包含与正常、无害流量匹配的攻击对象，其中包含 URL、DNS 查找失败、SNMP 公共社区字符串和对等 （P2P） 参数。您可以使用信息性攻击对象来获取有关您网络的信息。

• 主要 — 包含与漏洞匹配的攻击对象，这些漏洞试图破坏服务、获取对网络设备的用户级别访问权限或激活之前加载在设备上的木马程序。

• 次要 - 包含与漏洞匹配的攻击对象，用于检测试图通过目录遍历或信息泄露访问重要信息的侦察工作。

• 警告 — 包含与试图获取非关键信息或使用扫描工具扫描网络的漏洞匹配的攻击对象。

最危险的级别是“严重”，它试图使您的服务器崩溃或获得对网络的控制权。信息性级别是危险性最小的级别，供网络管理员用来发现其安全系统中的漏洞。

签名详细信息

绑定

选择一个选项以检测攻击用于进入您网络的服务或协议：

• IP — 允许 IPS 匹配指定 IP 协议类型的签名。

• ICMP — 允许 IPS 匹配指定 ICMP ID 的签名。

• TCP — 允许 IPS 匹配指定 TCP 端口的签名。

• UDP — 允许 IPS 匹配指定 UDP 端口的签名。

• RPC — 允许 IPS 匹配指定远程过程调用 （RPC） 程序号的签名。分布式处理应用程序使用 RPC 协议来远程处理进程之间的交互。

• 服务 — 允许 IPS 匹配指定服务的签名。

• IPv6 或 ICMPv6 — 指定签名攻击的报头匹配信息。您可以指定 IPS 在数据包中搜索 IPv6 和 ICMPv6 标头信息的模式匹配项。

协议

输入网络协议的名称。例如：IGMP、IP-IP。

下一个标题

输入紧接在 IPv6 报头后面的报头的 IP 协议类型。

例如，如果设备对交换的数据包执行 IPsec，则“下一个报头”值可能为 50（ESP 扩展报头）或 51（AH 扩展报头）。

端口范围

输入 TCP 和 UDP 协议类型的端口范围。

程序编号

输入 RPC 协议的程序 ID。

服务

指定攻击用于进入您的网络的服务。您可以选择用于实施攻击的特定服务作为服务绑定。

例如，假设您选择了 DISCARD 服务。丢弃协议是一种应用层协议，其中 TCP/9、UDP/9 描述丢弃发送到端口 9 的 TCP 或 UDP 数据的过程。

时间范围

选择发生攻击计数的范围：

• 源 IP — 检测来自源地址的攻击次数，无论目标地址如何。

• 目的地 IP — 检测发送到目标地址的攻击次数，无论源地址如何。

• 对等方 — 检测会话的源和目标 IP 地址之间指定次数的攻击。

时间计数

指定攻击对象必须在指定范围内检测到攻击的次数，设备才能将攻击对象视为与攻击匹配。

范围从 0 到 4,294,967,295。

匹配保证

指定此过滤器，根据攻击在您的网络上产生误报的频率跟踪攻击对象。

选择一个选项：

• 高 - 提供有关经常跟踪的误报事件的信息。

• 中 — 提供有关偶尔跟踪的误报事件的信息。

• 低 - 提供有关很少跟踪的误报事件的信息。

性能影响

指定此过滤器以过滤掉性能缓慢的攻击对象。您可以使用此过滤器仅根据性能影响选择适当的攻击。

选择一个选项：

• 高 — 添加易受到攻击的高性能影响攻击对象。签名对性能的影响从高7到高9不等，其中应用识别速度较慢。

• 中等 — 添加容易受到攻击的中等性能影响攻击对象。签名对性能的影响为中等4 到中等6，其中应用识别正常。

• 低 - 添加易受到攻击的低性能影响攻击对象。签名对性能的影响从低1 到低3，应用识别速度更快。

• 未知 - 默认情况下将所有攻击对象设置为未知。根据网络流量微调 IPS 时，可以更改此设置以帮助跟踪性能影响。签名对性能的影响为 0 = 未知，其中应用标识也未知。

表达式

输入攻击成员的布尔表达式，用于标识攻击成员的匹配方式。

例如：m01 AND m02，其中 m01、m02 是攻击成员。

范围

指定攻击是在会话内匹配还是在会话中的事务之间匹配：

• 会话 - 允许同一会话中的对象进行多个匹配。

• transaction—在同一会话中发生的多个事务中匹配对象。

重置

启用此选项可在同一会话中每次检测到攻击时生成新日志。如果未选择此选项，则每个会话仅记录一次攻击。

已订购

启用此选项可创建一个复合攻击对象，该对象必须按您指定的顺序匹配每个成员签名或协议异常。如果未指定顺序，复合攻击对象仍必须与所有成员匹配，但模式或协议异常可以按任何顺序出现在攻击中。

复合攻击对象可检测使用多种方法利用漏洞的攻击。

添加签名

背景

选择一个选项以定义签名的位置。

如果您知道服务和特定的服务上下文，请指定该服务，然后指定相应的服务上下文。

如果您知道该服务，但不确定特定的服务上下文，请指定其中一个常规上下文。

例如： 线路 - 指定此上下文以检测网络流量中特定线路内的模式匹配。

方向

指定攻击的连接方向：

• 客户端到服务器 — 仅在客户端到服务器流量中检测攻击。

• 服务器到客户端 — 仅在服务器到客户端流量中检测攻击。

• 任意 — 检测任一方向的攻击。

使用单一方向（而非任意）可提高性能，减少误报，并提高检测准确性。

模式

输入要检测的攻击的签名模式。签名是攻击中始终存在的一种模式;如果存在攻击，则签名也存在。

要创建攻击模式，您必须首先分析攻击以检测模式（例如代码段、URL 或数据包标头中的值），然后创建表示该模式的语法表达式。

例如：使用 \[<character-set>\] 进行不区分大小写的匹配。

正则表达式

输入正则表达式以定义规则，以匹配网络上的恶意或不良行为。

例如：对于语法 \[hello\]，预期的模式是 hello，区分大小写。

示例匹配可以是：hElLo、HEllO 和 heLLO。

否定

选择此选项可将指定的模式排除在匹配之外。

如果攻击中定义的模式与指定的模式不匹配，则否定模式意味着该攻击被视为匹配。

添加异常

异常

选择一个选项，以根据所使用特定协议的规则集检测连接中的异常或不明确消息。

协议异常检测的工作原理是发现与协议标准的偏差，通常由 RFC 和常见 RFC 扩展定义。

方向

指定攻击的连接方向：

• 客户端到服务器 — 仅在客户端到服务器流量中检测攻击。

• 服务器到客户端 — 仅在服务器到客户端流量中检测攻击。

• 任意 — 检测任一方向的攻击。

使用单一方向（而非任意）可提高性能，减少误报，并提高检测准确性。

支持的检测器

单击支持 的检测器 链接以显示一个表格，其中显示设备平台和当前在设备上运行的 IPS 协议检测器的版本号。

例如：

• 平台 - SRX550

• 检测器版本 - 9.1.140080400