IPS原理描述

IPS原理描述

介绍IPS的实现原理。

基本概念

在了解入侵行为检测的原理之前，您需要知道IPS特征库、IPS签名以及安全中心平台的作用：

• IPS特征库：华为公司通过分析各种常见入侵行为形成了IPS特征库，该库对各种常见的入侵行为特征进行了定义，同时为每种入侵行为特征都分配了一个唯一的入侵行为ID。设备加载IPS特征库后，即可识别出IPS特征库里已经定义过的入侵行为。
• 安全中心平台：域名为sec.huawei.com，华为公司部署的服务器，可以为购买License的客户提供IPS特征库升级服务。

• IPS签名

  IPS签名用来描述网络中存在的该入侵行为的特征，及设备需要对其采取的动作。设备通过将报文内容和IPS签名进行比较，就可以检测和防范该入侵行为攻击。

  IPS签名包括预定义签名和自定义签名。

  • 预定义签名

    预定义签名是系统预先定义的大量签名。预定义签名已经预先设置了匹配该签名的签名动作为阻断或告警。管理员可以根据预定义签名对入侵行为进行防范和阻断。

    设备出厂时已加载了预定义签名库，即IPS特征库。为了能够及时识别出最新的入侵行为，用户可以购买License并激活，IPS特征库会定期进行更新，这样就能够不断地从安全中心平台获取最新的预定义签名，以保证对新的入侵行为及时响应。

  • 自定义签名

    自定义签名是管理员根据网络流量特点对特定的入侵行为自行定义的签名。
    • 在预定义签名以外，管理员出于某种原因要阻止或记录特定的行为时创建的。比如，员工使用聊天软件时，某些行为（并非预定义签名中检测的入侵行为，如传送可执行文件容易引起病毒传播）需要被阻断，管理员则可根据行为特征来创建自定义签名，动作为阻断，引入到配置文件中。
    • 当网络中某些入侵来临，而IPS特征库尚未更新的情况下，管理员分析入侵特征后也可创建自定义签名。而当IPS特征库更新后，便可使用预定义签名。

用户可以通过签名过滤器对预定义签名进行管理，通过例外签名对预定义签名、自定义签名进行管理。

• 签名过滤器

  由于设备升级特征库后会存在大量签名，而这些签名是没有进行分类的，且有些签名所包含的特征本网络中不存在，需过滤出去，故设置了签名过滤器进行管理。管理员分析本网络中常出现的威胁的特征，并将含有这些特征的签名通过签名过滤器提取出来，防御本网络中可能存在的威胁。

  签名过滤器是满足指定过滤条件的签名集合。签名过滤器的过滤条件包括：签名的类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才能加入签名过滤器中。例如，当只需要对HTTP类型的报文进行入侵防御，可以通过过滤条件只加入HTTP协议的签名。

  签名过滤器的动作分为阻断、告警和采用签名的缺省动作。签名过滤器的动作优先级高于签名缺省动作，当签名过滤器的动作不采用签名缺省动作时，以签名过滤器设置的动作为准。

  各签名过滤器之间存在优先关系（按照配置顺序，先配置的优先）。如果一个安全配置文件中的两个签名过滤器包含同一个签名，当报文命中此签名后，设备将根据优先级高的签名过滤器的动作对报文进行处理。

• 例外签名

  为了方便管理，签名过滤器会批量过滤出签名。如果管理员需要将某些签名设置为与签名过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。例如，当管理员从日志中查看到某个攻击事件需要阻断，可以将匹配此攻击的签名加入到例外签名中，并设置动作为阻断。

  例外签名的动作分为阻断、告警和放行。

  例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器，则以例外签名的动作为准。

  例如，签名过滤器中过滤出一批符合条件的签名，且动作统一设置为阻断。但是员工经常使用的某款自研软件却被拦截了。观察日志发现，用户经常使用的该款自研软件命中了签名过滤器中某个签名，被误阻断了。此时管理员可将此签名引入到例外签名中，并修改动作为放行。

IPS特征库升级

IPS特征库的升级支持增量的在线升级方式，并且在升级的过程中不影响系统的正常业务。IPS特征库升级完成后，系统自动切换IPS特征库版本，不需要重启设备。如果在IPS特征库版本升级过程中发生异常而导致升级失败，系统会自动回退到上一个IPS库版本，也不会影响系统的正常业务。

为了保证对新的入侵行为及时响应，安全中心平台上的IPS特征库会实时更新。用户可以选择通过在线升级或者本地升级的方式，从安全中心平台获取最新的IPS特征库升级包，以达到最佳的入侵防御效果。

• 在线升级

  • 如果设备可以正常访问安全中心平台，可以通过安全中心平台进行在线升级。

  • 如果设备无法与安全中心平台连接，内网升级服务器能够访问安全中心平台时，可以通过内网升级服务器进行在线升级。

    用户使用内网服务器连接安全中心平台获取IPS特征库，由内网升级服务器将升级文件上传至设备进行IPS特征库的更新。

  在线升级支持定时升级和立即升级。

  • 定时升级：用户只需要指定定时升级的时间，就能实现IPS特征库的及时自动更新和手动更新。为了避免由于网络状况不好造成的升级失败，建议用户将定时升级的时间设置在网络流量较小的时间进行。
  • 立即升级：当管理员发现网络上出现新的攻击行为，而设备的定时升级时间尚未到达时，立即执行升级操作，让设备可以对新的攻击行为进行防御。
• 本地升级：当设备与安全中心平台之间网络不可达时，用户可以在能够访问安全中心平台的PC上，登录安全中心平台手工下载最新的IPS特征库升级包，然后通过FTP、TFTP或Web方式将升级文件上传至设备进行IPS特征库的更新。

IPS对数据流的处理

入侵防御配置文件包含多个签名过滤器和多个例外签名。

签名、签名过滤器、例外签名的关系如图1所示。假设设备中配置了3个预定义签名，分别为a01、a02、a03，且存在1个自定义签名a04。配置文件中创建了2个签名过滤器，签名过滤器1可以过滤出协议为HTTP、其他项为条件A的签名a01和a02，动作为使用签名缺省动作。签名过滤器2可以过滤出协议为HTTP和UDP、其他项为条件B的签名a03和a04，动作为告警。另外，2个配置文件中分别引入1个例外签名。例外签名1中，将签名a02的动作设置为告警；例外签名2中，将签名a04的动作设置为阻断。

签名的实际动作由签名缺省动作、签名过滤器和例外签名的动作共同决定的，参见图1中的“签名实际动作”。

图1 签名、签名过滤器、例外签名的关系

当数据流命中的安全策略中包含IPS配置文件时，设备将数据流送到IPS模块，并依次匹配IPS配置文件引用的签名。IPS对数据流的通用处理流程请参见图2。

以图1中的配置为例，根据图2，设备对数据流处理过程如下：

数据流首先匹配例外签名，假设命中了例外签名1中的a02，则由于例外签名1的动作为告警，跳过并继续匹配签名过滤器。假设命中了签名过滤器2中的a04。签名过滤器2的动作为阻断，则对报文最终处理方式为阻断。