思科IPS系统的signatures和告警

                       思科IPS系统的signatures和告警

思科IPS的检测是基于signatures来完成的，而思科的signatures分为三种： 内置的signatures、经过修改的signatures、用户自定义的signatures。

ü内置的signatures：内置的signatures是思科预定制嵌入到IPS的签名，是没有经过调整的，目前大约有1000多种，内置的signatures不能被重名命或者删除。如果你不要使用某个内置的signature，你可以对它进行disable（禁用）或者retire（退去）。disable（禁用）的签名还是在引擎中，只是不做检测，而retire（退去）指示签名已经不在引擎中，将其某个签名从引擎中去除。内置signature的范围是1-50000。一个大类型的signature还可能存在子signature（Sub-signature）。

ü经过修改的signatures：在IPS已经存在的signatures基础上用户作了调整。

ü用户自定义的signatures：用户自行定义的signatures。

关于signatures的特性：

ü响应行为：指示检测到一个***或者***行为时采取的措施，比如：报警或者丢弃。

ü报警汇总：将同类的报警进行汇总，否则会产生很多的报警。检测到同类型数据流量的每个包都报警，这显然是不科学的行为，而且效能很低。

ü阀值配置：这是降低误警率的一种有效手段，比如：很多扫描软件会使用ICMP来确定网络上的主机在线与否，但是网络管理员也可能使用ping来检测网络连通性，如果一发现ICMP包就报告是非法的扫描行为，那么这将产生误警，此时，就可以配置阀值，比如连继发现20个ICMP包再进行扫描报警，在20个包以下就不报警。

ü逃避技术特性：可以开启或关闭***逃避技术的特性。

ü忠诚度：定义signatures时，可以为它定义一个忠诚度，忠诚度的范围是0-100，比如你定义了一个忠诚度为60%，那么该signature的报警60%是可靠的，40%不可靠（可能是误警）

ü应用层防火墙：传统的防火墙主要是针对协议或者协议中的命令进行过滤，思科的IPS它具备应用层防火墙的功能，它可以对***、恶意代码、脚本进行过滤，还可以***到应用层协议的封装中比如对Http的内容进行过滤，所以也叫IPS上的应用层防火墙为深度检测防火墙，同时IPS上的防火墙是传统防火墙策略失效或者误配置后的第二倒防线。默认是处于关闭状态。

üSNMP支持：思科的IPS从5.0版本开始支持SNMP管理。

üIPv6支持：并不是直接分析IPv6的包，而是分析IPv6中封装的IPv4数据包。

理解思科IPS系统的signature检测***行为后的动作

当思科的***检测系统根据signature判断出安全违规行为时，可以直接丢弃恶意数据包、报警并把报警里面的数据包捕获、捕获后续数据包、初始化blocking（登陆到别的设备上进行阻止）、产生SNMP的报警、发送TCP的reset信号，终止TCP连接。

关于理解捕获后续数据包：

在一些情况下，一个***或者安全违规行为可能被隐藏到多个数据包中，当IPS分析到这一系列包中的第一个包时，可能它并不能确定这是一种***或者安全违规行为，那么IPS此时并不急于裁定这是违规的数据包或者合法的数据包，而是将后续的包进行捕获，然后在使用协议分析器进行解码来判断是否属于***或者安全违规行为，决定后再执行相关的动作行为。

理解思科IPS系统signature的引擎

signature的引擎是思科IPS重要组成部分，基于signature的不同目的，可以将signature的引擎分为很多类，如下图5.4所示，你可以基于不同的类型的引擎来找到具体的signature，比如：要查找ICMP的请求与应答的签名，就可以通过Atomic IP(单一IP)类引擎来确定。每个signature被分配到一个特定的引擎，目标是为了监控特定的流量。每一个signatures默认的行为是告警，当然可以配置其它行为。告警被存储在传感器的本地event中，外部的监控程序可以通过SDEE集中收集告警信息。多个主机可以向同一个传感器收集告警。传感器的告警分为informational（信息）、Low（低） 、medium（中）、High（高）四个等级，告警的级别和触发signature的严重级别一样，它们相关联。

如何更好的去理解每个signature的意义：

　　可以移动到你需要理解的signature上，右击它，然后选择NSDB Link通地思科的安全诠释库来在线查询它，如下图5.6所示：