用IPS追踪入侵者系列之“行为处理法”

申请免费试用、咨询电话：400-8352-114

行为处理法的用途

前文介绍了如何通过IPS入侵防御系统在第一时间发现攻击者以及分析下连设备主机漏洞，今天我们继续为大家讲解入侵防御系统IPS的一大特色功能——行为处理法，通过行为处理法我们可以更加灵活的选择入侵防御系统发现入侵数据包后采取的措施与行为，这个特色也是IPS入侵防御系统与IDS入侵检测系统最大的区别。

一、行为处理法的用途：

行为处理法就是针对不同类型的网络通讯数据包采取不同的转发和处理策略，例如正常通讯数据包可以容许通过，漏洞攻击数据包直接禁止通行或者转发到一个固定的服务器进行分析，一些非常规数据包则首先放行但是对其进行记录监控如果影响正常网络服务就马上禁用。

通过行为处理法我们可以轻松应对企业网络通讯中有用的，非法的，不确定的数据包，根据协议不同功能不同端口不同目的地址的不同采取不同的处理策略。每过一段时间我们可以通过IPS入侵防御系统的日志来分析各个类型的数据包，然后根据统计归纳制订新的行为处理规则，让企业网络更加稳固的运行。

二、用行为处理法追踪入侵者：

下面我们就来了解下行为处理法是如何运转工作的，我们依旧以华为公司的Tippingpoint入侵防御系统为例进行介绍。

(1)行为处理法之配置安全策略：

第一步：登录到IPS系统管理界面，我们在左边找到IPS选项下的security profiles，这个是关于安全配置的信息，在这里我们能够看到默认的是default security profile，这个是系统集成时厂商制订好的。(如图1)

第二步：下面我们来修改这个默认的default security profile，打开后会显示该安全策略应用的接口，由于笔者所在公司只使用了两个接口，一个入一个出所以这里不用修改。(如图2)

第三步：接下来是profile details(advanced)设置，这里是关于策略的详细信息进行配置的。我们可以看到默认情况系统针对各个攻击类型划分了类别，每个类别是一个category。可以处理的攻击包括exploits益出，identity theft，security policy(安全策略)，virus病毒，spyware间谍程序等等，种类很多这里就不一一罗列了，对于每个大类category来说我们都可以设置IPS操作的行为以及处理方法，包括block禁止通行,block+notify禁止通行并提示,block+notify+trace禁止通行并提示而且追踪源地址,limit rate to 10M容许速度限制为10M,limit rate to 5M,permit+notify,perminotify+trace容许通行并追踪数据等等。基本上这里罗列的行为处理方法足够在实际中使用了，如果企业需要特殊的行为处理操作的话可以按照下文介绍的方法添加。这里有一个recommended的意思是推荐，他表示对于该大类处理方法按照单独小类进行处理，例如virus下有A病毒与B病毒，如果大类virus设置为recommended的话，那么具体到处理AB病毒时按照A病毒与B病毒自身设置的行为处理规则运行。(如图3)

第四步：在该默认安全策略的最后一个区域就是我们之前提到的针对单个种类病毒，单个种类的漏洞以及攻击脚本进行策略设置，理论上小类设置服从大类的配置类别，如果大类设置为recommended的话按照小类的action行为参数实施。小类行为处理时可以通过右边的编辑选项修改或叉子按钮删除该安全类别。(如图4)

第五步：每个安全规律规则都有详细的讲解内容，我们可以从该页面了解其运行原理以及避免解决办法。(如图5)

第六步：针对单独小类进行设置可以让我们的网络管理以及IPS入侵防御系统运行得更有效率，更加灵活的应对不同安全级别不同漏洞种类的攻击数据包。(如图6)