管理员根据网络流量特点对特定的入侵行为自行定义的签名。通常在预定义签名以外，管理员出于某种原因要阻止特定的行为时创建的。比如，员工使用QQ时，某些行为（并非预定义签名中检测的入侵行为）需要阻断，则可根据行为特征来设定自定义签名，动作为阻断，引入到配置文件中。当网络中某些入侵来临，而预定义签名库尚未更新的情况下，管理员分析入侵特征后也可创建自定义签名。而当预定义签名库更新后，便可使用预定义签名。

自定义签名的攻击特征使用正则表达式定义。正则表达式是一种模式匹配工具。管理员可以使用元字符灵活的配置自定义签名。

自定义签名的动作分为阻断和告警，您可以在创建自定义签名时配置签名的响应动作。

签名过滤器

由于设备升级签名库后会存在大量签名，而这些签名没有进行分类，且有些签名所包含的特征本网络中不存在，需要设置签名过滤器对其进行管理，并过滤掉。

签名过滤器的动作分为：

阻断：丢弃命中签名的报文，并记录日志。
告警：对命中签名的报文放行，但记录日志。
采用签名的缺省动作，实际动作以签名的缺省动作为准。

签名过滤器的动作优先级高于签名缺省动作，当签名过滤器动作不采用缺省动作时以签名过滤器中的动作为准。

签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括：签名的类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才能加入签名过滤器中。例如，当只需要对HTTP类型的报文进行入侵防御，可以通过过滤条件只加入HTTP协议的签名。

例外签名

由于签名过滤器会批量过滤出签名，且通常为了方便管理会设置统一的动作。如果管理员需要将某些签名设置为与过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。

例外签名的动作分为：

阻断：丢弃命中签名的报文并记录日志。
告警：对命中签名的报文放行，但记录日志。
放行：对命中签名的报文放行，且不记录日志。
添加黑名单：是指丢弃命中签名的报文，阻断报文所在的数据流，记录日志，并可将报文的源地址或目标地址添加至黑名单。

例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器，则以例外签名的动作为准。

例如：签名过滤器中过滤出一批符合条件的签名，且动作统一设置为阻断。但是员工经常使用的某款自研转件却被拦截了。观察日志发现，用户经常使用的该款自研软件命中了签名过滤器中某个签名，被误阻断了。此时管理员可将此签名引入到例外签名中，并修改动作为放行。

入侵防御对数据流的处理

当数据流命中的安全策略中包含入侵防御配置文件时，设备将数据流宋儒道入侵防御模块，并依次匹配入侵防御配置文件引用的签名。

当数据流命中多个签名，对该数据流的处理方式如下：

如果这些签名的实际动作都为告警时，最终动作为告警。
如果这些签名中至少一个签名的实际动作为阻断时，最终动作为阻断。

当数据流命中了多个签名管理器时，设备会按照优先级最高的签名过滤器的动作来处理。

签名的实际动作由签名缺省动作、签名过滤器和例外签名配置的动作共同决定。

检测方向

当配置引用了入侵防御配置文件的安全策略时，安全策略的方向是会话发起的方向，而非攻击流量的方向。

保护内网服务端流量

保护内网客户端流量

IDS技术原理 --网络摄像头（旁观者）

部署方式：旁路部署，可多点部署

工作范围：2-7层

工作特点：根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

目的：传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。（只发现，不执行）

标签：动作,入侵,报文,IDS,命中,技术,IPS,签名,过滤器
来源： https://blog.csdn.net/weixin_51045259/article/details/118445379

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

ICode9

IPS和IDS技术

IPS技术原理--抵御2-7层已知威胁

入侵防御实现机制

签名

签名过滤器

例外签名

入侵防御对数据流的处理

检测方向

IDS技术原理 --网络摄像头（旁观者）