配置IPS 異常檢測防御蠕蟲攻擊

■ 河南 許紅軍

編者按：在防御越來越嚴重的網絡攻擊方面，IPS（入侵防御系統）發展已較為成熟。與IDS（入侵檢測系統）不同，IPS 不僅可以檢測網絡威脅，還可以對其進行抵御。IPS 提供了商業化的攻擊解決方案，通過安裝部署IPS 設備，可以有效抗擊各種網絡入侵行為。對于IPS 來說，最常用的是基于特征代碼的入侵檢測技術，即通過匹配Signature 特征碼來匹配攻擊行為，通過靈活的自定義特征碼，可以大大提高檢測和防御的準確性。

IPS 設備的工作模式

以思科某款IPS 設備為例，它可以工作在雜合模式（Promiscuous-Mode）和在線模式（InLine-Mode）。

對于雜合模式來說，通過在核心交換機上使用SPAN技術，將通過某接口或VALN的流量復制一份，并發送到IPS 設備Sensor 口上。IPS設備會對其進行分析，如果發現攻擊行為，就會產生告警信息。安全人員在IPS 管理中心窗口就會看到告警信息。但該模式對網絡攻擊抵御能力很弱。

對于在線模式來說，IPS設備串接在核心路由器等關鍵設備之間，它相當于兩口交換機，流量通過其橋接功能進入內網。這樣IPS 就可以實時對進入的流量進行分析。對于正常的流量可以放行，對于存在威脅的流量則直接進行攔截。該模式與透明防火墻有些類似。

在線模式可以有效抵御觸發包以及后續攻擊數據包，或者所有源自攻擊者的數據包。對于IPS 設備來說，能夠使用流量規范化技術，減少或者消除很多網絡逃避技術，特別適用于防御網絡蠕蟲。

這里就針對IPS 設備的異常檢測機制，來重點談談如何防御網絡蠕蟲。

IPS 異常檢測機制實現方法

IPS 設備的異常檢測策略，可以有效防御網絡蠕蟲的侵襲。異常檢測是IPS 的Sensor 用于檢測感染蠕蟲病毒主機的組件，該組件可以讓Sensor 學習正常流量，當在網絡流量出現異常時及時發出報警信息，或者采取動態相應行為對其進行抵御。

利用該組件可以降低Sensor 為了檢測蠕蟲和掃描器對于病毒特征庫的依賴。按照常規處理方式，當某個蠕蟲爆發后，用戶需要從安全廠商處進行病毒庫升級包，用來匹配該蠕蟲的特征碼，并據此進行判斷，確定具體的蠕蟲病毒后才可以將其解決掉。

該方法實際上可靠性不高，因為安全廠商的病毒庫更新可能比較慢。在等候更新包期間，正常的網絡通訊早已被蠕蟲完全破壞。注意，這里的Sensor 就是IPS 設備的核心功能，因為現在的IPS 設備幾乎都提供的虛擬化功能，可以創建多個虛擬Sensor（例如VS0 等）。某個虛擬Sensor 需要和對應的IPS 設備流量接口綁定，才可以實現檢測操作。例如，將該款思科IPS 設備的VS0 和GigabitEthernet0/0 接口綁定起來，這樣由該接口進入的流量就會被VS0 虛擬設備內置的三個策略（包括特征碼策略、事件行為策略和異常檢測策略）進行處理，如果發現其中數據包觸發了預設的規則，就會進行相應的處理（例如丟棄、報警等）。

異常檢測機制運行模式

利用IPS 的異常檢測機制，可以避開上述問題，從另一個方面對蠕蟲進行防御。因為當蠕蟲爆發后，必然出現網絡異常。

例如，當第一臺主機遭到蠕蟲侵襲后，就會對其他的安全性比較脆弱（例如存在系統漏洞等）的主機產生威脅。病毒會針對某個端口（例如TCP 445 等）或者某些端口進行掃描，當其攻擊得手后，會讓更多的主機感染蠕蟲，在感染網絡過程中，會制造大量的垃圾流量來干擾網絡的運行。當網絡遭到蠕蟲流量擁塞時，或者當蠕蟲開始感染其他正常主機時，就會被IPS 的異常檢測機制捕獲。

該機制會通過檢測正常主機的并發連接數以及流量變動值，來確認網絡是否遭到了蠕蟲的攻擊。例如，該機制會在固定的周期內（例如從周一到周五）對網絡流量進行基準線的采樣。當網絡流量突然劇增，明顯超出了平均的流量值，或者正常主機出現太多的并發連接，IPS 設備就認為網絡出現了異常情況，就會采取相應的行為進行控制。

IPS 設備的異常檢測機制提供了Learn mode（學習模式），Detect mode（檢測模式）以及Inactive mode（不生效）三種工作模式。

對于學習模式來說，主要用來學習在正常模式下，網絡的基準流量以及正常的并發連接數等信息。檢測模式是默認模式，需注意，即使將其配置成為了檢測模式，在最初的24 h 內依然處于學習模式。超過默認學習時間后，就可以將其設置為檢測模式。之后該機制將基于學習到的網絡基本信息來檢測攻擊行為，當發現網絡流量超過基準線后就會發出報警信息。因為異常檢測機制無法工作在異步路由環境，在該環境中其會認為所有的連接都是半開連接，所以在該狀態下需要將其置于不生效模式。

異常檢測機制會使用到Zones 的概念，Zones 是目的IP 地址集，通過將網絡劃分為不同的Zones，可以有效降低誤報率。一般情況下存在Internal 內部、External 外部和Lllegal 非法三種類型的Zones，不同的Zones 都有屬于自己的閥值。一臺主機可以創建多少個并發連接，一個網絡會產生多大的流量，在不同類別下是不同的。對于內部網絡來說，流量的容忍性自然會大些。而對于外部網絡來說，流量的容忍性就會小一些。對于非法網絡來說，是不允許其產生任何流量的。

配置IPS 異常檢測機制

在配置異常檢測功能時，首先需要添加異常檢測策略到虛擬Sensor 中。

在IPS 的管理界面中點擊工具欄上的Configura tion項，在左側選擇“Anomaly Detections”項，在右側點擊“Add”按鈕，輸入策略的名稱（例如“ycjc”），然后點擊“OK”按鈕創建該策略。在左側點擊“IPS Policies”節點，在右側選擇某個虛擬Sensor，點擊“Edit”按鈕，在其屬性窗口中的“Anomaly Detection”列表中選擇該策略，在“AD Operational Mode”列表中選擇所需的模式，就可以將其關聯到該虛擬Sensor 上。

之后需要配置異常檢測模式的Zones、協議和服務信息，在左側選擇“Anomaly Detections”項，在這里列出所有的異常檢測策略項。這里選擇上述“ycjc”項，在右側的“Internal Zones”面板中輸入內部網絡地址集，例如，“172.16.0.0 ～172.16.255.255”等。在“Illegal Zone”面板中輸入非法的網絡地址集，例如“11.0.0.0 ～11.255.255”等。

當確定了內部的和非法的地址集后，其余的地址集就屬于外部的。之后將異常檢測機制置于學習模式，并讓其學習24 h，然后切換到檢測模式，并根據情況配置合適的參數。

例如，打開上述策略中的“屬性→Operation Sett ings →Worm Timeout”，設置蠕蟲檢測超時，默認為600 s。IPS 設備使用該時間間隔對網絡流量進行采樣。通過對該時間段內的流量進行采樣，來發現是否超過基準流量值，并據此來判斷是否為蠕蟲爆發。選擇“Enable Ignored IP Addresses”項，可以輸入所需的源地址和目標地址，來設置忽略的IP 地址范圍。因為管理員有時會使用一些掃描工具對網絡狀態進行檢測，因此需要將相關的地址忽略掉，防止產生誤報。

在Learning Accept Mode面板中的“Action”列表中選擇“Rotate”項，采用的是輪轉模式。在該模式下，前一天24 h 內學習的基準流量值會應用到第二天，之后以此類推。選擇“Save Only”項，表示每天學習的基準流量單獨保存，必須相互獨立，使用時需要手工指派。該模式更具靈活性，可以周期性的進行基準流量的學習。

在“Scheule”列表中選擇“Periodic Schedule”項，可以設置每天進行基準掃描的時間段。選擇“Calendar Schedule”項，可以針對從周一到周日設置基準掃描的時間段。

對于學習到的基準參數，可以在IPS 管理界面頂部點擊“Monitoring”按鈕，在左側選擇“Sensor Monitoring →Dynamic Data→Anomaly Detection”項，在右側顯示所有的基準參數值。選擇所需的參數項，點擊“Load”按鈕，就可以據此進行檢測了。

手動配置參數，提供防御靈活性

除了可以讓IPS 自動學習基準參數外，還可以手動設置一些關鍵參數。

在上述異常檢測策略項屬性窗口中依次點擊并打開“Internal Zone →TCP Protocol →Default Thre sholds → Scanner Thre shold”項，設置掃描的閥值，默認為200。該參數表示當一臺主機在一分鐘之內向不同的目標地址的相同端口發起超過200 個不完全連接時，就會觸發對應的IPS 特征碼，表示其違反了相應的安全規則，可能是由于蠕蟲的活動所引起的。對于蠕蟲來說，其最常見的動作是針對特定的端口進行大量的掃描。

當蠕蟲在內部Zones 中發起的不完全連接滿足該閥值條件后，就會觸發IPS 內置 的Traffic Anomaly 流量異常引擎。在IPS 管理窗口左側選擇“Configurat ion→Policies→Signature Definitions →sig0 →All Signatures”項，然后在右側的“Filter”列表中選擇“Engine”項，在右側列表中選擇“Traffic Anomaly”項，就會顯示所有和異常流量檢測相關的特征動作處理規則。

注意，滿足上述條件后觸發的是ID 為0 的處理規則。ID 為0 的Signatures 規則處理的是掃描行為，ID 為1的規則處理的是泛洪行為。例如，對于TCP 的掃描連接超過預設的閥值后，就會觸發編號13000 的0 號子ID 的Signatures 規則。

在“Threshold histo gram”列表中顯示了閥值柱狀圖參數，主要用來處理蠕蟲的網絡泛洪行為。按照常規理解，在蠕蟲超時流量檢測時間段內，向超過100 個不同目標地址的相同特定端口發起的不完全連接的主機數超過1 個時，表示泛洪嚴重等級為High；向超過20 個不同目標地址的相同特定端口發起的不完全連接的主機數超過3 個時，表示泛洪嚴重等級為Medium；向超過5個不同目標地址的相同特定端口發起的不完全連接的主機數超過10 個時，表示泛洪嚴重等級為Low。

滿足以上嚴重等級后，就可以認為蠕蟲除以爆發狀態。例如，對于TCP 的掃描連接超過預設的閥值后，就會觸發編號13000 的10 號子ID 的Signatures 規則。在“Destination Port Map”欄中還可以針對特定端口設置閥值參數。

當然，除了針對TCP 協議進行內部Zone 的參數設置外，還可以針對UDP 或者其他協議進行上述參數的手工配置。