博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 1727|回复: 1

IPS 5.1各个引擎分类解释

[复制链接]
发表于 2008-4-20 12:23:52 | 显示全部楼层 |阅读模式
IPS 5.1各个引擎分类解释


IPS 5.1里signature engine是一个sensor的组成部分,每一个signature被一个特定的,设计来监控特定流量的signature engine所监控,每一个engine都有自己的一套参数,配置这些特定的engine参数,能够更加优化signature对网络的分析,所以我觉得玩IPS最重要的就是掌握每钟引擎的作用是很重要的,个人认识,呵呵

下面介绍这些引擎的作用
引擎的分类
Atomic:对单个包进行处理

Flood:检测由DOS产生的攻击(这个字开头的八成是和DOS有关的signature)

Meta:执行事件关联(对几个signature进行归类,只告一次警)

Normalizer:检测不明确或者异常的流量(对流量进行规范化处理的引擎,比如不允许分片,加密等)

Service:对5-7层的服务进行协议分析的引擎

State:对TCP流量进行状态化的字段匹配监控和告警引擎(它监控一个有序列的会话过程,比如telnet登入后输入帐号密码,随后又enable密码,一个有序的过程中出现了什么字段采取相应的动作)

String:对多重传输协议进行字段匹配监控和告警引擎(对多个包(一系列流)中的字段进行匹配(而不是一个包),比如在telnet会话中,一旦输入root,就deny,这是由多个包组成的,其中一个r是来回2各包)(如果要对一个syn包进行匹配就选Atmoic ip)

Sweep:检测扫描引擎(ping扫描或者端口扫描都属于这个引擎)

Traffic:检测流量不规则(比如对于icmp的echo以及echo reply其实都是有数据部分的,单这数据部分都是很规范的,没有任何意义的,这个引擎就监控这个没有意义的部分,因为有些木马会插入到这个部分中,如果发现数据部分是没有规律的,有意义的话,就是流量的不规则,因该做处理)

Trojan:检测特洛伊木马产生的不标准协议(木马现在有通信的特殊端口号以及协议,这个引擎可以对这些进行监控)

AIC:深度监控FTP和HTTP流量(启动后可以使IPS具有application firewall的作用)
 楼主| 发表于 2008-4-20 12:25:09 | 显示全部楼层
application firewall的作用和ASA/PIX 7.2几乎差不多,只是IPS的控制粒度更细,它不仅对HTTP做出了限制,比如说HTTP协议本身的一些命令格式是由RFC定义好的,application firewall可以对超过RFC定义的命令格式进行监控,不匹配的就丢弃,这只是一个功能,其他FTP等其他一些协议也受application firewall保
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-28 04:39 , Processed in 0.081309 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表