什么是IPS？如何对其进行调整？

前言

IPS（Intrusion Prevention System）是一种基于攻击特征检测入侵行为的安全机制，可以检测缓冲区溢出、木马、蠕虫、SQL注入等多种攻击，并支持告警、阻断等响应方式。

01

     了解IPS

IPS处理流程如图1-1所示，最核心的处理就是将解析出的报文特征与IPS特征库中的签名进行匹配，如果匹配了签名，则被认为是入侵。然后根据IPS配置文件的配置进行响应处理。本文档主要介绍IPS的配置调整思路。

 图1-1 IPS处理流程

IPS配置文件用于决定IPS防御哪些签名对应的攻击、对攻击采取何种响应。

IPS特征库中包含针对各种攻击行为的海量签名，但是实际网络环境中业务类型可能比较固定，如果设备对所有签名都响应可能产生误报，影响对关键攻击事件的处理和调测。建议配置尽量精确的IPS配置文件，挑选反应实际网络状况的签名进行防御。

IPS配置文件的组成如下：

1.1  签名过滤器

一系列过滤签名的条件集合，过滤条件包括：签名的威胁类别、对象、协议、严重性、操作系统等，只有同时满足所有过滤条件的签名才能被筛选出来。

另外还需要在签名过滤器中配置响应动作：采用签名的缺省动作（推荐）、所有签名配置统一动作。

例如：企业提供Windows操作系统的Apache Web服务器供外部用户访问，按如下数据配置签名过滤器。

• 对象：服务端

• 操作系统：Windows

• 应用程序：apache

• 协议：HTTP

• 动作：采用签名的缺省动作

1.2  例外签名

例外签名用来指定检测例外，例如查看IPS日志发现存在针对SQL数据库漏洞的攻击，但实际网络环境并不存在SQL数据库。此时可以将此类签名加入例外签名，IPS就不再检测这些签名了。例外签名是IPS调整的关键手段。

02

 为什么要调整IPS？

 如上文所述，精确配置IPS配置文件才能减少误报，但是现实情况网络环境复杂，无法一次性配置到位。另外针对恶意攻击要及时溯源，从根本上解决问题。因此IPS初始部署后，管理员要结合日志分析持续处理误报、修复攻击事件、调整配置。

特征库中的签名都来源于实际攻击，为什么会有误报呢？因为IPS在实际运行过程中，攻击的认定需要依赖网络环境、业务类型等上下文等综合分析。

如果IPS将不应该当做攻击的流量当做攻击，就是所谓的“误报”。误报是IPS特性的一个“副产品”，无法完全避免。以下列举几个可能产生误报的原因：

• IPS检测是基于签名进行模式匹配的，有时合法流量中也存在签名中的某些特征。

• IPS不清楚真实的业务意图，将需要正常使用的业务认定为攻击。例如网络中运行漏洞扫描软件用于安全加固，IPS会将扫描行为认为是攻击，但实际上是要正常使用的。

• 正常的应用程序，但是编码没有遵循RFC。

• IPS未识别出来的应用程序。

IPS调整的一大主要工作就是处理误报。如果不处理这些误报，IPS会上报大量的干扰视线的攻击警告信息，无法真实反应网络的安全状态，管理员无法及时处理真正的攻击事件。管理员需要持续分析IPS日志中的警告信息，对确认是误报的警告，配置例外规则。

消除误报后，IPS日志会减少很多，管理员可以集中精力修复攻击事件、调整配置。例如：

• 在内网服务器和PC上安装补丁、升级软件修复操作系统及软件的漏洞。

• 将攻击源加入黑名单。

• 随着对网络中业务类型的熟悉，调整IPS配置文件中的签名筛选条件，包括操作系统、协议、应用程序等，使IPS检测更精准。

IPS调整是一个持续的过程，当然执行调整的频率越高，花费的时间也就会越短。

03

 IPS初始部署最佳实践

IPS配置的核心步骤就是先配置IPS配置文件，然后在安全策略中引用IPS配置文件使其生效。

初始部署阶段推荐使用缺省IPS配置文件，然后通过分析日志进行IPS调整。

3.1  初始部署使用缺省IPS配置文件

IPS的配置不是一蹴而就，是个动态调整的过程。建议初始阶段先使用设备缺省的IPS配置文件，使设备快速工作起来，然后持续分析IPS日志并进行IPS调整。当管理员清楚了网络中的业务类型、知道需要防御哪些攻击类型时，就可以自定义符合实际网络状况的IPS配置文件了。

缺省IPS配置文件由华为安全专家团队根据不同场景制定，比较贴合实际，而且缺省已经将对应场景可能遭遇的高危攻击响应动作设置为阻断，能更好地避免网络遭受损失。

设备提供的缺省IPS配置文件如表1-1所示，可以选择一个与当前设备保护场景接近的IPS配置文件，并在安全策略中引用IPS配置文件。

例如：IPS功能部署在网络出口防火墙上，需要保护内网PC、对外提供服务的业务服务器不受侵害，您可以分别选择default、dmz两个缺省IPS配置文件。

[DeviceA] security-policy
[DeviceA-policy-security] rule name policy_protect_pc
[DeviceA-policy-security-rule-policy_protect_pc] source-zone trust
[DeviceA-policy-security-rule-policy_protect_pc] destination-zone untrust
[DeviceA-policy-security-rule-policy_protect_pc] source-address 10.3.0.0 24 // 内网PC区网段
[DeviceA-policy-security-rule-policy_protect_pc] profile ips default
[DeviceA-policy-security-rule-policy_protect_pc] action permit
[DeviceA-policy-security-rule-policy_protect_pc] quit
[DeviceA-policy-security] rule name policy_protect_dmz
[DeviceA-policy-security-rule-policy_protect_dmz] source-zone untrust
[DeviceA-policy-security-rule-policy_protect_dmz] destination-zone dmz
[DeviceA-policy-security-rule-policy_protect_dmz] destination-address 10.2.0.0 24  //服务器区网段
[DeviceA-policy-security-rule-policy_protect_dmz] profile ips dmz
[DeviceA-policy-security-rule-policy_protect_dmz] action permit

表1-1 缺省IPS配置文件

3.2  安全策略引用IPS配置文件注意事项

需要将IPS配置文件在安全策略中被引用，IPS功能才生效。也就是设备对符合安全策略匹配条件的流量，进行IPS检测。

当在安全策略中引用IPS配置文件时，注意安全策略的方向是访问发起的方向，而非攻击发起的方向。例如：企业内网PC访问外网服务器遭到恶意攻击，虽然攻击方向是从外网到内网，但是因为发起访问的方向是从内网到外网，因此入侵防御配置文件需要应用到内网访问外网的安全策略中，具体配置如表1-2所示。

表1-2 保护内网PC的安全策略

04

   IPS调整

IPS初始部署之后，管理员的主要工作转变为对IPS的持续调优，使IPS发挥最大的价值。

4.1  IPS调整思路

IPS调整主要是从IPS日志入手，分析日志信息是否符合预期，是否存在误报，哪些攻击事件需要修复。常用的调整思路如图1-2所示。

IPS调整之前强烈建议管理员详细了解网络拓扑和网络中的主机业务，对这些信息越了解，IPS调整越得心应手。

IPS调整的目标是减少误报、修复攻击事件。虽然IPS可以阻断攻击保护网络安全，但是针对攻击事件也要及时处理、修复，否则日志量一直非常大，影响管理员对一些影响业务的攻击事件处理。

图1-2 IPS调整思路

IPS上线的初期，IPS日志量会非常大，而且会有比较多的误报，一旦把这个阶段日志处理掉，后边就是一个持续的过程。IPS调整简要过程如下：

4.2  复制缺省IPS配置文件

背景信息

初始部署使用的缺省IPS配置文件不支持修改，在IPS调整之前复制缺省配置文件为新的配置文件，并应用到安全策略中。

操作步骤

【1】选中缺省的IPS配置文件，单击“复制”，输入新的名字。

【2】【可选】：复制之后，可以进一步编辑过滤器筛选使用的签名。

根据对网络的了解情况选择是否执行此步骤，也可以此步骤直接单击“确定”，后续通过分析日志再调整。签名过滤器的动作建议保持缺省设置（采用签名的缺省动作），签名的缺省动作是根据攻击的影响性设置的，可以更好地保护网络安全。

【3】将新的IPS配置文件应用到安全策略，替换初始部署应用的缺省IPS配置文件。

4.3  查看日志报表分析攻击

日志报表功能依赖设备硬盘，如果没有购买硬盘或者不支持硬盘，设备存储的日志数据量比较小而且重启后会丢失，对IPS调整的速度和频率要求更高。

通过查看日志和报表，可以方便地筛选关注的IPS攻击事件警告、查看攻击事件排行。

操作步骤

【1】查看威胁日志

在设备Web界面选择“监控 > 日志 > 威胁日志”，过滤威胁类型是“入侵”的日志即IPS日志。

从日志列表中可以查看到攻击行为的详细信息。

• 查看威胁名称、发生次数、攻击者、攻击目标等入侵信息。

• 单击威胁名称，可以查看到签名详细信息，包括该攻击针对的应用程序。再单击“详情”，跳转到华为安全中心网站查看详细的攻击信息、处理建议。

  这里的处理建议是管理员处理攻击事件的重要指导。

• 通过“添加查询项”，可以搜索指定条件的日志。例如通过初步浏览发现某种威胁名称的日志非常多，想详细了解攻击来源，就可以搜索所有此威胁名称的日志统一查看攻击来源。

【2】查看威胁报表

威胁日志是零散的，报表提供了更直观的威胁排序，更容易发现趋势。

在设备Web界面选择“监控 > 报表 > 威胁报表”，过滤威胁类型是“入侵”的报表即IPS报表。

选择不同页签，查看不同维度的报表。

例如下图，在“威胁名称”页签可以查看Top威胁排行、发生的时间分布，单击威胁名称，选择“攻击详情”还可以直接查看此攻击的对应的攻击者和攻击目标。

筛选Top日志示例

通过日志报表，综合考虑日志数量、严重性、日志发生的频率、签名信息等圈定需要优先处理的日志。

【1】查看报表或日志，根据威胁名称筛选出发生次数最多的攻击。如果日志非常多，查看威胁名称维度的报表更直观，直接展示Top威胁名称。

例如Top2的威胁名称是如下两种，威胁次数之和占比70%以上，初步圈定先处理这两种日志。

【2】查看攻击对应签名的详细描述，再结合IP地址信息等分析该攻击事件是否需要处理。

这里以DNS区域传送尝试为例，正常情况下备用DNS服务器从主用DNS服务器同步数据会用到DNS区域传送。但是存在攻击者利用DNS区域传送漏洞获取获取域名信息的风险。因此需要进一步查看攻击者、攻击目标的IP地址：

• 如果攻击者、攻击目标的IP地址分别是网络中正常使用的备用、主用DNS服务器，那么这种日志就是所谓的“误报”。此日志响应动作是告警不会影响正常业务，管理员根据情况决定是否配置例外签名以减少日志。

• 如果攻击者是未知的IP地址，这种就要引起警觉，需要进一步加固DNS服务器的配置。按照签名对策信息的提示，修改主用DNS服务器的配置只允许合法的备用DNS服务器进行区域传送；同时将非法的攻击者IP地址加入黑名单。

总之，需要详细分析攻击信息，结合实际业务再决定如何处理。

4.4   处理误报

背景信息

随着入侵检测技术的不断提升，真正由IPS检测不准确引起的误报逐渐减少但是还存在。另外，IPS不清楚真实业务意图，只要符合签名特征的流量都认为是攻击，需要人为判断与业务的相关性。如果不处理误报，可能影响正常业务，另外无关日志过多也影响对真正攻击事件的处理。

是否属于误报，误报处理到何种程度，需要根据实际业务情况、对安全性的要求等因素综合考虑。以下列举几个常见误报处理的例子：

• 网络中部署安全漏洞扫描器扫描内网主机，用于安全加固。IPS检测到扫描行为认为是攻击并产生日志。这种将正常使用的业务作为攻击就是“误报”，处理方式与管理员的要求有关，可以整体禁用这个攻击签名的检测，也可以只禁用对扫描器IP地址的检测。很明显后者更精确，不会放过非正常的扫描行为，但是例外配置稍微复杂。

• IPS检测到针对IIS Web服务器的攻击，但是网络中部署的是Apache Web服务器，这种与实际业务不符的攻击也是误报。通常的处理就是在IPS配置文件中取消选择IIS应用类型或配置对应签名的例外。但是此种攻击也有潜在风险，攻击者可能从IIS攻击失败推测出实际的Web服务器类型，从这个角度来看又不能单纯当做误报，可以直接将攻击源阻断。

• 注意结合攻击者、攻击目标IP地址分析，如果两者都是内网IP地址，有可能是误报。但是也需要进一步分析，可能是应用程序异常代码或配置错误引起的。例如某些缓冲区溢出攻击就是内部应用程序编码问题造成的。

判断为误报的攻击，IPS提供多种例外处理方式，具体见操作步骤。

操作步骤

【1】例外签名

例外签名在IPS配置文件范围内生效，通过配置例外签名修改签名的动作。例外签名有两种配置方式：在日志界面中单击威胁ID配置、在IPS配置文件中配置。第一种方式更便捷。

方式一：

在威胁日志中单击威胁ID，例如下图中将动作修改为放行，后续就不再检测这个签名了。“入侵防御”指的是例外签名生效的IPS配置文件，如果产生日志时的IPS配置文件为缺省的配置文件，这里需要选择为安全策略中当前引用的新IPS配置文件，缺省IPS配置文件不支持配置例外签名。

方式二：在IPS配置文件中增加例外签名。

【2】签名禁用

签名禁用全局生效，禁用后整个设备不再检测签名对应的攻击，需要谨慎使用。

【3】针对特定IP地址配置例外

以上介绍的例外签名和签名禁用都是针对所有受保护流量的，如果只针对特定IP地址的流量配置例外，必须结合安全策略的配置来实现。

例如：网络中部署的安全漏洞扫描器（10.1.1.1）正在执行主机扫描，IPS检测到攻击者是10.1.1.1、威胁名称为“1000207 漏洞扫描器攻击尝试 - N-Stalker”的攻击日志。管理员希望对10.1.1.1的扫描行为配置例外，但是其他IP地址的扫描行为需要视为攻击。

此时需要为10.1.1.1单独配置入侵防御配置文件和安全策略，如表1-3所示。注意在策略列表中例外IP的安全策略一定要在整体网段安全策略的前边，否则10.1.1.1的流量无法匹配第一条策略。

表1-3 基于特定IP地址配置例外

【4】修改IPS配置文件的签名过滤器

例如，产生了针对某种应用或操作系统的攻击，但是实际并没有使用对应的应用或操作，此时可以直接修改IPS配置文件中签名过滤器的筛选条件。支持修改操作系统类型、应用程序、协议等多种条件。

4.5  处理需要修复的攻击事件

背景信息

通过日志分析发现确实是攻击的事件，需要采取阻断攻击源、内网主机安全加固等措施杜绝后续攻击。这样需要分析处理的日志才会越来越少，网络才会越来越安全。

操作步骤

【1】查看日志报表分析攻击。

【2】根据IP地址、签名信息、应用类型等内容确定处理方式。

查看报表发现攻击者集中在某个外网IP，而且这个IP地址也不是业务访问使用的IP。在威胁日志界面将此IP地址加入黑名单。

配置禁止此IP地址的安全策略也可以达到同样效果。

如果发现某个内网IP地址产生大量异常攻击，而且与业务无关，很可能这台机器被控制了，可以先将此机器断网隔离杀毒。

查看攻击签名的详细信息，分析如何处理。

很多攻击都是针对操作系统或软件漏洞的，此时需要根据处理建议为内网机器安装最新的补丁、升级软件、修改软件配置等来加固系统。

木马、远程控制等高危攻击，一般情况下签名的缺省动作就是阻断。如果发现签名动作是告警，配置例外签名修改动作为阻断。

剩余一些尚不清楚如何处理、是否影响业务的日志可以继续观察。如果动作为阻断，可以配置例外签名修改动作为告警，待明确后再进一步处理。

4.6  应急处理：将所有签名动作修改为告警

当IPS检测影响正常业务时，又无法定位到具体的攻击时，可以应急将所有签名的动作修改为告警。

修改签名过滤器的动作为告警，此动作优先级高于签名本身的动作。修改后单击界面右上角的“提交”，使配置生效。