国产欧美精品综合一区二区三区,日产精品一卡2卡三卡四卡区别,国产免费一区二区三区不卡,亚洲 欧美 成人 自拍 高清,亚洲精品suv精品一区二区

小安：（揮手）小白，發(fā)呆呢？

小白：我是在思考！……IPS到底是怎么檢測(cè)到惡意攻擊的呢？

小安：這個(gè)問(wèn)題，要從IPS規(guī)則庫(kù)說(shuō)起。

小白：哦，原來(lái)IPS防護(hù)是靠它。

小安：也不全是。IPS規(guī)則庫(kù)就像一本字典，收錄了各種各樣的攻擊行為和網(wǎng)絡(luò)威脅，IPS引擎檢測(cè)到數(shù)據(jù)包后，會(huì)去這本“字典”里查找，如果找到了就立即攔截。

小白：這么厲害，這本“字典”我也想擁有！

IPS規(guī)則長(zhǎng)啥樣？

all enable http [80,8080] (msg_cn:"SQL注入攻擊選擇語(yǔ)句檢測(cè)";uricontent:"select";nocase;

pcre:"/[\x00-\x20\xA0\x2B\x2F\x29\x27\x22\d](and|or|union)[\x00-\x20\xA0\x2B\x2F\x28\x23\x2D][^&]{0,50}select[\x00-\x20\xA0\x2B\x2F\x28\x23\x2D\x5B].+[\x00-\x20\xA0\x2B\x2F\x29\x5D]from[\x00-\x20\xA0\x2B\x2F\x28\x23\x2D\x5B]./isU";)

這條規(guī)則翻譯成我們的語(yǔ)言就是：規(guī)則有效，匹配基于http協(xié)議的SQL注入攻擊，如果在報(bào)文URI中檢測(cè)到包含and、or或union后接select……from等SQL命令的關(guān)鍵字，即命中此規(guī)則，并生成相應(yīng)的告警信息和日志。

所以，這條規(guī)則的作用是識(shí)別一些請(qǐng)求中可能存在的惡意SQL查詢語(yǔ)句，如果匹配了這條規(guī)則，IPS引擎就會(huì)判定這次請(qǐng)求附帶了攻擊指令， 從而引擎可以執(zhí)行策略預(yù)定義的動(dòng)作進(jìn)行防護(hù)。

這本“字典”怎么查？

圖1 IPS規(guī)則匹配流程

正常操作時(shí)，用戶向服務(wù)器發(fā)起一個(gè)請(qǐng)求，服務(wù)器收到請(qǐng)求后返回給客戶端一個(gè)消息，包含用戶需要的內(nèi)容。而攻擊者為了獲取用戶隱私信息或服務(wù)器信息，會(huì)在前后端之間進(jìn)行攔截，修改用戶原本要傳過(guò)去的參數(shù)，變?yōu)樽约合胍@取的信息，進(jìn)行網(wǎng)絡(luò)攻擊。以上面提到的SQL注入攻擊為例。

圖2

圖2是一個(gè)輸入姓名查詢信息的平臺(tái)，攻擊者在姓名信息grady后面增加了字符’union select ……，這些字符包含在報(bào)文中傳遞給了IPS引擎，被解析為圖4內(nèi)容。如果沒(méi)有開(kāi)啟這條規(guī)則，在有注入的接口上，攻擊者可以通過(guò)這些字符，查詢到數(shù)據(jù)庫(kù)中其他的數(shù)據(jù)表，從而獲取隱私信息。

圖3

圖4

IPS引擎從流經(jīng)的報(bào)文中，解析出各種關(guān)鍵字段，但它并不能判斷是否存在攻擊指令，需要在IPS規(guī)則庫(kù)里查找。如果此時(shí)開(kāi)啟了這條規(guī)則，這次請(qǐng)求就能匹配到相應(yīng)規(guī)則，說(shuō)明其中存在攻擊指令。IPS引擎會(huì)告知設(shè)備阻斷這個(gè)行為，并生成一條日志。

IPS規(guī)則的局限性

通過(guò)前面的敘述，我們可以總結(jié)出這兩個(gè)定義：

IPS規(guī)則：一些符號(hào)文字組合形成的判斷依據(jù)，表示某一種漏洞或針對(duì)漏洞的某一種攻擊形式。

IPS規(guī)則庫(kù)：一系列規(guī)則打包形成，放入設(shè)備后是不可變的數(shù)據(jù)，描述多種攻擊形式。

規(guī)則是引擎判斷的依據(jù)，引擎解析出數(shù)據(jù)包的流量后與規(guī)則進(jìn)行匹配，能匹配到規(guī)則，說(shuō)明報(bào)文中可能存在攻擊；不能匹配到規(guī)則，有兩種可能：

1、確實(shí)沒(méi)有攻擊行為。

2、攻擊手法更加先進(jìn)，超出了規(guī)則的覆蓋范圍。

安全研究團(tuán)隊(duì)的日常工作，就是不斷與攻擊者進(jìn)行技術(shù)對(duì)抗，研究更多、更高級(jí)的攻擊方式，讓規(guī)則覆蓋最大可能性。

那么，是否只要規(guī)則庫(kù)足夠強(qiáng)大，就能覆蓋所有可能的攻擊呢？在現(xiàn)實(shí)運(yùn)維工作中，面對(duì)龐大的數(shù)據(jù)流量，除了基于性能要做一些功能上的取舍外，還需要解決特殊報(bào)文和繞過(guò)的問(wèn)題。

1、規(guī)則匹配順序問(wèn)題

憑感覺(jué)，根據(jù)危險(xiǎn)等級(jí)進(jìn)行規(guī)則匹配，高危的優(yōu)先匹配，低危的后續(xù)匹配，好像是理所應(yīng)當(dāng)。實(shí)際上，規(guī)則沒(méi)有這么智能，先匹配哪些規(guī)則，后匹配哪些規(guī)則，完全聽(tīng)從引擎的調(diào)用。為了避免先匹配到低危特征，而放過(guò)了高危攻擊者的情況，引擎需要支持基于優(yōu)先級(jí)順序的規(guī)則匹配。

2、規(guī)則數(shù)量問(wèn)題

網(wǎng)絡(luò)攻擊層出不窮，攻擊手段和系統(tǒng)漏洞不斷更迭，規(guī)則數(shù)量也隨之與日俱增。一方面，規(guī)則數(shù)量過(guò)多，會(huì)造成性能壓力；另一方面，如果限制規(guī)則數(shù)量，又會(huì)放過(guò)很多攻擊者。

3、逃逸技術(shù)問(wèn)題

逃逸技術(shù)，是攻擊者為了躲避現(xiàn)有檢測(cè)機(jī)制，想出的繞過(guò)方式。比如編碼變化，攻擊者為了隱匿自己的行蹤，對(duì)攻擊行為層層加碼，使用多次base64編碼、URL編碼、unicode編碼等。你可能會(huì)覺(jué)得，這幾種編碼不復(fù)雜呀，很容易就能解碼。但經(jīng)過(guò)多次選擇甚至混合編碼后，引擎就難以破解了，繞過(guò)了規(guī)則有限的檢測(cè)方式。

盡管存在以上局限，基于IPS規(guī)則的防護(hù)方式，還是目前安全產(chǎn)品主要使用的防護(hù)方式之一。在更高級(jí)的防護(hù)方式中，融入了基于語(yǔ)義、深度學(xué)習(xí)等技術(shù)的安全能力，這也是IPS未來(lái)的發(fā)展方向。