Professional Documents
Culture Documents
什么是 IDP
一. IDS、IPS、IDP 的名词解释
技
科
图 1、典型的 IDS 架构图及运作
思
1/8
2006-6-25 22:29
这一切似乎都很美好,但是如此传统的防御机制已无法遏止日新月异的攻击手法。以
SQL Slammer 攻击蠕虫为例,它攻击时是连接受害主机(victim host)的UDP Port 1434,而安
装SQL Server 的主机都需要开放Port 1434 来让server 端与client 端作联机前的协调工作,
以决定双方所将采用的通讯方式。防火墙必须开放外界使用受害主机的UDP Port 1434,不
然外界无法使用内部的SQL Server。 技
科
另外,SQL Slammer 采用「缓冲溢位」(buffer overflow)的攻击手法,缓冲溢位攻击的
程序代码便位于通讯架构的应用层(Application layer,相对于OSI 模型的5 到7 层),而
传统防火墙是不检查应用层中的封包内容的。
思
防火墙仅能就网络封包做到 2 到 4 层的检测,就来源地址/端口号以及目的地址/服务进
行控管。而 IDP 可以做到 4 到 7 层(也就是应用层)的检测,因此 IDP 可以发觉包藏在应用层
里的恶意攻击码(譬如蠕虫攻击、缓冲溢位攻击便藏匿于此),并予以狙击。
纳
IDP 可以防止蠕虫由外入侵至企业网络内部,而如果防火墙要防止蠕虫攻击,仅能消
极地关闭某些 Port。但一般的档案型病毒,则不在 IDP 及防火墙的防护范围内。因此资安的
最后一层防护网便是在使用者端安装防毒软件。
2/8
2006-6-25 22:29
一般而言,IDP 的特征值数据库会依照危险程度分成高、中、低三种,再让管理者决定
放行或阻挡,考虑客户端的实际网络环境及机器的运算能力,在中小型的网络架构的 IDP
设备只需要有完整的危险程度高、中(例如,病毒、木马程序)的特征值数据库就足够,其它
属于警告或通知性质的检查没必要处理。
技
科
思
图 2 IDP 数据库更新
目前 IDP 会每 30 分钟到 IDP 服务器更新特征值数据库,他使用 TCP 80 及 UDP 53
Port 跟服务器沟通。
纳
危险程度分成高、中、低三种,再让管理者决定放行或阻挡的设定就在同一个画面的下
方,如下图 3 所示:
图 3 IDP 设定
只要将高危险程度的封包设为 Drop (丢弃),就可以满足大部分的信息安全机制。
IDP 的特征值数据库
AW 系列 IDP 目前约有 2914 个特征值(这个值随着数据库的更新会增加),分布在数
十种的类别中,以木马程序分类为例,大部分都会被归类在高危险类,目前数据库中有 313
种木马程序,如下图 4 所示:
3/8
2006-6-25 22:29
图 4 IDP 预设特征中的木马特征设定
以第一个木马程序 180solution 描述如下:它会依据你输入的关键词,将你的网页转向
他策略伙伴的网站,类似网页绑架的木马程序,如下图 6 所示是它的详细行为描述。
技
科
思
纳
图6 木马程序 180solution 设定
对于中、低危险程度的封包处理,就由管理者决定,以 P2P 的行为为例,如下图 7 所
示:
4/8
2006-6-25 22:29
图 7 对于中、低危险程度的封包处理
BitTorrent 这个 P2P 为例,它是不是个危险行为,每个人的观点都不一样,在 AW 的 IDP
中就可以定义是否要让他通行或阻挡。
技
科
思
图8 自定义特征数据库
特征名称:这个特征值的命名。
通讯协议:通讯协议是 TCP、UDP、ICMP 或只是 IP。
纳
完成后就如下图 9 所示:
图9 自定义特征数据库显示
5/8
2006-6-25 22:30
异常侦测
除了特征数据库定义的封包行为会受到管制,对于相同的封包产生异常数量也是 IDP
侦测的重点,如下图 10:
图 10 异常侦测
技
以 UDP、ICMP 这种 Connectionless 的封包结构,常常会被黑客当作攻击的协议,AW
的 IDP 可以设定适当的侦测流量,如下图 11:
科
思
纳
图 11 异常侦测设定
设定最大流量有时会有误动作的情况,以 VOIP 使用的 UDP 协议为例,如果是 VOIP
的 Gatekeeper 或是 VOIP 流量较大的公司,实际的 UDP 封包侦测设为 100 Packet /s ,它的实
际流量可能只有 64byte / Packet X 100 Packet /s,约 6.4K bytes /s ,就会产生误动作 ,设定
每秒 100 UDP 封包就阻挡的话,会造成实际运作上的困扰。所以这方面的数值要经由学习
后才会有实际效果。它需要搭配 IDP Report 中的 Log 记录来做比较性分析。
IDP 警示和报表
除了实际的阻挡之外,AW IDP 也有完整的报表制度,如下图 12:
6/8
2006-6-25 22:30
技
科
思
纳
图 12 IDP 报表
7/8
2006-6-25 22:30
搭配实际的攻防记录,让管理者更清楚地知道网络状况,如图 13 所示。
图 13 IDP 警示记录
技
科
思
纳
8/8