IPS 中的状态签名

Question

通常，状态数据包检查是网络安全的行业标准，用于解决恶意攻击者的行为。由于您运行的是非对称网络，数据包可以在不同的网络段上进出，因此您的 IPS 可能无法维护所有事务的状态，因此很可能无法识别攻击，并能够继续将其有效载荷传递到目的地。因此，基本上，它更像是一种创可贴，而不是一种带有大量虚假希望的修复方法。

由于状态检测不仅检查标头信息，还检查整个数据包内容（直至应用层），因此除了数据包的源和目标信息之外，它们还可以确定数据包的更多上下文。大多数状态检测还监视连接的状态，并在状态/会话表中汇编历史信息。因此，动态过滤决策可以扩展到典型的管理员定义规则之外，这些规则只是简单地阻止已知 IP 地址或 TCP 端口（如静态数据包过滤），以考虑先前通过 IPS 的数据包所建立的数据包上下文。

如果不启用状态检测，您基本上就是在进行正常的防火墙阻止，而大部分流量都不受监控。我不确定您处于哪种时间线下，但我会在您的网络上安装一个 IDS 盒，先通过镜像端口将其连接到主交换机几周，以了解您的主要安全威胁以及谁是您的首要安全威胁，然后制定行动方案。

我们在网络上使用 Snorby 或 Security Onion，它们在识别潜在威胁方面非常有效。我甚至设置了它，每晚给我发送前几天的报告，其中列出了哪些本地 IP 拥有最多的可疑流量以及它们命中了哪些签名。然后我们可以备份并研究签名命中是真实的还是误报。然后努力解决问题。

我希望这有帮助

Answer 1

通常，状态数据包检查是网络安全的行业标准，用于解决恶意攻击者的行为。由于您运行的是非对称网络，数据包可以在不同的网络段上进出，因此您的 IPS 可能无法维护所有事务的状态，因此很可能无法识别攻击，并能够继续将其有效载荷传递到目的地。因此，基本上，它更像是一种创可贴，而不是一种带有大量虚假希望的修复方法。

由于状态检测不仅检查标头信息，还检查整个数据包内容（直至应用层），因此除了数据包的源和目标信息之外，它们还可以确定数据包的更多上下文。大多数状态检测还监视连接的状态，并在状态/会话表中汇编历史信息。因此，动态过滤决策可以扩展到典型的管理员定义规则之外，这些规则只是简单地阻止已知 IP 地址或 TCP 端口（如静态数据包过滤），以考虑先前通过 IPS 的数据包所建立的数据包上下文。

如果不启用状态检测，您基本上就是在进行正常的防火墙阻止，而大部分流量都不受监控。我不确定您处于哪种时间线下，但我会在您的网络上安装一个 IDS 盒，先通过镜像端口将其连接到主交换机几周，以了解您的主要安全威胁以及谁是您的首要安全威胁，然后制定行动方案。

我们在网络上使用 Snorby 或 Security Onion，它们在识别潜在威胁方面非常有效。我甚至设置了它，每晚给我发送前几天的报告，其中列出了哪些本地 IP 拥有最多的可疑流量以及它们命中了哪些签名。然后我们可以备份并研究签名命中是真实的还是误报。然后努力解决问题。

我希望这有帮助

IPS 中的状态签名

答案1

相关内容