配置IPS 異常檢測防御蠕蟲攻擊

■ 河南 許紅軍

編者按：在防御越來越嚴重的網絡攻擊方面，IPS（入侵防御系統）發展已較為成熟。與IDS（入侵檢測系統）不同，IPS 不僅可以檢測網絡威脅，還可以對其進行抵御。IPS 提供了商業化的攻擊解決方案，通過安裝部署IPS 設備，可以有效抗擊各種網絡入侵行為。對于IPS 來說，最常用的是基于特征代碼的入侵檢測技術，即通過匹配Signature 特征碼來匹配攻擊行為，通過靈活的自定義特征碼，可以大大提高檢測和防御的準確性。

IPS 設備的工作模式

以思科某款IPS 設備為例，它可以工作在雜合模式（Promiscuous-Mode）和在線模式（InLine-Mode）。

對于雜合模式來說，通過在核心交換機上使用SPAN技術，將通過某接口或VALN的流量復制一份，并發送到IPS 設備Sensor 口上。IPS設備會對其進行分析，如果發現攻擊行為，就會產生告警信息。安全人員在IPS 管理中心窗口就會看到告警信息。但該模式對網絡攻擊抵御能力很弱。

對于在線模式來說，IPS設備串接在核心路由器等關鍵設備之間，它相當于兩口交換機，流量通過其橋接功能進入內網。這樣IPS 就可以實時對進入的流量進行分析。對于正常的流量可以放行，對于存在威脅的流量則直接進行攔截。該模式與透明防火墻有些類似。

在線模式可以有效抵御觸發包以及后續攻擊數據包，或者所有源自攻擊者的數據包。對于IPS 設備來說，能夠使用流量規范化技術，減少或者消除很多網絡逃避技術，特別適用于防御網絡蠕蟲。

這里就針對IPS 設備的異常檢測機制，來重點談談如何防御網絡蠕蟲。……