入侵防御（IPS）的原理描述（签名、签名过滤器、例外签名）

入侵防御（IPS）的原理描述（签名、签名过滤器、例外签名）
入侵防御是一种安全机制。设备通过分析网络流量来检测入侵，并通过一定的响应方式实时地中止入侵行为。

原理描述
入侵防御通过完善的检测机制对所有通过的报文进行检测分析，并实时决定允许通过或阻断。
入侵防御实现机制
入侵防御的基本实现机制如下：
（1）重组应用数据
FW首先进行IP分片报文重组以及TCP流重组，确保了应用层数据的连续性，有效检测出逃避入侵防御检测的攻击行为。
（2）协议识别和协议解析
FW根据报文内容识别多种常见应用层协议。
识别出报文的协议后，FW根据具体协议分析方案进行更精细的分析，并深入提取报文特征。
与传统FW只能根据IP地址和端口识别协议相比，大大提高了对应用层攻击行为的检测率。
（3）特征匹配
FW将解析后的报文特征与签名进行匹配，如果命中了签名，则进行响应处理。
签名的匹配顺序可参考入侵防御对数据流的处理。
（4）响应处理
完成检测后，FW根据管理员配置的动作对匹配到签名的报文进行处理。

签名
入侵防御签名用来描述网络中攻击行为的特征，FW通过将数据流和入侵防御签名进行比较来检测和防范攻击。
FW的入侵防御签名分为两类：
（1）预定义签名
预定义签名是入侵防御特征库中包含的签名。用户需要购买License才能获得入侵防御特征库，在License生效期间，用户可以从华为安全能力中心平台获取最新的特征库，然后对本地的特征库进行升级。预定义签名的内容是固定的，不能创建、修改或删除。
每个预定义签名都有缺省的动作，分为：
放行：指对命中签名的报文放行，不记录日志。
告警：指对命中签名的报文放行，但记录日志。
阻断：指丢弃命中签名的报文，阻断该报文所在的数据流，并记录日志。
（2）自定义签名
建议只在非常了解攻击特征的情况下才配置自定义签名。因为自定义签名设置错误可能会导致配置无效，甚至导致报文误丢弃或业务中断等问题。
自定义签名是指管理员通过自定义规则创建的签名。新的攻击出现后，其对应的攻击签名通常都会晚一点才会出现。当用户自身对这些新的攻击比较了解时，可以自行创建自定义签名以便实时地防御这些攻击。另外，当用户出于特殊的目的时，也可以创建一些对应的自定义签名。自定义签名创建后，系统会自动对自定义规则的合法性和正则表达式进行检查，避免低效签名浪费系统资源。
自定义签名的动作分为阻断和告警，您可以在创建自定义签名时配置签名的响应动作。

自定义签名和预定义签名没有优先级，当流量同时命中自定义签名和预定义签名时，最终动作以最为严格的签名为准。例如，自定义签名动作为告警，预定义签名动作为阻断，当流量同时命中该自定义签名和预定义签名时，最终动作为阻断。

签名过滤器
由于设备升级特征库后会存在大量签名，而这些签名是没有进行分类的，且有些签名所包含的特征本网络中不存在，需过滤出去，故设置了签名过滤器进行管理。管理员分析本网络中常出现的威胁的特征，并将含有这些特征的签名通过签名过滤器提取出来，防御本网络中可能存在的威胁。
签名过滤器是满足指定过滤条件的集合。签名过滤器的过滤条件包括：签名的类别、对象、协议、严重性、操作系统等。只有同时满足所有过滤条件的签名才能加入签名过滤器中。一个过滤条件中如果配置多个值，多个值之间是“或”的关系，只要匹配任意一个值，就认为匹配了这个条件。
签名过滤器的动作分为阻断、告警和采用签名的缺省动作。签名过滤器的动作优先级高于签名缺省动作，当签名过滤器的动作不采用签名缺省动作时，以签名过滤器设置的动作为准。
各签名过滤器之间存在优先关系（按照配置顺序，先配置的优先）。如果一个安全配置文件中的两个签名过滤器包含同一个签名，当报文命中此签名后，设备将根据优先级高的签名过滤器的动作对报文进行处理。


例外签名
由于签名过滤器会批量过滤出签名，且通常为了方便管理设置为统一的动作。如果管理员需要将某些签名设置为与签名过滤器不同的动作时，可将这些签名引入到例外签名中，并单独配置动作。
例外签名的动作分为阻断、告警、放行和添加黑名单。其中，添加黑名单是指丢弃命中签名的报文，阻断报文所在的数据流，记录日志，并将报文的源地址或目的地址添加至黑名单。
例外签名的动作优先级高于签名过滤器。如果一个签名同时命中例外签名和签名过滤器，则以例外签名的动作为准。
例如，签名过滤器中过滤出一批符合条件的签名，且动作统一设置为阻断。但是员工经常使用的某款自研软件却被拦截了。观察日志发现，用户经常使用的该款自研软件命中了签名过滤器中某个签名，被误阻断了。此时管理员可将此签名引入到例外签名中，并修改动作为放行。