(Intrusion Prevention Systems (IPS راه حلی برای شناسایی و مقابله با تهدیدات – بخش هشتم

Signature :

انواع دسته بندی Signatureها :

• براساس نوع حمله مثل DOS ، Email ، Adware و …
• براساس نوع Engine : براساس پیاده سازی نرم افزاری در IPS به طور مثال Atomic فقط تک Packet را بررسی می کند.

انواع Signature :

• Default :به Signature های پیش فرض IPS گفته می شود.
• Tune : به Signature های پیش فرض IPS که براساس نیاز ما تغییر داده شده اند گفته می شود.
• Custome : به Signature هایی که توسط ما نوشته می شود گفته می شود.

انواع Action ها :

به دو دسته تقسیم می شوند:

• Detective : صرفا جهت شناسایی مورد استفاده قرار می گیرد.
• Preventive : هم شناسایی و هم جلوگیری می کند.

انواع Detective :

1. Produce Alert : یک Alert در رابطه با Signature مربوطه تولید می شود.
2. Produce Verbose Alert : یک Alert با جزئیات بیشتر تولید می شود.
3. Log Attacker Packets : در این حالت کل بسته هایی که شامل آدرس هکر است را Capture می کند.
4. Log Victim Packets : در این حالت کل بسته هایی که شامل آدرس دستگاه مورد حمله است را Capture می کند.
5. Log Pair Packets : در این حالت کل بسته هایی که شامل آدرس هکر و دستگاه مورد حمله است را Capture می کند.
6. Request SNMP Trap : یک بسته SNMP ارسال می کند.

انواع Preventive : 

در حالت inline :

1. Deny Packet inline : بسته را Drop می کند.
2. Deny Connection inline : کل Session را Drop می کند.
3. Deny Attacker Victim pair inline : کل ترافیک مربوط به هکر به مقصد مورد نظر را Drop می کند.
4. Deny Attacker Service Pair inline : کل ترافیک هکر مربوط به سرویس مورد نظر را Drop می کند.
5. Deny Attacker inline : کل ترافیک هکر را مسدود می کند.
6. Modify Packet inline : ابهامات را از بسته برطرف می کند.(Normalization)

در حالت Promiscuous :

1. Reset TCP Connection : در این حالت درخواست ریست کردن Connection به روتر یا فایروال ارسال می کند.
2. Request Block Connection : در خواست مسدود کردن Session ارسال می کند.
3. Request Block Host : درخواست مسدود کردن هکر ارسال می کند.
4. Request Rate Limit : درخواست محدود کردن ارسال بسته از طرف هکر