ips的signature是被signature engire创建的,这些engine是专门为了监控特定流量设计的,engine是senscr的一个组成部分,支持对signature的归类。engine是一个分析器和监控器。

atomic:对单个包进行处理

flood:监测由dos产生的攻击

meta:执行事件关联

normalizer:监测不明确或者异常的流量

service:对5-7层的服务进行协议分析

state:对tcp流量进行状态化的字段匹配监控和告警

string:对多重传输协议进行字段匹配监控和告警

sweep:监测网络扫描

traffic:监测流量不规则

trojan:监测特洛伊木马产生的不标准协议

aic:深度监控ftp和http流量

引擎的参数

1.一个引擎参数由一个名字和一个值组成

2.参数的名字是为这些引擎定义的

3.参数值在一个特定引擎里边被定义了一个限制值

4.参数的名字在一个特定引擎的所有sig里边是恒定不变的,但是这个参数的值在不同的sg里边是变化的。

5.有些参数是普遍出现在所有引擎里边的,但是另一些是只会在特定的引擎里出现

atomic arp

atomic ip

flag:表示当前tcp packet必须置位这个flag

mask:表示这个signature对这些flag感兴趣

泛红引擎

flood net

flood host

gap:间隔,多长时间(秒)流量保持低于特定速率,酒吧pack reset到0

peaks:分值,多长时间(秒)流量持续高于特定速率,signature就fire.

rate:速率多少包,采样时间为1秒

signature 5081+5124+5114+3215+3216=nimda

正常化的引擎

不能够创建,只能够调整

流量的规划化监控保证了流量的明确性,因为在监控以前已经作了规则化处理.

tc nor malizer:规范序列号

ip nor malizer:重新组装ip分片包

signature范围1200-13xx

最大的分片组装时间,如果指定

最大半开连接数量

服务类的signature

service dns

service ftp

service generic

service h225

service http

service ident

service msrpc

service mssql

service ntp

service rpc

service smb

service snmp

service ssh

yes:烟端口为53就触发

no:检查到源端口不是53就触发

yes:是询问就触发

no:是应答就触发

替换攻击地址(重要)h.225是h323协议族的一个部分

h.225心灵协议用于连接的建立终止

identficaton这个协议能够让远程系统了解尝试与他建立tcp连接用户的个人信息,icentification这个协议运行在tcp 113端口

msrpc引擎监控micrcsoft remote procedure calls(msrpc),msrpc允许多计算机或者运用软件通过网络协同运算.这种通讯的新大道能够作为病毒和蠕虫攻击系统的入口点,例如:nacri和blaster

rpc是一个unix协议,它通过运用程序请求另一个计算机上一个程序的特定服务

因为ssh是加密的所有智能够监控setup过程

控制密钥和用户最大长度

监控 包的数量

监控不同类型的状态化切换

1.cisco login

2.lpr

3.smtp