特征介绍以及特征库更新

IPS特征库包含多种攻击特征,当前版本的特征库包含的特征约有3000多条。特征根据协议进行分类,以特征ID作为特征的唯一标识。特征ID由两部分构成,分别为协议ID(第1位或者第1和第2位)和攻击特征ID(后5位),例如ID600120”中,“6”表示Telnet协议,“00120”表示攻击特征ID。攻击特征ID大于60000的为协议异常特征,攻击特征小于60000的为攻击特征。协议ID与协议的对应关系下表所示:

协议ID 协议 协议ID 协议 协议ID 协议 协议ID 协议
1 DNS 7 Other-TCP 13 TFTP 19 NetBIOS
2 FTP 8 Other-UDP 14 SNMP 20 DHCP
3 HTTP 9 IMAP 15 MySQL 21 LDAP
4 POP3 10 Finger 16 MSSQL 22 VoIP
5 SMTP 11 SUNRPC 17 Oracle - -
6 Telnet 12 NNTP 18 MSRPC - -

上表中,“Other-TCP”表示除表中已列出的标准TCP协议以外的其他TCP协议;“Other-UDP”表示除表中已列出的标准UDP协议以外的其他UDP协议。

特征根据严重程度分为三个级别(安全级别),分别为严重(Critical)、警告(Warning)和信息(Informational),各级别说明如下:

特征库更新

默认情况下,StoneOS会每日自动更新IPS特征库,用户可以根据需要更改病毒库更新配置。Hillstone山石网科提供两个默认特征库更新服务器,分别是update1.hillstonenet.comupdate2.hillstonenet.comStoneOS支持在线更新和本地更新两种方式供用户进行选择。特征库更新配置,请参阅下表:

配置 CLI WebUI
配置更新模式,默认为自动

全局配置模式下使用以上命令:

  • 指定方式:ips signature update mode {auto | manual}
  • 恢复默认:no ips signature update mode {auto | manual}
  1. 访问页面“IPS全局配置”。
  2. 在<IPS特征库更新>部分点击『配置更新选项』,弹出<更新选项配置>对话框。
  3. 分别在<服务器1>、<服务器2>以及<服务器3>文本框输入需要的服务器的IP地址或者域名,并选择相应的VRouter
  4. 设置自动更新特征库,选中<启用>复选框,并配置每日更新时间。
  5. 点击『确定』按钮。
配置更新服务器

全局配置模式下使用以下命令:

  • 指定服务器:ips signature update {server1 | server2 | server3} {ip-address | domain-name}
  • 取消服务器的指定:ips signature update {server1 | server2 | server3} {ip-address | domain-name}
指定每日更新时间 全局配置配置模式下使用以下命令:
ips signature update schedule {daily | weekly {mon | tue | wed | thu | fri | sat | sun}} [HH:MM]
立即更新 执行模式下使用以下命令:
exec ips signature update [full]
  1. 访问页面“IPS全局配置”。
  2. 在<IPS特征库更新>部分点击『在线升级』。
本地更新 执行模式下使用以下命令:
import ips signature from {ftp server ip-address [user user-name password password] | tftp server ip-address | usb0 | usb1} file-name
  1. 将特征库信息文件保存到本地PC。
  2. 访问页面“IPS全局配置”。
  3. 在<IPS特征库更新>部分点击『浏览』按钮,选中特征库文件,然后点击『在线升级』。
显示特征库统计信息 show ips signature info -
显示特征库配置信息 show ips signature update -