思科IPS 7.0源IP声誉过滤

　　思科最近发布了IPS 7.0代码更新。这个升级包括一个名为全球关联的功能。简言之，全球关联功能检查它看到的每一个源IP地址的声誉得分。如果这个来源的声誉不好，入侵防御系统(IPS)的传感器就可以放弃这个通讯或者提高一个点击的风险级别值。下面是思科对全球关联功能的解释：

　　IPS 7.0包含一个名为“思科全球关联”的新的安全功能。这个功能利用了我们在过去的许多年里收集的大量的安全情报。思科IPS将定期从思科SensorBase网络接收威胁更新信息。这个更新的信息包括互联网上已知的威胁的详细信息，包括连续攻击者、僵尸网络收获者、恶意爆发和黑网(dark nets)等。IPS使用这个信息在恶意攻击者有机会攻击重要资产之前过滤掉这些攻击者。IPS然后把全球威胁数据结合到自己的系统中以便更早地检测和防御恶意活动。

　　当然，你可以设置全球关联，这样的话，你的传感器就能够知道有恶意活动声誉的网络设备，并且能够对这种设备采取行动。

　　思科调整SensorBase的方法之一是接收来自思科7.0 IPS传感器的信息。企业可以选择使用这个程序，也可以选择不适用这个程序。思科IPS使用的SensorBase有不同的威胁种类。其中两种是僵尸网络收获者和以前的拒绝服务攻击实施者。因此，当你遭到僵尸网络拒绝服务攻击的时候，这个传感器将放弃所有的来至声誉不良的来源的通讯。这个过程在使用这种特征之前就开始了，对于传感器资源(处理器、背板等)来说是非常便宜的。这使它成为在拒绝服务攻击期间使用的一个理想的方法。这也是思科IPS在处理IPS特征之前检查SensorBase的原因。

　　许多僵尸网络拒绝服务攻击使用通向你的网络服务器的SSL(安全套接字层)。这有助于攻击者隐藏其负载，防止你可能拥有的检测引擎的检查。然而，考虑到全球关联仅使用源IP地址的声誉得分做出决定，防御SSL分布式拒绝服务攻击是没有问题的。没有任何其它厂商为自己的IPS解决方案增加基于声誉的检查功能，因此，它们不能防御任何形式的SSL分布式拒绝服务攻击。一些IPS厂商确实能够能通过解密传输中的数据打开和查看SSL数据包内部。然而，这个过程在IPS资源(处理器、背板、内存等)方面太昂贵，不能用于分布式拒绝服务攻击。它会迅速消除传感器本身的通讯瓶颈。

　　当然，如果这个分布式拒绝服务攻击阻塞了你的链路，这个策略可能就不起作用。但是，如果分布式拒绝服务攻击仅仅阻塞了部分服务器，而没有阻塞整个网络，那就表明这个防御措施的作用很好。全球关联不是一个妙方，而是你的工具箱中的另一个工具。