Cisco Cisco Firepower Management Center 4000 User Guide
34-11
FireSIGHT 系统用户指南
第 34 章 检测特定威胁
防御基于速率的攻击
基于速率的攻击防御及其他过滤器
许可证:保护
关键字
detection_filter
、阈值和抑制功能提供了其他方式来过滤流量或系统生成的事件。可以
单独使用基于速率的攻击防御,也可以将其与阈值、抑制功能或
detection_filter
关键字随意组
合使用。
有关详细信息,请参阅以下示例:
•
•
•
•
基于速率的攻击防御和检测过滤
许可证:保护
关键字
detection_filter
可防止触发规则,直到指定时间内出现规则匹配的阈值次数。当规则包
含
detection_filter
关键字时,系统会在每个超时周期跟踪传入数据包与规则中的模式相匹配的
次数。系统可以从特定的源或目标 IP 地址计算该规则的匹配次数。速率超过规则中的速率后,会
开始针对该规则的事件通知。
开始针对该规则的事件通知。
以下示例显示了尝试强行登录的攻击者。重复尝试查找密码会触发还包含
detection_filter
关键
字且计数设置为 5 的规则。此规则已配置基于速率的攻击防御。如果在 10 秒内出现五次规则匹
配,基于速率的设置会将规则属性更改为 Drop and Generate Events 并保持 20 秒。
配,基于速率的设置会将规则属性更改为 Drop and Generate Events 并保持 20 秒。
如图所示,与规则匹配的前五个数据包不会生成事件,因为在速率超过
detection_filter
关键字
所指示的速率之前规则不会触发。规则触发后,事件通知开始,但基于速率的标准在再通过五个
数据包之前不会触发新操作 Drop and Generate Events。
数据包之前不会触发新操作 Drop and Generate Events。
如果符合基于速率的标准,将会生成事件并会丢弃数据包,直到基于速率的超时周期结束且速率
低于阈值。 20 秒之后,基于速率的操作超时。请注意,到达超时时间后,在接下来的基于速率的
采样周期内,系统仍然丢弃数据包。由于采样的速率高于之前采样周期的阈值速率,因此发生超
时时,基于速率的操作会继续。
低于阈值。 20 秒之后,基于速率的操作超时。请注意,到达超时时间后,在接下来的基于速率的
采样周期内,系统仍然丢弃数据包。由于采样的速率高于之前采样周期的阈值速率,因此发生超
时时,基于速率的操作会继续。