如何利用IPS追踪入侵者?

　　下面我们就来了解下行为处理法是如何运转工作的，我们依旧以华为公司的Tippingpoint入侵防御系统为例进行介绍。

　　第一步：登录到IPS系统管理界面，我们在左边找到IPS选项下的security profiles，这个是关于安全配置的信息，在这里我们能够看到默认的是default security profile，这个是系统集成时厂商制订好的。(如图1)

　　第二步：下面我们来修改这个默认的default security profile，打开后会显示该安全策略应用的接口，由于笔者所在公司只使用了两个接口，一个入一个出所以这里不用修改。(如图2)

　　第三步：接下来是profile details(advanced)设置，这里是关于策略的详细信息进行配置的。我们可以看到默认情况系统针对各个攻击类型划分了类别，每个类别是一个category.可以处理的攻击包括exploits益出，identity theft，security policy(安全策略)，virus病毒，spyware间谍程序等等，种类很多这里就不一一罗列了，对于每个大类category来说我们都可以设置IPS操作的行为以及处理方法，包括block禁止通行，block+notify禁止通行并提示，block+notify+trace禁止通行并提示而且追踪源地址，limit rate to 10M容许速度限制为10M，limit rate to 5M，permit+notify，perminotify+trace容许通行并追踪数据等等。基本上这里罗列的行为处理方法足够在实际中使用了，如果企业需要特殊的行为处理操作的话可以按照下文介绍的方法添加。这里有一个recommended的意思是推荐，他表示对于该大类处理方法按照单独小类进行处理，例如virus下有A病毒与B病毒，如果大类virus设置为recommended的话，那么具体到处理AB病毒时按照A病毒与B病毒自身设置的行为处理规则运行。