为了检测网络流量中的入侵,您可以使用入侵检测规则和使用内置算法的其他入侵检测方法。当在流量中检测到攻击指标时,Kaspersky Anti Targeted Attack Platform 会记录入侵检测技术事件。
需要有效的 KATA 或 KATA + NDR 授权许可密钥来管理用户定义的入侵检测规则。
入侵检测规则描述可能表示网络攻击的流量异常。规则包含入侵检测系统用于分析流量的条件。
如果启用了基于规则的入侵检测方法,则应用入侵检测规则。您可以启用或禁用方法。
您可以使用以下类型的规则集:
用户定义的入侵检测规则集显示在“自定义规则→入侵检测”部分。
该应用程序支持所有上传的规则集中总共最多 50,000 条规则。您最多可以上传 100 个规则集。
从用户自定义规则集加载的规则可能包含流量分析条件,导致应用程序注册过多的规则触发事件。在这种情况下,您必须记住,注册过多事件会影响入侵检测系统的性能。
可以启用或禁用入侵检测规则集。如果启用了基于规则的入侵检测方法,则在流量分析期间将应用已启用规则集中的规则。如果禁用某个规则集,则不会应用该规则集中的规则。
上传规则集时,应用程序会检查其中包含的规则。如果在规则中发现任何错误,应用程序将阻止此类规则并且不会应用它们。如果在规则集的所有规则中发现错误或规则集不包含任何规则,则应用程序将禁用此规则集。
当在流量中检测到已启用集的规则中指定的条件时,应用程序会注册规则触发事件。使用系统事件类型进行注册,其代码如下:
用户定义的规则集可以包含从其他入侵检测和防护系统获得的规则。当处理这些规则时,应用程序不执行应用于网络数据包的指定操作(例如,丢弃和拒绝操作)。当入侵检测规则触发时,Kaspersky Anti Targeted Attack Platform 仅记录一个事件。
Kaspersky Anti Targeted Attack Platform 事件分数的数值与入侵检测规则中的优先级值相对应(见下表)。
规则优先级与事件分数的对应关系
入侵检测规则中的优先级值 |
Kaspersky Anti Targeted Attack Platform 事件分数 |
|---|---|
四个或以上 |
2.5 |
3 |
4.5 |
2 |
6.5 |
1 |
9 |
您可以在“设置” → “事件类型”下配置注册入侵检测事件的设置。
您可以在已注册事件表中查看入侵检测事件。
拥有“高级安全官”角色的用户可以上传、启用和禁用用户定义的入侵检测规则集。拥有“安全审计员”角色的用户可以查看用户定义的检测规则集。拥有“安全官”角色的用户无权访问用户定义的入侵检测规则集。