其他入侵检测方法

为了检测入侵，您可以使用以下附加方法：

• 检测 ARP 数据包中伪造地址的迹象（ARP 欺骗）。

  如果启用了 ARP 欺骗检测，Kaspersky Anti Targeted Attack Platform 会检查 ARP 数据包中指定的地址并检测低级中间人 (MITM) 攻击的指标。在使用 ARP 协议的网络中，这种类型的攻击表现为在流量中发现虚假 ARP 消息。

  当检测到 ARP 欺骗指标时，应用程序会注册入侵检测技术事件。使用系统事件类型进行注册，其代码如下：

  • 4000004001 用于检测与ARP请求无关的多个ARP响应的事件
  • 4000004002 用于检测从同一 MAC 地址到不同收件人的多个 ARP 请求的事件。
• TCP 协议异常检测。

  如果启用了 TCP 协议异常检测，Kaspersky Anti Targeted Attack Platform 将扫描受支持的应用程序层协议中数据流的 TCP 段。

  当 Kaspersky Anti Targeted Attack Platform 检测到包含不同内容的重叠 TCP 段的数据包时，它会记录入侵检测技术事件。事件注册的系统事件类型代码为 4000002701。

• IP 协议异常检测。

  如果启用了 IP 协议异常检测，Kaspersky Anti Targeted Attack Platform 将扫描碎片化的 IP 数据包。

  当检测到 IP 数据包组装错误时，应用程序会注册入侵检测技术事件。使用系统事件类型进行注册，其代码如下：

  • 4000005100 用于在 IP 数据包组装过程中检测数据冲突的事件（IP 片段重叠）
  • 4000005101 用于检测超过最大允许大小的 IP 数据包的事件（IP 片段溢出）
  • 4000005102 用于检测初始片段小于预期（IP 片段太小）的 IP 数据包的事件
  • 4000005103 用于检测 IP 数据包片段的误关联事件（误关联片段）
• 暴力攻击和扫描检测。

  启用暴力攻击和扫描检测后，Kaspersky Anti Targeted Attack Platform 会检查网络活动统计数据，以检测暴力攻击、拒绝服务攻击、扫描、网络服务欺骗和其他异常的指标。

  此方法使用内置规则。当触发规则时，应用程序会注册入侵检测技术事件。事件注册的系统事件类型代码为 4000003002。

您可以启用或禁用方法。无论入侵检测规则是否存在或是否启用，都可以应用其他入侵检测方法。其他检测方法使用内置算法。

页面顶部