4000003000

来自 $fileName 集（系统规则集）的规则被触发

来自系统规则集的入侵检测规则被触发。

事件类型的标题和描述中使用了以下变量：

• $fileName：规则集的名称
• $category：规则的类别
• $ruleName：规则的名称
• $signature_id：规则的 ID（sid）

4000003001

来自 $fileName 集（用户自定义规则集）的规则被触发

来自用户自定义规则集中的入侵检测规则被触发。

事件类型的标题和描述中使用了以下变量：

• $fileName：规则集的名称
• $category：规则的类别
• $ruleName：规则的名称
• $signature_id：规则的 ID（sid）
• $action：规则中定义的网络数据包操作类型（Kaspersky Anti Targeted Attack Platform 中不执行丢弃或拒绝操作）。

4000003002

检测到暴力攻击或扫描的迹象

检测暴力破解或扫描攻击的规则被触发。

在事件类型描述中，$ruleName 变量用于规则名称。

4000004001

在 ARP 回复中检测到 ARP 欺骗的症状

检测到 ARP 数据包中存在地址欺骗的迹象：多个与 ARP 请求无关的 ARP 相应。

事件类型的描述中使用了以下变量：

• $senderIp: 被欺骗的 IP 地址
• $targetIp：目标主机的 IP 地址
• $attackStartTimestamp：检测到第一个 ARP 相应的时间

4000004002

在 ARP 请求中检测到 ARP 欺骗的症状

检测到 ARP 数据包中存在地址欺骗的迹象：从同一 MAC 地址向不同目的地发出的多个 ARP 请求。

事件类型的描述中使用了以下变量：

• $senderIp: 被欺骗的 IP 地址
• $targetIp：目标主机的 IP 地址
• $attackStartTimestamp：检测到第一个 ARP 相应的时间

4000005100

检测到 IP 协议异常: 组装 IP 数据包时发生数据冲突

检测到 IP 协议异常：重叠 IP 数据包片段中的数据不匹配。

4000005101

检测到 IP 协议异常: 超过碎片 IP 数据包大小

检测到 IP 协议异常：重新组装后碎片 IP 数据包的实际总大小超出允许的限制。

4000005102

检测到 IP 协议异常: IP 数据包的初始片段的大小小于预期

检测到 IP 协议异常：IP 数据包的初始片段的大小小于允许的最小值。

4000005103

检测到 IP 协议异常: 误相关片段

检测到 IP 协议异常：正在组装的 IP 数据包的片段包含有关碎片数据包长度的不同信息。

4000002701

检测到 TCP 协议异常: 重叠 TCP 段中的内容替换

检测到 TCP 协议异常：数据包包含不同内容的重叠 TCP 段。

4000000003

测试事件 (IDS)

检测到测试网络数据包（启用了基于规则的入侵检测）。