本文介绍了入侵检测技术的系统事件类型(见下表)。
入侵检测 (IDS) 系统事件类型
代码 |
事件类型标题 |
注册条件 |
---|---|---|
4000003000 |
来自 $fileName 集(系统规则集)的规则被触发 |
来自系统规则集的入侵检测规则被触发。 事件类型的标题和描述中使用了以下变量:
|
4000003001 |
来自 $fileName 集(用户自定义规则集)的规则被触发 |
来自用户自定义规则集中的入侵检测规则被触发。 事件类型的标题和描述中使用了以下变量:
|
4000003002 |
检测到暴力攻击或扫描的迹象 |
检测暴力破解或扫描攻击的规则被触发。 在事件类型描述中,$ruleName 变量用于规则名称。 |
4000004001 |
在 ARP 回复中检测到 ARP 欺骗的症状 |
检测到 ARP 数据包中存在地址欺骗的迹象:多个与 ARP 请求无关的 ARP 相应。 事件类型的描述中使用了以下变量:
|
4000004002 |
在 ARP 请求中检测到 ARP 欺骗的症状 |
检测到 ARP 数据包中存在地址欺骗的迹象:从同一 MAC 地址向不同目的地发出的多个 ARP 请求。 事件类型的描述中使用了以下变量:
|
4000005100 |
检测到 IP 协议异常: 组装 IP 数据包时发生数据冲突 |
检测到 IP 协议异常:重叠 IP 数据包片段中的数据不匹配。 |
4000005101 |
检测到 IP 协议异常: 超过碎片 IP 数据包大小 |
检测到 IP 协议异常:重新组装后碎片 IP 数据包的实际总大小超出允许的限制。 |
4000005102 |
检测到 IP 协议异常: IP 数据包的初始片段的大小小于预期 |
检测到 IP 协议异常:IP 数据包的初始片段的大小小于允许的最小值。 |
4000005103 |
检测到 IP 协议异常: 误相关片段 |
检测到 IP 协议异常:正在组装的 IP 数据包的片段包含有关碎片数据包长度的不同信息。 |
4000002701 |
检测到 TCP 协议异常: 重叠 TCP 段中的内容替换 |
检测到 TCP 协议异常:数据包包含不同内容的重叠 TCP 段。 |
4000000003 |
测试事件 (IDS) |
检测到测试网络数据包(启用了基于规则的入侵检测)。 |