入侵检测技术的系统事件类型

本文介绍了入侵检测技术的系统事件类型(见下表)。

入侵检测 (IDS) 系统事件类型

代码

事件类型标题

注册条件

4000003000

来自 $fileName 集(系统规则集)的规则被触发

来自系统规则集的入侵检测规则被触发。

事件类型的标题和描述中使用了以下变量:

  • $fileName:规则集的名称
  • $category:规则的类别
  • $ruleName:规则的名称
  • $signature_id:规则的 ID(sid)

4000003001

来自 $fileName 集(用户自定义规则集)的规则被触发

来自用户自定义规则集中的入侵检测规则被触发。

事件类型的标题和描述中使用了以下变量:

  • $fileName:规则集的名称
  • $category:规则的类别
  • $ruleName:规则的名称
  • $signature_id:规则的 ID(sid)
  • $action:规则中定义的网络数据包操作类型(Kaspersky Anti Targeted Attack Platform 中不执行丢弃拒绝操作)。

4000003002

检测到暴力攻击或扫描的迹象

检测暴力破解或扫描攻击的规则被触发。

在事件类型描述中,$ruleName 变量用于规则名称。

4000004001

在 ARP 回复中检测到 ARP 欺骗的症状

检测到 ARP 数据包中存在地址欺骗的迹象:多个与 ARP 请求无关的 ARP 相应。

事件类型的描述中使用了以下变量:

  • $senderIp: 被欺骗的 IP 地址
  • $targetIp:目标主机的 IP 地址
  • $attackStartTimestamp:检测到第一个 ARP 相应的时间

4000004002

在 ARP 请求中检测到 ARP 欺骗的症状

检测到 ARP 数据包中存在地址欺骗的迹象:从同一 MAC 地址向不同目的地发出的多个 ARP 请求。

事件类型的描述中使用了以下变量:

  • $senderIp: 被欺骗的 IP 地址
  • $targetIp:目标主机的 IP 地址
  • $attackStartTimestamp:检测到第一个 ARP 相应的时间

4000005100

检测到 IP 协议异常: 组装 IP 数据包时发生数据冲突

检测到 IP 协议异常:重叠 IP 数据包片段中的数据不匹配。

4000005101

检测到 IP 协议异常: 超过碎片 IP 数据包大小

检测到 IP 协议异常:重新组装后碎片 IP 数据包的实际总大小超出允许的限制。

4000005102

检测到 IP 协议异常: IP 数据包的初始片段的大小小于预期

检测到 IP 协议异常:IP 数据包的初始片段的大小小于允许的最小值。

4000005103

检测到 IP 协议异常: 误相关片段

检测到 IP 协议异常:正在组装的 IP 数据包的片段包含有关碎片数据包长度的不同信息。

4000002701

检测到 TCP 协议异常: 重叠 TCP 段中的内容替换

检测到 TCP 协议异常:数据包包含不同内容的重叠 TCP 段。

4000000003

测试事件 (IDS)

检测到测试网络数据包(启用了基于规则的入侵检测)。

页面顶部