其他入侵偵測方法

為了偵測入侵，您可以使用以下附加方法：

• 偵測 ARP 封包中偽造位址的跡象（ARP 欺騙）。

  如果啟用了 ARP 欺騙偵測，Kaspersky Anti Targeted Attack Platform 會檢查 ARP 封包中指定的位址並偵測低階中間人 (MITM) 攻擊的指標。在使用 ARP 協定的網路中，這種類型的攻擊表現為在流量中發現虛假 ARP 訊息。

  當偵測到 ARP 欺騙指標時，應用程式會註冊入侵偵測技術事件。使用系統事件類型進行註冊，其代碼如下：

  • 4000004001 用於偵測與 ARP 請求無關的多個 ARP 回應的事件。
  • 4000004002 用於偵測從同一 MAC 位址到不同收件者的多個 ARP 請求的事件。
• TCP 協定異常偵測。

  如果啟用了 TCP 協定異常檢測，Kaspersky Anti Targeted Attack Platform 將掃描受支援的應用程式層協定中資料流的 TCP 段。

  當Kaspersky Anti Targeted Attack Platform 偵測到包含不同內容的重疊 TCP 段的封包時，它會記錄入侵偵測技術事件。事件註冊的系統事件類型代碼為4000002701。

• IP 協定異常偵測。

  如果啟用了 IP 協定異常偵測，Kaspersky Anti Targeted Attack Platform 將會掃描片段化的 IP 封包。

  當偵測到 IP 封包組裝錯誤時，應用程式會註冊入侵偵測技術事件。使用系統事件類型進行註冊，其代碼如下：

  • 4000005100 用於在 IP 封包組裝過程中偵測資料衝突的事件（IP 片段重疊）
  • 4000005101 用於偵測超過最大允許大小的 IP 封包的事件（IP 片段溢位）
  • 4000005102 用於偵測初始片段小於預期（IP 片段太小）的 IP 封包的事件
  • 4000005103 用於偵測 IP 封包片段的誤關聯事件（誤關聯片段）
• 暴力攻擊和掃描偵測。

  啟用暴力攻擊和掃描偵測後，Kaspersky Anti Targeted Attack Platform 會檢查網路活動統計數據，以偵測暴力攻擊、拒絕服務攻擊、掃描、網路服務欺騙和其他異常的指標。

  此方法使用內建規則。當觸發規則時，應用程式會註冊入侵偵測技術事件。事件註冊的系統事件類型代碼為4000003002。

您可以啟用或停用方法。無論入侵偵測規則是否存在或是否啟用，都可以應用其他入侵偵測方法。其他檢測方法使用內建演算法。

頁面頂部