4000003000

來自 $fileName 集（系統規則集）的規則被觸發

來系統規則集的入侵偵測規則被觸發。

事件類型的標題和描述中使用了以下變數：

• $fileName：規則集的名稱
• $category：規則的類別
• $ruleName：規則的名稱
• $signature_id：規則的 ID（sid）

4000003001

來自 $fileName 集（使用者自訂規則集）的規則被觸發

來自使用者自訂規則集的入侵偵測規則被觸發。

事件類型的標題和描述中使用了以下變數：

• $fileName：規則集的名稱
• $category：規則的類別
• $ruleName：規則的名稱
• $signature_id：規則的 ID（sid）
• $action：規則中定義的網路封包操作類型（Kaspersky Anti Targeted Attack Platform 中不執行丟棄或拒絕操作）

4000003002

偵測到暴力攻擊或掃描的跡象

偵測暴力破解或掃描攻擊的規則被觸發。

在事件類型描述中，$ruleName 變數用於規則名稱。

4000004001

在 ARP 回復中偵測到 ARP 欺騙的症狀

偵測到 ARP 封包中存在位址欺騙的跡象：多個與 ARP 請求無關的 ARP 對應。

事件類型的描述中使用了以下變數：

• $senderIp: 被欺騙的 IP 位址
• $targetIp：目標主機的 IP 位址
• $attackStartTimestamp：偵測到第一個 ARP 對應的時間

4000004002

在 ARP 請求中偵測到 ARP 欺騙的症狀

偵測到 ARP 封包中存在位址欺騙的跡象：從同一MAC 位址向不同目的地發出的多個 ARP 請求。

事件類型的描述中使用了以下變數：

• $senderIp: 被欺騙的 IP 位址
• $targetIp：目標主機的 IP 位址
• $attackStartTimestamp：偵測到第一個 ARP 對應的時間

4000005100

偵測到 IP 協定異常: 組裝 IP 封包時發生資料衝突

偵測到 IP 協定異常：重疊 IP 封包片段中的資料不符。

4000005101

偵測到 IP 協定異常: 超過碎片 IP 封包大小

偵測到 IP 協定異常：重新組裝後碎片 IP 封包的實際總大小超出允許的限制。

4000005102

偵測到 IP 協定異常: IP 封包的初始片段的大小小於預期

偵測到 IP 協定異常：IP 封包的初始片段的大小小於允許的最小值。

4000005103

偵測到 IP 協定異常: 誤相關片段

偵測到 IP 協定異常：正在組裝的 IP 封包的片段包含有關碎片封包長度的不同資訊。

4000002701

偵測到 TCP 協定異常: 重疊 TCP 段中的內容替換

偵測到 TCP 協定異常：封包包含不同內容的重疊 TCP 段。

4000000003

測試事件 (IDS)

偵測到測試網路封包（啟用了基於規則的入侵偵測）。