使用测试网络数据包验证事件注册

要验证 Kaspersky Industrial CyberSecurity for Networks 中事件的注册情况，您可以使用测试网络数据包。当在流量中检测到此类数据包时，应用程序会根据以下技术注册测试事件：

• 深度包检测 无论是否存在过程控制规则或标记，都会注册事件。
• 网络完整性控制 无论是否存在交互控制规则，都会注册事件。必须启用网络完整性控制技术。
• 入侵检测 无论是否存在入侵检测规则，都会注册事件。必须启用基于规则的入侵检测。
• 资产管理 无论设备表中是否存在已知设备，都会注册事件。必须启用设备活动检测。

事件使用分配有以下代码的系统事件类型进行注册：

• 4000000001 表示基于深度包检测技术的事件。
• 4000000002 表示基于网络完整性控制技术的事件。
• 4000000003 表示基于入侵检测技术的事件。
• 4000000004 表示基于资产管理技术的事件。

您可以在已注册事件表中查看测试事件。

为了验证审计功能，Kaspersky Industrial CyberSecurity for Networks 会在审计日志中保存有关测试事件注册的信息。为每个注册事件创建一个审计条目，该条目指定注册该测试事件所使用的技术。

测试网络数据包是一个带有某些参数值的 UDP 协议数据包。参数的定义方式是排除在正常工业网络流量中接收这种数据包的概率。

测试网络包的参数中必须定义以下数据：

• 以太网 II 标头：
  • 源 MAC 地址：00:00:00:00:00:00
  • 目的 MAC 地址：ff:ff:ff:ff:ff:ff
  • EtherType：0x0800 (IPv4)
• IP 标头：
  • 源 IP 地址：127.0.20.20
  • 目的 IP 地址：127.0.20.20
  • ID: 20
  • TTL: 20
  • 协议类型：17（UDP）
  • 标志：0x00
• UDP 标头：
  • 源端口：20
  • 目的端口：20
• 数据包内容：
  • 数据包内容的长度（以字节为单位）：20
  • 数据包内容：“KICS4Net Sentinel 20”

要生成并发送测试网络数据包，您可以使用网络数据包生成器程序，例如Scapy。您需要从其流量由 Kaspersky Industrial CyberSecurity for Networks 控制的节点发送测试网络数据包。

示例： 要使用 Linux 操作系统中的 Scapy 程序发送测试网络数据包： 在计算机的操作系统控制台中，输入命令以交互模式运行 Scapy： sudo scapy 输入发送测试网络包的命令： sendp( Ether(src='00:00:00:00:00:00', dst='ff:ff:ff:ff:ff:ff')/ IP(src='127.0.20.20', dst='127.0.20.20', id=20, ttl=20)/ UDP(sport=20, dport=20)/ "KICS4Net Sentinel 20", iface="<接口名称>" ) 其中<接口名称>是连接到工业网络的网络接口的名称（例如，eth0）。 在流量中检测到数据包后，Kaspersky Industrial CyberSecurity for Networks 会注册测试事件。

页首