“入侵检测规则”描述表征工业网络中可能存在攻击迹象的流量异常情况。规则包含入侵检测系统用于分析流量的条件。
入侵检测规则存储在服务器和探测器上。
当使用基于规则的入侵检测方法时,应用程序应用入侵检测规则。您可以启用或禁用此方法。
入侵检测规则根据某些属性被分组为规则集。例如,规则可以根据用途进行分组,包括在旨在检测某些类型入侵的集合中。您可以使用以下类型的规则集:
应用程序支持在所有加载的规则集中累计应用不超过 50000 条规则。加载的规则集数量限制为 100。
从用户定义的规则集加载的规则可能包含流量分析条件,当这些规则被触发时,应用程序将记录过多的事件。在这种情况下,请记住记录太多事件可能会影响入侵检测系统的性能。
入侵检测规则集可以被启用或禁用。如果启用了基于规则的入侵检测方法,则在流量分析期间将应用已启用集中的规则。如果禁用某个规则集,则不会应用该规则集中的规则。
加载规则集时,应用程序会验证规则集中的规则。如果在验证的规则中检测到错误,应用程序将阻止应用这些规则。如果在规则集的所有规则中检测到错误或规则集不包含任何规则,则应用程序将禁用此规则集。
有关规则集和检测到的错误的信息,请参阅入侵检测部分。
当在流量中检测到已启用规则集的规则中定义的条件时,应用程序会注册规则触发事件。这些事件使用被分配了以下代码的系统事件类型进行注册。
用户定义的规则集可能包含从其他入侵防御和检测系统收到的规则。当处理这些规则时,应用程序不会执行其定义的操作,这些操作原本会被应用于网络数据包(例如,丢弃和拒绝操作)。当 Kaspersky Industrial CyberSecurity for Networks 中有入侵检测规则被触发时,仅执行事件注册。
Kaspersky Industrial CyberSecurity for Networks 事件的分数与入侵检测规则中的特定优先级相对应(见下表)。
将规则优先级映射到事件分数
入侵检测规则优先级 |
Kaspersky Industrial CyberSecurity for Networks 事件分数值 |
|---|---|
4 或更高 |
2.5 |
3 |
4.5 |
2 |
6.5 |
1 |
9 |