其他入侵检测方法

您可以应用以下附加方法进行入侵检测：

• 检测 ARP 数据包中伪造地址的迹象（ARP 欺骗）。

  如果启用了检测 ARP 数据包中伪造地址的迹象，Kaspersky Industrial CyberSecurity for Networks 会扫描 ARP 数据包中指示的地址并检测低级中间人 (MITM) 攻击的迹象。在使用 ARP 协议的网络中，此类攻击的特点是流量中存在伪造的 ARP 消息。

  当应用程序检测到 ARP 数据包中存在伪造地址的迹象时，应用程序会根据入侵检测技术注册事件。事件使用分配有以下代码的系统事件类型进行注册：

  • 4000004001 – 用于检测与 ARP 请求无关的多个 ARP 回复。
  • 4000004002 – 用于检测从同一 MAC 地址到不同目的地的多个 ARP 请求。
• TCP 协议异常检测

  如果启用了 TCP 协议异常检测，Kaspersky Industrial CyberSecurity for Networks 将扫描受支持的应用程序级协议中数据流的 TCP 段。

  当检测到包含不同内容的重叠 TCP 段的数据包时，应用程序会根据入侵检测技术注册一个事件。这些事件使用被分配了代码 4000002701 的系统事件类型进行注册。

• IP 协议异常检测

  如果启用了 IP 协议异常检测，Kaspersky Industrial CyberSecurity for Networks 将扫描碎片化的 IP 数据包。

  当应用程序检测到 IP 数据包组装中的错误时，它会注册入侵检测技术事件。事件使用分配有以下代码的系统事件类型进行注册：

  • 4000005100 用于检测组装 IP 数据包时的数据冲突（IP 片段重叠）。
  • 4000005101 用于检测超出最大允许大小的 IP 数据包（IP 片段溢出）。
  • 4000005102 用于检测其初始片段小于预期（IP 片段太小）的 IP 数据包。
  • 4000005103 用于检测 IP 数据包的错误关联片段。
• 蛮力攻击和扫描检测

  如果启用了暴力攻击和扫描检测，Kaspersky Industrial CyberSecurity for Networks 会分析网络活动统计数据，以检测对帐户凭据、拒绝服务、扫描、网络服务欺骗和其他异常的暴力攻击迹象。

  此方法使用内置规则。当规则被触发时，应用程序会根据入侵检测技术注册一个事件。这些事件使用被分配了代码 4000003002 的系统事件类型进行注册。

您可以启用或禁用这些方法。无论入侵检测规则的可用性和状态如何，您都可以应用其他入侵检测方法。嵌入式算法用于附加的扫描方法。

页首