4000003000

来自 ' + $fileName + ' 集（系统规则集）的规则被触发

来自系统规则集的入侵检测规则被触发。

事件类型的标题和描述中使用了以下变量：

• $fileName – 规则集的名称。
• $category – 规则的类别。
• $ruleName – 规则的名称。
• $signature_id – 规则 ID (sid)。

4000003001

来自 ' + $fileName + ' 集（用户自定义规则集）的规则被触发。

来自用户自定义规则集中的入侵检测规则被触发。

事件类型的标题和描述中使用了以下变量：

• $fileName – 规则集的名称。
• $category – 规则的类别。
• $ruleName – 规则的名称。
• $signature_id – 规则 ID (sid)。
• $action – 规则中定义的网络数据包操作类型（Kaspersky Industrial CyberSecurity for Networks 不支持丢弃或拒绝操作）。

4000003002

检测到暴力攻击或扫描的迹象

用于检测扫描或暴力攻击的规则被触发。

在事件类型描述中，$ruleName 变量用于规则名称。

4000004001

在 ARP 回复中检测到 ARP 欺骗的症状

检测到 ARP 数据包中存在伪造地址的迹象：多个与 ARP 请求无关的 ARP 回复。

事件类型描述中使用以下变量：

• $senderIp – 替换的 IP 地址。
• $targetIp – 目标节点的 IP 地址。
• $attackStartTimestamp – 检测到第一个 ARP 回复的时间。

4000004002

在 ARP 请求中检测到 ARP 欺骗的症状

检测到 ARP 数据包中存在伪造地址的迹象：从同一 MAC 地址向不同目的地发出的多个 ARP 请求。

事件类型描述中使用以下变量：

• $senderIp – 替换的 IP 地址。
• $targetIp – 目标节点的 IP 地址。
• $attackStartTimestamp – 检测到第一个 ARP 回复的时间。

4000005100

检测到 IP 协议异常: 组装 IP 数据包时发生数据冲突

检测到 IP 协议异常：覆盖 IP 数据包片段时数据不匹配。

4000005101

检测到 IP 协议异常: 超过碎片 IP 数据包大小

检测到 IP 协议异常：碎片 IP 数据包组装后的实际总大小超出了可接受的限制。

4000005102

检测到 IP 协议异常: IP 数据包的初始片段的大小小于预期

检测到 IP 协议异常：IP 数据包的初始片段的大小小于允许的最小值。

4000005103

检测到 IP 协议异常: 误相关片段

检测到 IP 协议异常：组装的 IP 数据包的片段包含与碎片数据包长度相冲突的数据。

4000002701

检测到 TCP 协议异常: 重叠 TCP 段中的内容替换

检测到 TCP 协议异常：数据包包含内容各异的重叠 TCP 段。

4000000003

测试事件 (IDS)

检测到测试网络数据包（启用了基于规则的入侵检测）。