Дополнительные методы обнаружения вторжений

Для обнаружения вторжений вы можете применять следующие дополнительные методы:

• Обнаружение признаков подмены адресов в ARP-пакетах (ARP-спуфинг).

  Если включено обнаружение признаков подмены адресов в ARP-пакетах, Kaspersky Industrial CyberSecurity for Networks проверяет указываемые адреса в ARP-пакетах и обнаруживает признаки атак низкого уровня типа "человек посередине" (Man in the middle, MITM). Этот тип атак в сетях с использованием протокола ARP характеризуется наличием в трафике поддельных ARP-сообщений.

  При обнаружении признаков подмены адресов в ARP-пакетах программа регистрирует события по технологии Обнаружение вторжений. Для регистрации используются системные типы событий, которым присвоены следующие коды:

  • 4000004001 – для события обнаружения нескольких ARP-ответов, которые не связаны с ARP-запросами;
  • 4000004002 – для события обнаружения нескольких ARP-запросов с одного MAC-адреса разным получателям.
• Обнаружение аномалий в протоколе TCP.

  Если включено обнаружение аномалий в протоколе TCP, Kaspersky Industrial CyberSecurity for Networks проверяет TCP-сегменты потока данных в поддерживаемых протоколах прикладного уровня.

  При обнаружении пакетов, содержащих перекрывающиеся TCP-сегменты с различающимся содержимым, программа регистрирует событие по технологии Обнаружение вторжений. Для регистрации используется системный тип события, которому присвоен код 4000002701.

• Обнаружение аномалий в протоколе IP.

  Если включено обнаружение аномалий в протоколе IP, Kaspersky Industrial CyberSecurity for Networks проверяет фрагментированные IP-пакеты.

  При обнаружении ошибок сборки IP-пакетов программа регистрирует события по технологии Обнаружение вторжений. Для регистрации используются системные типы событий, которым присвоены следующие коды:

  • 4000005100 – для события обнаружения конфликта данных при сборке IP-пакета (IP fragment overlapped);
  • 4000005101 – для события обнаружения IP-пакета с превышением максимально допустимого размера (IP fragment overrun);
  • 4000005102 – для события обнаружения IP-пакета с размером начального фрагмента меньше ожидаемого (IP fragment too small);
  • 4000005103 – для события обнаружения несоответствия фрагментов IP-пакета (mis-associated fragments).
• Обнаружение атак подбора и сканирования.

  Если включено обнаружение атак подбора и сканирования, Kaspersky Industrial CyberSecurity for Networks проверяет статистику сетевой активности с целью выявления признаков атак подбора учетных данных, отказа в обслуживании, сканирования, подмены сетевых сервисов и других аномалий.

  Метод использует встроенные правила. При срабатывании правил программа регистрирует событие по технологии Обнаружение вторжений. Для регистрации используется системный тип события, которому присвоен код 4000003002.

Вы можете включать и выключать применение методов. Применять дополнительные методы обнаружения вторжений можно независимо от наличия и состояния правил обнаружения вторжений. Для проверки по дополнительным методам используются встроенные алгоритмы.

В начало