Для обнаружения вторжений вы можете применять следующие дополнительные методы:
Если включено обнаружение признаков подмены адресов в ARP-пакетах, Kaspersky Industrial CyberSecurity for Networks проверяет указываемые адреса в ARP-пакетах и обнаруживает признаки атак низкого уровня типа "человек посередине" (Man in the middle, MITM). Этот тип атак в сетях с использованием протокола ARP характеризуется наличием в трафике поддельных ARP-сообщений.
При обнаружении признаков подмены адресов в ARP-пакетах программа регистрирует события по технологии Обнаружение вторжений. Для регистрации используются системные типы событий, которым присвоены следующие коды:
Если включено обнаружение аномалий в протоколе TCP, Kaspersky Industrial CyberSecurity for Networks проверяет TCP-сегменты потока данных в поддерживаемых протоколах прикладного уровня.
При обнаружении пакетов, содержащих перекрывающиеся TCP-сегменты с различающимся содержимым, программа регистрирует событие по технологии Обнаружение вторжений. Для регистрации используется системный тип события, которому присвоен код 4000002701.
Если включено обнаружение аномалий в протоколе IP, Kaspersky Industrial CyberSecurity for Networks проверяет фрагментированные IP-пакеты.
При обнаружении ошибок сборки IP-пакетов программа регистрирует события по технологии Обнаружение вторжений. Для регистрации используются системные типы событий, которым присвоены следующие коды:
Если включено обнаружение атак подбора и сканирования, Kaspersky Industrial CyberSecurity for Networks проверяет статистику сетевой активности с целью выявления признаков атак подбора учетных данных, отказа в обслуживании, сканирования, подмены сетевых сервисов и других аномалий.
Метод использует встроенные правила. При срабатывании правил программа регистрирует событие по технологии Обнаружение вторжений. Для регистрации используется системный тип события, которому присвоен код 4000003002.
Вы можете включать и выключать применение методов. Применять дополнительные методы обнаружения вторжений можно независимо от наличия и состояния правил обнаружения вторжений. Для проверки по дополнительным методам используются встроенные алгоритмы.
В начало