Системные типы событий по технологии Обнаружение вторжений

В этом разделе приведено описание системных типов событий, относящихся к технологии Обнаружение вторжений (см. таблицу ниже).

Системные типы событий по технологии Обнаружение вторжений (IDS)

Код

Заголовок типа события

Важность

Условия для регистрации

4000003000

Сработало правило из набора $fileName (системный набор правил)

Определяется по приоритету правила

Сработало правило обнаружения вторжений, входящее в системный набор правил (набор правил находится в активном состоянии).

В заголовке и в описании типа события используются следующие переменные:

  • $fileName – название набора правил;
  • $category – класс правила;
  • $ruleName – название правила;
  • $severity – приоритет правила;
  • $signature_id – идентификатор правила (sid).

     

4000003001

Сработало правило из набора $fileName (пользовательский набор правил)

Определяется по приоритету правила

Сработало правило обнаружения вторжений, входящее в пользовательский набор правил (набор правил находится в активном состоянии).

В заголовке и в описании типа события используются следующие переменные:

  • $fileName – название набора правил;
  • $category – класс правила;
  • $ruleName – название правила;
  • $severity – приоритет правила;
  • $signature_id – идентификатор правила (sid).

     

4000004001

Обнаружены признаки ARP-спуфинга в ARP-ответах

Критические

Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-ответов, которые не связаны с ARP-запросами.

В описании типа события используются следующие переменные:

  • $senderIp – подменяемый IP-адрес;
  • $targetIp – IP-адрес целевого узла;
  • $attackStartTimestamp – время обнаружения первого ARP-ответа.

4000004002

Обнаружены признаки ARP-спуфинга в ARP-запросах

Критические

Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-запросов с одного MAC-адреса разным получателям.

В описании типа события используются следующие переменные:

  • $senderIp – подменяемый IP-адрес;
  • $targetIp – IP-адрес целевого узла;
  • $attackStartTimestamp – время обнаружения первого ARP-ответа.

4000005100

Обнаружена аномалия в протоколе IP: конфликт данных при сборке IP-пакета

Критические

Обнаружена аномалия в протоколе IP: при наложении фрагментов IP-пакета данные не совпадают.

4000005101

Обнаружена аномалия в протоколе IP: превышение размера фрагментированного IP-пакета

Критические

Обнаружена аномалия в протоколе IP: фактический суммарный размер фрагментированного IP-пакета после сборки превышает допустимый предел.

4000005102

Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше ожидаемого

Критические

Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше минимально допустимого значения.

4000005103

Обнаружена аномалия в протоколе IP: несоответствие фрагментов IP-пакета (mis-associated fragments)

Важные

Обнаружена аномалия в протоколе IP: фрагменты собираемого IP-пакета содержат различные данные о длине фрагментированного пакета.

4000002701

Обнаружена аномалия в протоколе TCP: подмена содержимого в перекрывающихся TCP-сегментах

Критические

Обнаружена аномалия в протоколе TCP: пакеты содержат перекрывающиеся TCP-сегменты с различающимся содержимым.

4000000003

Тестовое событие (IDS)

Информационные

Обнаружен тестовый сетевой пакет (при включенном методе обнаружения вторжений по правилам).

В начало