В этом разделе приведено описание системных типов событий, относящихся к технологии Обнаружение вторжений (см. таблицу ниже).
Системные типы событий по технологии Обнаружение вторжений (IDS)
Код |
Заголовок типа события |
Важность |
Условия для регистрации |
---|---|---|---|
4000003000 |
Сработало правило из набора $fileName (системный набор правил) |
Определяется по приоритету правила |
Сработало правило обнаружения вторжений, входящее в системный набор правил (набор правил находится в активном состоянии). В заголовке и в описании типа события используются следующие переменные:
|
4000003001 |
Сработало правило из набора $fileName (пользовательский набор правил) |
Определяется по приоритету правила |
Сработало правило обнаружения вторжений, входящее в пользовательский набор правил (набор правил находится в активном состоянии). В заголовке и в описании типа события используются следующие переменные:
|
4000004001 |
Обнаружены признаки ARP-спуфинга в ARP-ответах |
Критические |
Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-ответов, которые не связаны с ARP-запросами. В описании типа события используются следующие переменные:
|
4000004002 |
Обнаружены признаки ARP-спуфинга в ARP-запросах |
Критические |
Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-запросов с одного MAC-адреса разным получателям. В описании типа события используются следующие переменные:
|
4000005100 |
Обнаружена аномалия в протоколе IP: конфликт данных при сборке IP-пакета |
Критические |
Обнаружена аномалия в протоколе IP: при наложении фрагментов IP-пакета данные не совпадают. |
4000005101 |
Обнаружена аномалия в протоколе IP: превышение размера фрагментированного IP-пакета |
Критические |
Обнаружена аномалия в протоколе IP: фактический суммарный размер фрагментированного IP-пакета после сборки превышает допустимый предел. |
4000005102 |
Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше ожидаемого |
Критические |
Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше минимально допустимого значения. |
4000005103 |
Обнаружена аномалия в протоколе IP: несоответствие фрагментов IP-пакета (mis-associated fragments) |
Важные |
Обнаружена аномалия в протоколе IP: фрагменты собираемого IP-пакета содержат различные данные о длине фрагментированного пакета. |
4000002701 |
Обнаружена аномалия в протоколе TCP: подмена содержимого в перекрывающихся TCP-сегментах |
Критические |
Обнаружена аномалия в протоколе TCP: пакеты содержат перекрывающиеся TCP-сегменты с различающимся содержимым. |
4000000003 |
Тестовое событие (IDS) |
Информационные |
Обнаружен тестовый сетевой пакет (при включенном методе обнаружения вторжений по правилам). |