管理用户定义的入侵检测规则

为了检测网络流量中的入侵，您可以使用入侵检测规则和使用内置算法的其他入侵检测方法。当在流量中检测到攻击指标时，Kaspersky Anti Targeted Attack Platform 会记录入侵检测技术事件。

需要有效的 KATA 或 KATA + NDR 授权许可密钥来管理用户定义的入侵检测规则。

入侵检测规则描述可能表示网络攻击的流量异常。规则包含入侵检测系统用于分析流量的条件。

如果启用了基于规则的入侵检测方法，则应用入侵检测规则。您可以启用或禁用方法。

您可以使用以下类型的规则集：

系统规则集。这些规则集由卡巴斯基提供，用于检测最常见攻击或不必要的网络活动的指标。系统规则集在安装应用程序后立即可用。您可以通过安装更新来更新系统规则集。如果有必要，您可以为这些规则创建扫描排除项。有关详细信息，请参阅“管理入侵检测规则排除项”和“管理 NDR 事件的允许规则”部分。
用户定义的规则集。这些是您自己上传的规则集。您上传的文件必须包含定义入侵检测规则的数据结构。您要上传的文件必须都位于同一目录中，并且必须具有 .rules 扩展名。自定义规则集的名称与从其上传规则集的文件的名称相匹配。
用户定义的入侵检测规则集显示在“自定义规则→入侵检测”部分。

该应用程序支持所有上传的规则集中总共最多 50000 条规则。您最多可以上传 100 个规则集。

从用户自定义规则集加载的规则可能包含流量分析条件，导致应用程序注册过多的规则触发事件。在这种情况下，您必须记住，注册过多事件会影响入侵检测系统的性能。

可以启用或禁用入侵检测规则集。如果启用了基于规则的入侵检测方法，则在流量分析期间将应用已启用规则集中的规则。如果禁用某个规则集，则不会应用该规则集中的规则。

上传规则集时，应用程序会检查其中包含的规则。如果在规则中发现任何错误，应用程序将阻止此类规则并且不会应用它们。如果在规则集的所有规则中发现错误或规则集不包含任何规则，则应用程序将禁用此规则集。

当在流量中检测到已启用集的规则中指定的条件时，应用程序会注册规则触发事件。使用系统事件类型进行注册，其代码如下：

用户定义的规则集可以包含从其他入侵检测和防护系统获得的规则。当处理这些规则时，应用程序不执行应用于网络数据包的指定操作（例如，丢弃和拒绝操作）。当入侵检测规则触发时，Kaspersky Anti Targeted Attack Platform 仅记录一个事件。

Kaspersky Anti Targeted Attack Platform 事件分数的数值与入侵检测规则中的优先级值相对应（见下表）。

规则优先级与事件分数的对应关系

入侵检测规则中的优先级值	Kaspersky Anti Targeted Attack Platform 事件分数
四个或以上	2.5
3	4.5
2	6.5
1	9

您可以在“设置” → “事件类型”下配置注册入侵检测事件的设置。

您可以在已注册事件表中查看入侵检测事件。

在分布式解决方案和多租户模式下，用户定义的入侵检测规则可以有以下类型之一：

具有“高级安全官”角色的用户可以上传、启用或禁用用户定义的入侵检测规则集，以及将卡巴斯基定义的入侵检测规则添加到扫描排除项中。拥有“安全审计员”角色的用户可以查看用户定义的检测规则集。拥有“安全官”角色的用户无权访问用户定义的入侵检测规则集。

本节内容