Системные типы событий по технологии Обнаружение вторжений
В этой статье приведено описание системных типов событий, относящихся к технологии Обнаружение вторжений (см. таблицу ниже).
Системные типы событий по технологии Обнаружение вторжений (IDS)
Код | Заголовок типа события | Условия для регистрации |
---|---|---|
4000003000 | Сработало правило из набора $fileName (системный набор правил) | Сработало правило обнаружения вторжений, входящее в системный набор правил. В заголовке и в описании типа события используются следующие переменные:
|
4000003001 | Сработало правило из набора $fileName (пользовательский набор правил) | Сработало правило обнаружения вторжений, входящее в пользовательский набор правил. В заголовке и в описании типа события используются следующие переменные:
|
4000003002 | Обнаружены признаки подбора или сканирования | Сработало правило обнаружения атак с использованием методов подбора или сканирования. В описании типа события используется переменная $ruleName для названия правила. |
4000004001 | Обнаружены признаки ARP-спуфинга в ARP-ответах | Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-ответов, которые не связаны с ARP-запросами. В описании типа события используются следующие переменные:
|
4000004002 | Обнаружены признаки ARP-спуфинга в ARP-запросах | Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-запросов с одного MAC-адреса разным получателям. В описании типа события используются следующие переменные:
|
4000005100 | Обнаружена аномалия в протоколе IP: конфликт данных при сборке IP-пакета | Обнаружена аномалия в протоколе IP: при наложении фрагментов IP-пакета данные не совпадают. |
4000005101 | Обнаружена аномалия в протоколе IP: превышение размера фрагментированного IP-пакета | Обнаружена аномалия в протоколе IP: фактический суммарный размер фрагментированного IP-пакета после сборки превышает допустимый предел. |
4000005102 | Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше ожидаемого | Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше минимально допустимого значения. |
4000005103 | Обнаружена аномалия в протоколе IP: несоответствие фрагментов IP-пакета (mis-associated fragments) | Обнаружена аномалия в протоколе IP: фрагменты собираемого IP-пакета содержат различные данные о длине фрагментированного пакета. |
4000002701 | Обнаружена аномалия в протоколе TCP: подмена содержимого в перекрывающихся TCP-сегментах | Обнаружена аномалия в протоколе TCP: пакеты содержат перекрывающиеся TCP-сегменты с различающимся содержимым. |
4000000003 | Тестовое событие (IDS) | Обнаружен тестовый сетевой пакет (при включенном методе обнаружения вторжений по правилам). |