Kaspersky Anti Targeted Attack Platform
7.0
Русский

Содержание

Дополнительные методы обнаружения вторжений

Для обнаружения вторжений вы можете применять следующие дополнительные методы:

  • Обнаружение признаков подмены адресов в ARP-пакетах (ARP-спуфинг).

    Если включено обнаружение признаков подмены адресов в ARP-пакетах, Kaspersky Anti Targeted Attack Platform проверяет указываемые адреса в ARP-пакетах и обнаруживает признаки атак низкого уровня типа "человек посередине" (Man in the middle, MITM). Этот тип атак в сетях с использованием протокола ARP характеризуется наличием в трафике поддельных ARP-сообщений.

    При обнаружении признаков подмены адресов в ARP-пакетах приложение регистрирует события по технологии Обнаружение вторжений. Для регистрации используются системные типы событий, которым присвоены следующие коды:

    • 4000004001 – для события обнаружения нескольких ARP-ответов, которые не связаны с ARP-запросами;
    • 4000004002 – для события обнаружения нескольких ARP-запросов с одного MAC-адреса разным получателям.
  • Обнаружение аномалий в протоколе TCP.

    Если включено обнаружение аномалий в протоколе TCP, Kaspersky Anti Targeted Attack Platform проверяет TCP-сегменты потока данных в поддерживаемых протоколах прикладного уровня.

    При обнаружении пакетов, содержащих перекрывающиеся TCP-сегменты с различающимся содержимым, приложение регистрирует событие по технологии Обнаружение вторжений. Для регистрации используется системный тип события с кодом 4000002701.

  • Обнаружение аномалий в протоколе IP.

    Если включено обнаружение аномалий в протоколе IP, Kaspersky Anti Targeted Attack Platform проверяет фрагментированные IP-пакеты.

    При обнаружении ошибок сборки IP-пакетов приложение регистрирует события по технологии Обнаружение вторжений. Для регистрации используются системные типы событий, которым присвоены следующие коды:

    • 4000005100 – для события обнаружения конфликта данных при сборке IP-пакета (IP fragment overlapped);
    • 4000005101 – для события обнаружения IP-пакета с превышением максимально допустимого размера (IP fragment overrun);
    • 4000005102 – для события обнаружения IP-пакета с размером начального фрагмента меньше ожидаемого (IP fragment too small);
    • 4000005103 – для события обнаружения несоответствия фрагментов IP-пакета (mis-associated fragments).
  • Обнаружение атак подбора и сканирования.

    Если включено обнаружение атак подбора и сканирования, Kaspersky Anti Targeted Attack Platform проверяет статистику сетевой активности с целью выявления признаков атак подбора учетных данных, отказа в обслуживании, сканирования, подмены сетевых сервисов и других аномалий.

    Метод использует встроенные правила. При срабатывании правил приложение регистрирует событие по технологии Обнаружение вторжений. Для регистрации используется системный тип события, которому присвоен код 4000003002.

Вы можете включать и выключать применение методов. Применять дополнительные методы обнаружения вторжений можно независимо от наличия и состояния правил обнаружения вторжений. Для проверки по дополнительным методам используются встроенные алгоритмы.

В начало
[Topic 171092]