Частота срабатывания

ID статьи: 1733
Последнее обновление: 18 ноя, 2024
Product: DCFW
Version: 8.x

При задании частоты срабатывание сигнатуры СОВ будет происходить не при каждом совпадении, а только после обнаружения заданного количества совпадений за указанный промежуток времени. Данный параметр может быть полезен при написании сигнатур для детектирования, например, атак типа брутфорс.

Для указания частоты срабатывания:

.rate=<count>, <period>;

где <count> — количество срабатываний;

       <period> — интервал времени (в секундах), за который должно произойти заданное количество срабатываний.

Следующий параметр является необязательным и задаёт параметр, по которому совпадения будут сгруппированы:

.track=<MODE>;

где <MODE> — свойство, по которому происходит отслеживание пакетов.

<MODE> может принимать следующие значения:

  • src_ip — отслеживание по IP-адресу источника;

  • dst_ip — отслеживание по IP-адресу назначения.

Если .track не указан, то счётчик учитывает все совпадения, и при достижении заданного лимита происходит срабатывание сигнатуры.

Например:

UASL(.name="pop3.brute.force"; .protocol=tcp; .pattern="USER"; .flow=from_server; .rate=3,60; .track=src_ip;)

Срабатывание сигнатуры произойдёт после обнаружения шаблона USER (.pattern="USER";) в пакетах, отправленных с одного IP-адреса (.track=src_ip;), более 3-х раз за 60 секунд (.rate=3, 60;).

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 1733
Последнее обновление: 18 ноя, 2024
Ревизия: 1
Просмотры: 2
Комментарии: 0
Теги