Сигнатуры СОВ представляют собой некоторую совокупность строк (паттернов) и семантических выражений (фильтров, модификаторов, иных конструкций), которые позволяют идентифицировать/пометить сетевую атаку и предпринять определенные действия. Сигнатуры добавляются в профили СОВ и используются в правилах межсетевого экрана для обнаружения вторжений и защиты сети.

В UserGate могут использоваться два типа сигнатур СОВ:

Проприетарные сигнатуры.
Кастомизированные пользовательские сигнатуры.

Проприетарные сигнатуры СОВ создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. В списке сигнатур в библиотеке такие сигнатуры помечаются в колонке Владелец как: @UserGate. В проприетарных сигнатурах пользователь может перенастроить следующие параметры:

Включение/отключение сигнатуры.
Журналирование сигнатуры.
Запись в pcap-файл, если сигнатура сработала.
Предпринимаемое действие, если сигнатура сработала, т.е. была найдена в трафике. Действия могут быть следующие: пропустить пакет, отбросить пакет, отбросить пакет с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения.

Дополнительные опциональные параметры проприетарных сигнатур:

Применить к — настраивается, если параметр Действие выставлен в значения Отбросить пакет с разрывом TCP соединения, Блокировать IP-адрес источника и/или назначения. Параметр имеет следующие значения: Источник, Назначение, Оба.
Продолжительность — возможно настроить, если параметр Действие имеет значение Блокировать IP-адрес источника и/или назначения. Число, указывающее время блокировки ip-адреса.

Некоторые сигнатуры также имеют настройку следующих дополнительных параметров:

Направление — настройка агрегирования по IP-адресу источника или назначения.
Частота срабатывания — количество срабатываний в единицу времени (секунды).

Примеры сигнатур с такими настройками:

1064, 1672, 1711, 1732, 1738, 1740, 1741, 5315, 5611, 5612, 5657, 5699, 5701, 5757,

13003, 17002, 17003, 17004, 45022, 3029251, 3031043, 3031817, 3032798, 3032823,

3033202, 3033935, 3034466, 3035136, 3037395, 3037608, 3037708, 3037771, 3039602,

3039703, 3039876, 3039883, 3040088, 3040443, 3042187, 3046218, 3046453, 3046609,

3049480, 3050453, 3050940, 3051410, 3051613, 3051634, 90000000, 90000001, 90000002,

90000003, 90000004, 90000005, 90000006, 90000007, 90000008, 90000009, 90000010

ПримечаниеВ данном списке приведены примеры сигнатур, которые имеют дополнительные параметры настройки Частота срабатывания и Направление. По мере развития продукта количество таких сигнатур будет увеличиваться.

После изменения настроек параметров по умолчанию у проприетарных сигнатур в колонке Статус будет указано: Изменено. Измененные пользователем настройки проприетарных сигнатур СОВ можно вернуть в первоначальное состояние, для этого в веб-консоли администратора в разделе Библиотеки ➜ Сигнатуры СОВ нужно выделить сигнатуру в списке и нажать кнопку Восстановить по умолчанию.

Кастомизированные сигнатуры СОВ создаются самим пользователем.

Для создания кастомизированной сигнатуры СОВ в веб-консоли администратора необходимо перейти в раздел Библиотеки ➜ Сигнатуры СОВ и нажать на кнопку Добавить. Далее заполняются поля с параметрами сигнатуры. Признаки сетевых уязвимостей описываются с помощью синтаксиса языка UASL (UserGate Application and Security Language).

При создании кастомизированной сигнатуры необходимо заполнить следующие поля:

Наименование	Описание
Включено	Индикатор включения/выключения сигнатуры.
Id	Идентификатор сигнатуры. Если поле оставить пустым, то будет выдан свободный id из пользовательского пула.
Название	Название сигнатуры.
Описание	Описание сигнатуры.
Уровень угрозы	Уровень угрозы, определяемый сигнатурой. Определены следующие значения: 1 – очень низкий. 2 – низкий. 3 – средний. 4 – высокий. 5 – очень высокий.
Класс	Класс сигнатуры определяет тип атаки, которая описывается данной сигнатурой. Определяются также общие события, которые не относятся к атаке, но могут быть интересны в определенных случаях, например, обнаружение установления сессии TCP. Список классов может быть пополнен. arbitrary-code-execution – попытка запуска произвольного кода. attempted-admin – попытка получения административных привилегий. attempted-dos – попытка совершения атаки Denial of Service. attempted-recon – попытка атаки, направленной на утечку данных. attempted-user – попытка получения пользовательских привилегий. bad-unknown – потенциально плохой трафик. buffer overflow – попытка атаки, использующей принцип перепонения буфера. command-and-control – попытка общения с C&C центром default-login-attempt – попытка логина с именем/паролем по умолчанию. denial-of-service – обнаружена атака Denial of Service. exploit-kit – обнаружен exploit kit information disclosure – утечка данных. memory corruption – попытка атаки, использующей принцип повреждения памяти. misc-activity – прочая активность. misc-attack – обнаружена атака. network-scan – сканирование сети. path traversal – попытка атаки, использующей принцип обхода пути к файлам на сервере, на котором работает приложение. policy-violation – нарушение сетевых политик. protocol-command-decode – обнаружение необычной команды протокола. shellcode-detect – обнаружен исполняемый код. string-detect – обнаружена подозрительная строка. successful-recon-limited – утечка информации suspicious-login – попытка логина с использованием подозрительного имени пользователя. system-call-detect – попытка использования системных вызовов. targeted-activity – обнаружение направленной активности. trojan-activity – обнаружен сетевой троян. uncaught exception – необрабатываемое приложением исключение.
Категория	Категория сигнатуры - группа сигнатур, объединенных общими параметрами. Список категорий может быть пополнен. adware pup – нежелательное рекламное ПО. attack_response – сигнатуры, определяющие ответы на известные сетевые атаки. bruteforce – атака типа brutr force. coinminer – скачивание, установка, деятельность известных майнеров. dns – известные уязвимости DNS. dos – сигнатуры известных Denial of services атак. exploit – сигнатуры известных эксплоитов. ftp – известные FTP-уязвимости. icmp – известные уязвимости протокола icmp. imap – известные IMAP-уязвимости. info – потенциальная утечка информации. ldap – известные LDAP-уязвимости. malware – скачивание, установка, деятельность известных malware. misc – другие известные сигнатуры. netbios – известные уязвимости протокола NETBIOS. p2p – идентификация трафика точка-точка (peer-to-peer). phishing – сигнатуры известных phishing атак. policy – нарушение информационной безопасности. pop3 – известные уязвимости протокола POP3. rpc – известные уязвимости протокола RPC. scada – известные уязвимости протокола SCADA. scan – сигнатуры, определяющие попытки сканирования сети на известные приложения. shellcode – сигнатуры, определяющие известные попытки запуска программных оболочек. sip – известные уязвимости протокола SIP. smb – известные уязвимости протокола SMB. smtp – известные уязвимости протокола SMTP. snmp – известные уязвимости протокола SNMP. sql – известные уязвимости SQL. telnet – известные попытки взлома по протоколу telnet. tftp – известные уязвимости протокола TFTP. user_agents – сигнатуры подозрительных Useragent. voip – известные уязвимости протокола VoIP. web_client – сигнатуры, определяющие известные попытки взлома различных веб-клиентов, например, Adobe Flash Player. web_server – сигнатуры, определяющие известные попытки взлома различных веб-серверов. web_specific_apps – сигнатуры, определяющие известные попытки взлома различных веб приложений. worm – сигнатуры, определяющие сетевую активность известных сетевых червей.
Операционная система сигнатуры	Операционная система, для которой разработана данная сигнатура. Windows Linux BSD Mac OS Solaris Cisco IOS Android Other
CVE	Идентификатор уязвимоси по реестру CVE.
BDU	Идентификатор уязвимости по реестру BDU.
URL	Опциональная ссылка на ресурс с описанием уязвимости.
UASL	Описание признаков сигнатуры с помощью синтаксиса UASL.
Настройки	Действие – реакция на срабатывание сигнатуры. Определены следующие значения:: Нет – действие не определено. Пропустить – пропустить пакет. Отбросить – отбросить пакет. Сбросить – отбросить пакет с разрывом TCP соединения (отправка TCP reset). Блокировать IP – блокировать IP-адрес источника и/или назначения. Журналировать: Включить – включить запись событий в журнал. Отключить – отключить запись событий в журнал. Файл pcap – трассировка срабатывания сигнатуры с записью в файл формата pcap. Включить – включить трассировку. Отключить – отключить трассировку. Применить к – применимость действий типа Ресет или Блокировать IP на срабатыване сигнатуры: Источник – действия Ресет или Блокировать IP применяются к адресу источника отправления пакетов. Назначание – действия Ресет или Блокировать IP применяются к адресу назначения отправления пакетов. Оба – действия Ресет или Блокировать IP применяются и к источнику, и к назначению. Продолжительность – длительность блокировки для действия Блокировать IP.