Сигнатуры СОВ представляют собой некоторую совокупность строк (паттернов) и семантических выражений (фильтров, модификаторов, иных конструкций), которые позволяют идентифицировать сетевую атаку и предпринять определенные действия. Сигнатуры добавляются в профили СОВ и используются в правилах межсетевого экрана для обнаружения вторжений и защиты сети.

В UserGate могут использоваться два типа сигнатур СОВ: проприетарные и пользовательские.

Проприетарные сигнатуры СОВ создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. В библиотеке сигнатур они помечаются выражением «@UserGate» в колонке Владелец.

В проприетарных сигнатурах пользователь может перенастроить следующие параметры:

Включение/отключение сигнатуры.
Предпринимаемое действие, если сигнатура сработала (была найдена в трафике). Действия могут быть следующие: пропустить пакет, отбросить пакет, сбросить пакет с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения.
Журналирование сигнатуры.
Запись в pcap-файл, если сигнатура сработала.

Дополнительные опциональные параметры проприетарных сигнатур:

Применить к — настраивается, если параметр Действие выставлен в значения Отбросить пакет с разрывом TCP соединения, Блокировать IP-адрес источника и/или назначения. Параметр имеет следующие значения: Источник, Назначение, Оба.
Продолжительность — возможно настроить, если параметр Действие имеет значение Блокировать IP-адрес источника и/или назначения. Число, указывающее длительность блокировки IP-адреса. Если значение равно нулю, IP-адрес блокируется бесконечно.

Ряд сигнатур дополнительно имеет настройку следующих параметров:

Частота срабатывания — количество срабатываний за промежуток времени (секунды).
Направление — настройка агрегирования по IP-адресу источника или назначения.

Примеры сигнатур с такими настройками:

1064, 1672, 1711, 1732, 1738, 1740, 1741, 5315, 5611, 5612, 5657, 5699, 5701, 5757,

13003, 17002, 17003, 17004, 45022, 3029251, 3031043, 3031817, 3032798, 3032823,

3033202, 3033935, 3034466, 3035136, 3037395, 3037608, 3037708, 3037771, 3039602,

3039703, 3039876, 3039883, 3040088, 3040443, 3042187, 3046218, 3046453, 3046609,

3049480, 3050453, 3050940, 3051410, 3051613, 3051634, 90000000, 90000001, 90000002,

90000003, 90000004, 90000005, 90000006, 90000007, 90000008, 90000009, 90000010.

ПримечаниеВ данном списке приведены примеры сигнатур, которые имеют дополнительные параметры настройки Частота срабатывания и Направление. По мере развития продукта количество таких сигнатур будет увеличиваться.

При изменении параметров, заданных по умолчанию, сигнатура получает статус «Изменено».

Измененные пользователем параметры проприетарных сигнатур СОВ можно вернуть в первоначальное состояние, для этого в веб-консоли администратора в разделе Библиотеки ➜ Сигнатуры СОВ нужно отметить сигнатуру в списке и нажать Восстановить по умолчанию:

Пользовательские сигнатуры СОВ создаются самими пользователями. Для создания пользовательской сигнатуры СОВ в веб-консоли администратора перейдите в раздел Библиотеки ➜ Сигнатуры СОВ и нажмите Добавить. Далее укажите параметры сигнатуры. Признаки сетевых уязвимостей описываются с помощью синтаксиса UASL.

Параметры пользовательской сигнатуры указываются на вкладке Общие.

Наименование	Описание
Включено	Индикатор включения/выключения сигнатуры.
Id	Идентификатор сигнатуры. Если поле оставить пустым, то будет выдан свободный id из пользовательского пула.
Название	Название сигнатуры.
Описание	Описание сигнатуры.
Угроза сигнатуры	Уровень угрозы, определяемый сигнатурой. Определены следующие значения: 1 — очень низкий; 2 — низкий; 3 — средний; 4 — высокий; 5 — очень высокий.
Класс	Класс сигнатуры определяет тип атаки, которая описывается данной сигнатурой. Определяются также общие события, которые не относятся к атаке, но могут быть интересны в определенных случаях, например, обнаружение установления сессии TCP. Список классов может быть пополнен. arbitrary-code-execution — попытка запуска произвольного кода; attempted-admin — попытка получения административных привилегий; attempted-dos — попытка совершения атаки Denial of Service; attempted-recon — попытка атаки, направленной на утечку данных; attempted-user — попытка получения пользовательских привилегий; bad-unknown — потенциально плохой трафик; buffer overflow — попытка атаки, использующей принцип перепонения буфера; command-and-control — попытка общения с C&C центром; default-login-attempt — попытка логина с именем/паролем по умолчанию; denial-of-service — обнаружена атака Denial of Service; exploit-kit — обнаружен exploit kit; information disclosure — утечка данных; memory corruption — попытка атаки, использующей принцип повреждения памяти; misc-activity — прочая активность; misc-attack — обнаружена атака; network-scan — сканирование сети; path traversal — попытка атаки, использующей принцип обхода пути к файлам на сервере, на котором работает приложение; policy-violation — нарушение сетевых политик; protocol-command-decode — обнаружение необычной команды протокола; shellcode-detect — обнаружен исполняемый код; string-detect — обнаружена подозрительная строка; successful-recon-limited — утечка информации; suspicious-login — попытка логина с использованием подозрительного имени пользователя; system-call-detect — попытка использования системных вызовов; targeted-activity — обнаружение направленной активности; trojan-activity — обнаружен сетевой троян; uncaught exception — необрабатываемое приложением исключение.
Категория	Категория сигнатуры — группа сигнатур, объединенных общими параметрами. Список категорий может быть пополнен. adware pup — нежелательное рекламное ПО; attack_response — сигнатуры, определяющие ответы на известные сетевые атаки; bruteforce — атака типа brutr force; coinminer — скачивание, установка, деятельность известных майнеров; dns — известные уязвимости DNS; dos — сигнатуры известных Denial of services атак; exploit — сигнатуры известных эксплоитов; ftp — известные FTP-уязвимости; icmp — известные уязвимости протокола icmp; imap — известные IMAP-уязвимости; info — потенциальная утечка информации; ldap — известные LDAP-уязвимости; malware — скачивание, установка, деятельность известных malware; misc — другие известные сигнатуры; netbios — известные уязвимости протокола NETBIOS; p2p — идентификация трафика точка-точка (peer-to-peer); phishing — сигнатуры известных phishing атак; policy — нарушение информационной безопасности; pop3 — известные уязвимости протокола POP3; rpc — известные уязвимости протокола RPC; scada — известные уязвимости протокола SCADA; scan — сигнатуры, определяющие попытки сканирования сети на известные приложения; shellcode — сигнатуры, определяющие известные попытки запуска программных оболочек; sip — известные уязвимости протокола SIP; smb — известные уязвимости протокола SMB; smtp — известные уязвимости протокола SMTP; snmp — известные уязвимости протокола SNMP; sql — известные уязвимости SQL; telnet — известные попытки взлома по протоколу telnet; tftp — известные уязвимости протокола TFTP; user_agents — сигнатуры подозрительных Useragent; voip — известные уязвимости протокола VoIP; web_client — сигнатуры, определяющие известные попытки взлома различных веб-клиентов, например, Adobe Flash Player; web_server — сигнатуры, определяющие известные попытки взлома различных веб-серверов; web_specific_apps — сигнатуры, определяющие известные попытки взлома различных веб приложений; worm — сигнатуры, определяющие сетевую активность известных сетевых червей.
Операционная система сигнатуры	Операционная система, для которой разработана данная сигнатура. Windows; Linux; BSD; Mac OS X; BSD; Solaris; Cisco; Android; IOS; Другие;
CVE	Идентификатор уязвимости по реестру CVE.
BDU	Идентификатор уязвимости по реестру BDU.
URL	Опциональная ссылка на ресурс с описанием уязвимости.

Признаки сетевых уязвимостей описываются на вкладке UASL и настройки.

Наименование

Описание

UASL

Описание признаков сигнатуры с помощью синтаксиса UASL.

Настройки

Действие — реакция на срабатывание сигнатуры. Определены следующие значения:

Нет — действие используется, как вспомогательное действие для сигнатур, которые связаны через конструкцию .mark set|test (Подробнее — в разделе «Работа с метками»). Сигнатура с этим действием, например, может проставить mark, а mark может проверяться уже в других сигнатурах.
Пропустить — пропустить пакет.
Отбросить — отбросить пакет.
Сбросить — отбросить пакет с разрывом TCP соединения (отправка TCP reset).
Блокировать IP — блокировать IP-адрес источника и/или назначения.

Журналировать:

Включить — включить запись событий в журнал.
Отключить — отключить запись событий в журнал.

Файл pcap — трассировка срабатывания сигнатуры с записью в файл формата pcap.

Включить — включить трассировку.
Отключить — отключить трассировку.

Применить к — применимость действий типа Ресет или Блокировать IP на срабатыване сигнатуры:

Источник — действия Ресет или Блокировать IP применяются к адресу источника отправления пакетов.
Назначание — действия Ресет или Блокировать IP применяются к адресу назначения отправления пакетов.
Оба — действия Ресет или Блокировать IP применяются и к источнику, и к назначению.

Блокировка — настройка длительности блокировки для действия Блокировать IP.

Нажмите Проверить сигнатуру, чтобы проверить корректность синтаксиса UASL в описании сигнатуры. Если описание корректно, появится окно с подтверждением. Если в описании сигнатуры были допущены ошибки в синтаксисе, появится окно с результатом проверки и указанием места, где допущена ошибка:

О создании сигнатур СОВ в интерфейсе командной строки — в разделе «Настройка библиотек».