StealthWatch安全事件和报警类别.txt
40墨值下载
第 1 页
安全事件和报警 分类 (对于 StealthWatch 系统 V6.7)
第 2 页
版权和商标 ?2015 Lancope 公司,保留所有权利。 Lancope 公司专有信息 Lancope 公司,
StealthWatch,和其他商标是 Lancope 公司,Inc.的注册或未注册商标 所有其他商标均为其各自所有者
的财产。 注意 这种材料是专有 Lancope 公司,并已提供保密和限制的基础上。 Lancope 公司保留权利,没
有放弃,选举或限制的充分程度法律允许,在 而这种材料和信息所包含。 任何复制,使用或展示,或其他 披
露或传播,通过已知的或以后的任何方法开发了这种材料或信息, 本文中所包含的全部或部分,没有
Lancope 公司的书面同意,严禁。
第 3 页
内容 介绍 五 概观 五 听众 五 相关信息 五 缩略语 五 安全事件列表 7 报警类别 17 III 内容 Lancope 公司
CompanyConfidential
第 4 页
四, 内容 Lancope 公司 CompanyConfidential
第 5 页
1 一世 导论 概观 这份文件提供了安全事件和报警类别的描述列出在使用,你可能会看到 StealthWatch 管
理控制台(SMC)。 听众 这个文件的目的是用作网络管理员和安全人员负责一个参考 使用 SMC 管理和保护他
们的网络。 相关信息 你可以找到这个信息也受到了以下主题的 SMC 客户端在线帮助 : 升 安全事件列表
升 关于报警类别 缩略语 本文档使用下列术语和缩略语的。 缩写 术语 作为一个 自适应安全设备 CI 关注指
数 DNS 域名系统(服务或服务器) DoS 攻击 拒绝服务 的 dvPort 分布式虚拟端口 ESX 企业服务器 X FSI
文件共享目录 FTP 文件传输协议 ICMP Internet 控制消息协议 五 LancopeCompany 机密
第 6 页
缩写 术语 IDS 入侵检测系统 IP 互联网协议 IRC 互联网中继聊天 ISE 身份服务引擎 苹果电脑 媒体访问控
制 NAT 网络地址转换 NTP 网络时间协议 OS 操作系统 OVF 开放虚拟化格式 袭击 独立磁盘冗余阵列 SMC
StealthWatch 管理控制台 SNMP 简单网络管理协议 TCP 传输控制协议 TI 目标指数 UDP 用户数据 ??报
协议 VDS 虚拟网络分布式交换机 VE 虚拟化版 VLAN 虚拟局域网 VM 虚拟机 VPN 虚拟专用网 介绍 6
LancopeCompany 机密
第 7 页
2 小号 ECURITY ? 发泄 大号 IST 安全事件是分配关注指数(CI),点到主机的机制。 如果禁用了安全事
件 主机,CI 点不会累积对主机的安全事件。 StealthWatch 记录了以下安全 事件,出现在主机快照文件,
并在域流量统计作图:新安全 事件选项卡。 这份名单是完全为最后释放。 注意:安全事件可能对特定服务被
禁用,并在主机组级别禁用。 安全事件 描述 Addr_Scan / TCP 源主机试图联系中的多台主机(使用
TCP) 在同一端口上自然的 C 类网络(/ 24),大多数的连接尝试 要么被拒绝(TCP 重置),目标主机不响
应时 所有。 此安全事件被用来触发蠕虫活动和蠕虫 传播报警。 这些安全事件被网络中常见 扫描或枚举。
Addr_Scan / UDP 源主机试图联系中的多台主机(使用 UDP) 在同一端口上自然的 C 类网络(/ 24),
大多数的连接尝试 要么被拒绝(ICMP 端口不可达)或主机不 回应都没有。 这些安全事件被网络中常见 扫描
或枚举。 此安全事件被用于触发蜗杆活动 和蠕虫传播报警。 Bad_Flag_ACK ** 源主机发送了在没有 ACK
与任何标志发送 TCP 数据包 但 SYN 或 RST。 这种包可能表明一个破碎的 IP 堆栈或精雕细琢 数据包。
Bad_Flag_All ** 源主机发送了 TCP 数据包设置为“1”,所有的 TCP 报头位。 这个 安全事件被更普遍称为
“圣诞树攻击”。 Bad_Flag_NoFlg ** 源主机已经发送,所有控制位都设置为“0”的 TCP 包。 这个 安全事件
可以是收集信息的尝试,因为开放的端口不会 响应。 关闭的端口会用 RST ACK 响应。 7 LancopeCompany
机密
第 8 页
安全事件 描述 Bad_Flag_Rsrvd 源主机发送了 TCP 数据包,其中保留位中的一位(位 8 9)在 TCP 报头设
置。 Bad_Flag_RST ** 源主机发送了其中复位(RST)位设置中的 TCP 数据包 与任何控制相结合略高于
PSH 或 ACK 等。 Bad_Flag_SYN_FIN ** 源主机发送了 TCP 数据包同时设置了 SYN 和 FIN 位设置 TCP 报
头。 这种技术可以被用来规避简单包 过滤防火墙。 Bad_Flag_URG ** 源主机发送了那里的紧急(URG)
标志使用的 TCP 包 任何其他标志,除了 ACK 或 PSH。 这种组合的标志是一种不正常 组合,显然是恶意的。
信标主机 在仅内部和外部主机(交通之间的一个 IP 通信 一个方向)超过“资格流量只要时间需要几秒钟” 设置。
博特指挥与控制 服务器 源主机已经出现在 C&C 服务器列表上,并充当一个 命令与控制(C&C)一个僵尸网
络的服务器。 此事件只标识 源 IP 地址。 目标没有识别。 报警变为无效时 主机 IP 地址是 C&C 服务器列表
上不再。 僵尸感染的宿主-尝试 C&C 活动 源主机试图联系一个指挥和控制(C&C)服务器 使用中的 C&C 服
务器列表中标识的端口。 该通信是单向的 只是,说明 C&C 服务器没有响应。 内部主机,作为 引发剂,累计
关注指数(CI)点。 如果 C&C 服务器时,它会尝试 接触也是内部主机,那么 C&C 服务器积累目标指数
(TI)的点。 僵尸感染的宿主-成功 C&C 活动 源主机已成功联系,使用鉴定端口的 C&C 服务器 在 C&C 服
务器列表。 该通信是双向的,这表明在 C&C 服务器响应。 内部主机,作为引发剂,累积的关注 指数(CI)
点。 如果 C&C 服务器它接触也是内部主机,那么 C&C 服务器积累目标指数(TI)点。 蛮力登录 检测与蛮
力试图一致的一系列短的 TCP 连接 强制密码通过反复登录开裂。 从 Bogon 连接 地址尝试 查找的外部 Bogon
主机失败尝试实例 与您的网络内的主机服务器进行通信。 一个 Bogon 前缀的路由 不应该出现在互联网路由
表。 安全事件列表 8 LancopeCompany 机密
第 9 页
安全事件 描述 从 Bogon 连接 地址成功 寻找一个外 Bogon 宿主的实例,作为客户端,即 成功地与你的内部
网络的主机服务器进行通信。 一个 Bogon 前缀是不应该出现在互联网路由表中的路由。 从 Tor 的连接 尝试
尝试检测你的网络 Tor 出口内到主机(S)连接 节点。 从 Tor 的连接 成功 检测网络从 Tor 出口内到主机
(S)成功连接 节点。 连接 Bogon 地址 尝试 查找内部网络失败尝试将主机的实例 与外部 Bogon 主机通信。
一个 Bogon 前缀是一个路由应 不会出现在因特网路由表。 连接 Bogon 地址 成功 查找双向流量的情况下,你
的内部网络主机之间 和外侧 Bogon 的 IP 地址,这是还没有被分配在一个 公共互联网,并提醒您的沟通已经
发生。 一个 Bogon 前缀是不应该出现在互联网路由表中的路由。 连接尝试的 Tor 试图检测您的网络服务器
的 Tor 从里面主机(S)连接 节点。 连接器成功 检测到您的网络服务器的 Tor 从里面主机(S)成功连接 节
点。 假检测应用 此事件表示所检测的应用程序和 TCP 之间的不匹配 或正在使用的 UDP 端口。 这可能表明应
用程序的隧道。 Flow_Denied 源主机已被拒绝由防火墙(如 Cisco ASA)或其他 阻流装置。 破片:
First_Too_Short ** 源主机发送了分片报文,其中第一个数据包(偏移= 0)太短。 此安全事件通常与
VPN 相关的活动或 通过黑客工具采用混淆技术,如 fragrouter(即 网络 IDS 躲避工具包,旨在重新路由流
量的方式来逃避 一个 IDS)。 破片:Packet_Too_Long ** 源主机发送了数据包中的总规模重组 零散的
数据包大于 65,507 字节。 这个安全事件可以发生 由于“死亡之 Ping”的攻击。 安全事件列表 9
LancopeCompany 机密
第 10 页
安全事件 描述 破片:Sizes_Differ ** 源主机发送了属于一个整合的分组片断 包是不同大小的。 在正常
情况下,所有片段 (与最后片段的除外)应该是相同大小的。 这个 安全事件通常与碎片攻击有关。 这是其
一 的 fragrouter 攻击形式。 半开攻击 SYN 泛滥似乎已经成功地建立了一批“半开” 其中,一个 SYN / ACK
被目标发送,但没有返回 ACK 连接 由始发。 这表明服务攻击可能拒绝引起 留在“半开”状态的 TCP 堆栈。 高
级文件共享目录 文件共享活动超过文件共享指数(FSI)阈值。 高 SMB 同行 表示主机有许多服务器消息块
(SMB)会话到 外,这是与蠕虫传播相一致。 高总流量 总流量的入站出站+超过了可接受的总流量值。 高流
量 该主机流量率平均在 5 分钟的时间已经超过了极限 可接受的流量值。 大量的电子邮件 主机可以与电子邮
件蠕虫感染,而且也造成相关联的 警惕超过 5 分钟的时间可以接受的数目。 主机锁定违规 主机违反了主机锁
定设置。 ICMP 洪水 源主机已派出一个 5 分钟的 ICMP 报文数量过多 期。 收到 ICMP 主机在 5 已收到超过了
可接受的 ICMP 数据包 分钟。 ICMP_Comm_Admin * 源主机收到的 ICMP 消息“通信 管理方式禁止。“这是如
果一个路由器不能转发数据包生成 由于行政滤波。 ICMP_Dest_Host_Admin * 源主机收到的 ICMP 消息,
指出“目的地 主机管理方式禁止“。 ICMP_Dest_Host_Unk * 源主机收到的 ICMP 消息说“目标主机 发生未
知的“错误。 ICMP_Dest_Net_Admin * 源主机收到的 ICMP 消息的“目的地网络 政府禁止“。
ICMP_Dest_Net_Unk * 源主机收到的 ICMP 消息说“目标网络 发生未知的“错误。 安全事件列表 10
LancopeCompany 机密
第 11 页
安全事件 描述 ICMP_Frag_Needed * 源主机收到的 ICMP 消息指出“IP 数据报是 太大了。“包碎片是必需的,
但在 IP 报头的 DF 位设置。 ICMP_Host_Precedence * 源主机收到的 ICMP 消息,“主机优先 违反“已经发
生。由第一跳路由器发送到主机,以指示一 请求优先不允许的特定组合 源/目标主机或网络,上层协议和源/
目标 端口。 ICMP_Host_Unreach * 源主机收到的 ICMP 消息“目标主机 无法访问“。
ICMP_Host_Unreach_TOS * 源主机收到的 ICMP 消息指出“目标主机 可达由于服务的指定类型“。
ICMP_Net_Unreach * 源主机收到的 ICMP 消息“目标网络 无法访问“。 ICMP_Net_Unreach_TOS * 源
主机收到的 ICMP 消息的“网络 不可访问指定类型的服务。“ ICMP_PORT_UNREACH * 源主机收到的 ICMP 消
息指出“目标 端口不可达“指定的传输协议(如 UDP)不能 多路分离数据报,而且没有协议机制来通知发件人。
ICMP_Precedence_Cutoff * 源主机收到的 ICMP 消息“优先截止”是 影响。 的网络运营商已经施加优先
的最低级 所需的操作; 数据报用下面这个优先级发送 水平。 ICMP_Proto_Unreach * 源主机收到的
ICMP 消息指出“目标 协议不可达“。 ICMP_Src_Host_Isolated * 源主机收到的 ICMP 消息“源主机隔离
错误“的发生。 ICMP_Src_Route_Failed * 源主机收到的 ICMP 消息,说明了“源路由 发生故障的“错误。
ICMP_Timeout 主机已派出这就造成了一个消息,“生存时间超过了过境” ICMP 消息。 这些消息通常是跟踪
of 7
40墨值下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论