可疑活动
可疑类别包含与病毒、木马、后门攻击和其他形式的恶意软件相关的事件。
下表介绍了低级别事件类别以及可疑活动类别的相关严重性级别。
低级事件类别 |
类别 ID |
描述 |
严重性级别 (0 - 10) |
|---|---|---|---|
未知可疑事件 |
7001 |
表示未知的可疑事件。 |
3 |
检测到可疑模式 |
7002 |
指示已检测到可疑模式。 |
3 |
防火墙修改的内容 |
7003 |
指示内容已由防火墙修改。 |
3 |
命令或数据无效 |
7004 |
指示命令或数据无效。 |
3 |
可疑数据包 |
7005 |
表示可疑数据包。 |
3 |
可疑活动 |
7006 |
表示可疑活动。 |
3 |
可疑文件名 |
7007 |
表示可疑的文件名。 |
3 |
可疑端口活动 |
7008 |
指示可疑端口活动。 |
3 |
可疑路由 |
7009 |
指示可疑路由。 |
3 |
潜在 Web 漏洞 |
7010 |
表示潜在的 Web 漏洞。 |
3 |
未知隐匿事件 |
7011 |
指示未知的隐匿事件。 |
5 |
IP 欺骗 |
7012 |
表示 IP 欺骗。 |
5 |
IP 分片 |
7013 |
指示 IP 分片。 |
3 |
重叠 IP 分片 |
7014 |
指示重叠的 IP 分片。 |
5 |
IDS 隐匿 |
7015 |
指示 IDS 隐匿。 |
5 |
DNS 协议异常 |
7016 |
指示 DNS 协议异常。 |
3 |
FTP 协议异常 |
7017 |
指示 FTP 协议异常。 |
3 |
邮件协议异常 |
7018 |
指示邮件协议异常。 |
3 |
路由协议异常 |
7019 |
指示路由协议异常。 |
3 |
Web 协议异常 |
7020 |
指示 Web 协议异常。 |
3 |
SQL 协议异常 |
7021 |
指示 SQL 协议异常。 |
3 |
检测到的可执行代码 |
7022 |
指示已检测到可执行代码。 |
5 |
杂项可疑事件 |
7023 |
表示其他可疑事件。 |
3 |
信息泄露 |
7024 |
表示信息泄露。 |
1 |
潜在邮件漏洞 |
7025 |
表示邮件服务器中存在潜在漏洞。 |
4 |
潜在版本漏洞 |
7026 |
表示 JSA 版本中存在潜在漏洞。 |
4 |
潜在的 FTP 漏洞 |
7027 |
表示潜在的 FTP 漏洞。 |
4 |
潜在 SSH 漏洞 |
7028 |
表示潜在的 SSH 漏洞。 |
4 |
潜在 DNS 漏洞 |
7029 |
表示 DNS 服务器中存在潜在漏洞。 |
4 |
潜在 SMB 漏洞 |
7030 |
表示潜在的 SMB (Samba) 漏洞。 |
4 |
潜在数据库漏洞 |
7031 |
表示数据库中存在潜在漏洞。 |
4 |
IP 协议异常 |
7032 |
表示潜在的 IP 协议异常 |
3 |
可疑 IP 地址 |
7033 |
指示已检测到可疑 IP 地址。 |
2 |
无效的 IP 协议使用 |
7034 |
表示 IP 协议无效。 |
2 |
无效协议 |
7035 |
表示协议无效。 |
4 |
可疑窗口事件 |
7036 |
表示桌面上有屏幕的可疑事件。 |
2 |
可疑 ICMP 活动 |
7037 |
指示可疑 ICMP 活动。 |
2 |
潜在 NFS 漏洞 |
7038 |
表示潜在的网络文件系统 (NFS) 漏洞。 |
4 |
潜在 NNTP 漏洞 |
7039 |
表示潜在的网络新闻传输协议 (NNTP) 漏洞。 |
4 |
潜在 RPC 漏洞 |
7040 |
表示潜在的 RPC 漏洞。 |
4 |
潜在的 Telnet 漏洞 |
7041 |
表示系统上可能存在 Telnet 漏洞。 |
4 |
潜在的 SNMP 漏洞 |
7042 |
表示潜在的 SNMP 漏洞。 |
4 |
非法 TCP 标记组合 |
7043 |
指示检测到无效的 TCP 标志组合。 |
5 |
可疑 TCP 标记组合 |
7044 |
指示已检测到可能无效的 TCP 标志组合。 |
4 |
非法 ICMP 协议使用 |
7045 |
指示检测到 ICMP 协议使用无效。 |
5 |
可疑 ICMP 协议使用 |
7046 |
指示检测到使用 ICMP 协议可能无效。 |
4 |
非法 ICMP 类型 |
7047 |
指示检测到无效的 ICMP 类型。 |
5 |
非法 ICMP 代码 |
7048 |
指示已检测到无效 ICMP 代码。 |
5 |
可疑 ICMP 类型 |
7049 |
指示已检测到可能无效的 ICMP 类型。 |
4 |
可疑 ICMP 代码 |
7050 |
指示已检测到可能无效的 ICMP 代码。 |
4 |
TCP 端口 0 |
7051 |
指示 TCP 数据包对源或目标使用保留的端口 (0)。 |
4 |
UDP 端口 0 |
7052 |
指示 UDP 数据包对源或目标使用保留的端口 (0)。 |
4 |
恶意 IP |
7053 |
指示使用已知的恶意 IP 地址。 |
4 |
监控列表 IP |
7054 |
指示使用 IP 地址监视列表中某个 IP 地址。 |
4 |
已知罪犯 IP |
7055 |
指示使用已知罪犯的 IP 地址。 |
4 |
RFC 1918(专用)IP |
7056 |
指示使用专用 IP 地址范围内的 IP 地址。 |
4 |
潜在 VoIP 漏洞 |
7057 |
表示潜在的 VoIP 漏洞。 |
4 |
黑名单地址 |
7058 |
指示 IP 地址在阻止列表中。 |
8 |
关注列表地址 |
7059 |
指示 IP 地址位于要监控的 IP 地址列表中。 |
7 |
Darknet 地址 |
7060 |
指示 IP 地址是暗网的一部分。 |
5 |
僵尸网络地址 |
7061 |
指示地址是僵尸网络的一部分。 |
7 |
可疑地址 |
7062 |
指示必须监控 IP 地址。 |
5 |
不良内容 |
7063 |
指示已检测到恶意内容。 |
7 |
无效证书 |
7064 |
指示检测到证书无效。 |
7 |
用户活动 |
7065 |
指示已检测到用户活动。 |
7 |
可疑协议使用 |
7066 |
指示已检测到可疑的协议使用。 |
5 |
可疑 BGP 活动 |
7067 |
指示已检测到可疑的边界网关协议 (BGP) 使用情况。 |
5 |
路由中毒 |
7068 |
指示已检测到路由损坏。 |
5 |
ARP 中毒 |
7069 |
指示已检测到 ARP 缓存中毒。 |
5 |
检测到非法设备 |
7070 |
指示已检测到非法设备。 |
5 |
政府机构地址 |
7071 |
表示已检测到政府机构地址。 |
3 |