IDS > Настройка IDS
Previous 

Эвристика

 Next

На вкладке Эвристика включается эвристический анализ, задаются параметры блокирования IP-адреса источника угрозы, действия при обнаружении потенциальной угрозы.

Включена – установленный флаг включает эвристический анализ.

Для каждого IP-адреса за указанный промежуток времени, Интервал проверки, подсчитывается Количество срабатываний правил, начиная с заданного Уровня правил, если срабатываний больше указанного числа с учётом уровня правил, то IP-адрес считается потенциальной угрозой и блокируется МЭ ФПСУ.

При обнаружении эвристикой источника угрозы отправляется уведомление:

Уведомление на экран – при установлении флага система IDS отправит сообщение на экран ФПСУ локальному администратору ФПСУ.

Уведомление в syslog – при установлении флага система IDS отправит сообщение на Syslog-сервер. Сообщения IDS приведены в таблице syslog-сообщений в пункте «Настройка SysLog событий ФПСУ», формат сообщений IDS указан в пункте «Формат отправляемых SysLog сообщений».

Уведомление в локальную статистику – при установлении флага система IDS добавит сообщение в локальную статистику ФПСУ (см. раздел «Статистика ФПСУ»).

Заблокировать IP – при установлении флага система IDS отправит сообщение МЭ ФПСУ для блокировки IP-адреса источника угрозы, МЭ сбросит соединение источника угрозы и будет блокировать источник в течение установленного времени. На ФПСУ должны быть дополнительно установлены следующие настройки: выбрать пункт меню «Отредактировать → Параметры доступа → Параметры» в окне «Параметры» на вкладке «Анти-флуд и СОВ» установить флаг «Анти-флуд включен», установить флаг «СОВ включена», установить переключатель «Чувствительность высокая». Время нахождения IP-адреса источника угрозы в стоп-листе устанавливается в настройках ФПСУ: на той же вкладке «Анти-флуд и СОВ» задать время в поле «Время нахождения в стоп-листе (мин.)» (см. пункт «Дополнительные параметры и защита от flood-атак»). Для блокировки IP-адреса должен быть включён МЭ ФПСУ (см. пункт «Правила трафика»).

Для дальнейшей настройки IDS необходимо перейти на следующую вкладку.

Выход в меню без сохранения осуществляется по клавише <Esc>, в этом случае настройки на вкладках сохранены не будут.

Для выхода в меню с сохранением настроек IDS, нажмите кнопку «Сохранить» или клавишу <F2> на вкладке «Действия».