침입탐지
네트워크 침입탐지 로그
| 유형 | 필드 | 표시 이름 | 설명 |
|---|---|---|---|
| 날짜 | event_time | 발생 시각 | 장비에서 로그가 발생한 시각 |
| 문자열 | risk | 위험도 | 예: HIGH, MEDIUM, LOW |
| IP 주소 | src_ip | 출발지IP | 공격자 IP 주소 |
| 32비트 정수 | src_port | 출발지포트 | 공격자 포트 |
| IP 주소 | dst_ip | 목적지IP | 공격대상 IP 주소 |
| 32비트 정수 | dst_port | 목적지포트 | 공격대상 포트 |
| 문자열 | protocol | 프로토콜 | 예: TCP, UDP, ICMP |
| 문자열 | category | 분류 | 하단 분류 참조 |
| 문자열 | hack_type | 분류코드 | 하단 분류 참조 |
| 문자열 | hack_code | 공격코드 | 패턴명 시작부 코드 |
| 문자열 | signatgure | 공격명 | |
| 문자열 | action | 대응 | 예: DETECT, BLOCK |
| 문자열 | info | 공격정보 | |
| 문자열 | raw_data | 상세내용 | 패킷 원본 |
hack_type 코드
| 코드 | 이름 |
|---|---|
| 1 | 서비스 거부 |
| 2 | 정보 수집 |
| 3 | 프로토콜 취약점 |
| 4 | 서비스 공격 |
| 1100 | 패턴 블록 (배포 룰) |
| 1300 | Web CGI 공격 (배포 룰) |
| 1301 | Web CGI 공격 (사용자 정의) |
| 1500 | 패턴 블록 (사용자 정의) |
| 2400 | 정규표현식 (배포 룰) |
| 2401 | 정규표현식 (사용자 정의) |
| 2700 | 패킷 헤더 탐지 |
| 3201 | 프로토콜 통계분석 |
| 3202 | 서비스 통계분석 |
| 4100 | IP 평판 |
| 4101 | 국가 평판 |
| 4102 | URL 평판 |
| 5002 | YARA (배포 룰) |
| 5003 | YARA (사용자 정의) |