Системи виявлення атак

Виявляти, блокувати й запобігати атакам можна на різних етапах їхнього здійснення. Перший, і найпоширеніший, спосіб - це виявлення вже реалізованих атак. Цей спосіб застосовується у «класичних» системах виявлення атак, міжмережевих екранах тощо. Однак «недолік» засобів даного класу в тому, що атаки можуть бути реалізовані повторно. Вони також повторно виявляються й блокуються. І так далі, до нескінченності. Інший шлях - запобігти атакам ще до їхньої реалізації. Здійснюється це шляхом пошуку вразливих місць, які можуть бути використані для реалізації атаки. І, нарешті, третій шлях - виявлення вже зроблених атак і запобігання їхньому повторному здійсненню.

Системи, що функціонують на етапі запобігання атакам, дозволяють виявити вразливі місця інформаційної системи, які можуть бути використані зловмисником для реалізації атаки. Також засоби цієї категорії називаються системами аналізу захищеності (security assessment systems) або сканерами безпеки (security scanners).

Системи, що функціонують на етапі здійснення атаки й що дозволяють виявити атаки у процесі їхньої реалізації, тобто у режимі реального (або близького до реального) часу, й прийнято вважати системами виявлення атак у класичному розумінні.

Системи, що функціонують на третьому етапі здійснення атаки і які дозволяють виявити вже зроблені атаки, діляться на два класи - системи контролю цілісності, тобто ті, що виявляють зміни контрольованих ресурсів, і системи аналізу журналів реєстрації.