Функциональные компоненты и архитектура

В составе средств активного аудита можно выделить следующие функциональные компоненты:

· компоненты генерации регистрационной информации;

· компоненты хранения сгенерированной регистрационной информации;

· компоненты извлечения регистрационной информации – сенсоры (например, из регистрационных журналов операционной системы);

· компоненты просмотра регистрационной информации;

· компоненты анализа информации, поступившей от сенсоров. Выделяют пороговый анализатор, анализатор нарушений политики безопасности, экспертную систему, выявляющую сигнатуры атак, а также статистический анализатор, обнаруживающий нетипичное поведение;

· компоненты хранения информации, участвующей в анализе. Такое хранение необходимо, например, для выявления атак, протяженных во времени;

· компоненты принятия решений и реагирования ("решатели");

· компоненты хранения информации о контролируемых объектах;

· мониторы – компоненты, играющие роль организующей оболочки для менеджеров активного аудита, объединяющие анализаторы, "решатели", хранилище описаний объектов и интерфейсные компоненты. В число последних входят компоненты интерфейса с другими мониторами. Такие интерфейсы необходимы, например, для выявления распределенных, широкомасштабных атак;

· компоненты интерфейса с администратором безопасности.

В начало