На уровне ОС
Системы обнаружения атак уровня операционной системы собирают и анализируют информацию, отражающую деятельность, которая происходит в операционной системе на отдельном компьютере (например RealSecure Server Sensor или Intruder Alert). Эта информация представляется, как правило, в форме журналов регистрации операционной системы. В последнее время стали получать распространение системы, функционирующие на уровне ядра ОС, тем самым предоставляя более эффективный способ обнаружения нарушений политики безопасности. К такого рода системам можно отнести LIDS.
| Достоинства | Недостатки |
| Системы данного класса могут контролировать доступ к информации в виде «кто получил доступ и к чему» | Уязвимости ОС могут подорвать доверие к обнаружению атак на данном уровне |
| Системы данного класса могут отображать аномальную деятельность конкретного пользователя для любого приложения | Атаки, реализуемые на нижних или более высоких уровнях (сети и приложений), остаются за пределами рассмотрения данных средств. |
| Системы данного класса могут отслеживать изменения режимов работы, связанные со злоупотреблениями | Запуск механизмов аудита для фиксирования всех действий в журналах регистрации может потребовать использования дополнительных ресурсов |
| Системы данного класса могут работать в сетевом окружении, в котором используется шифрование | Когда журналы регистрации используются в качестве источников данных, они могут потребовать довольно большого дискового пространства для хранения |
| Системы данного класса могут эффективно работать в коммутируемых сетях | Эти методы зависят от типа конкретной платформы |
| Позволяют контролировать конкретный узел и «не распыляться» на другие, менее важные, узлы | Расходы на стоимость эксплуатации и управление, связанные со средствами обнаружения атак уровня операционной системы, как правило, значительно выше, чем в других подходах |
| 100-процентное подтверждение «успешности» или «неудачности» атаки | Средства данного класса практически неприменимы для обнаружения атак на маршрутизаторы и иное сетевое оборудование |
| Обнаружение атак, пропускаемых средствами, функционирующими на других уровнях | При неполноте данных эти системы могут «пропускать» какие-либо атаки |
| Возможность проведения автономного анализа |
Дата добавления: 2015-09-07; просмотров: 556;