На уровне ОС

Системы обнаружения атак уровня операционной системы собирают и анали­зируют информацию, отражающую деятельность, которая происходит в операци­онной системе на отдельном компьютере (например RealSecure Server Sensor или Intruder Alert). Эта информация представляется, как правило, в форме журналов регистрации операционной системы. В последнее время стали получать распро­странение системы, функционирующие на уровне ядра ОС, тем самым предоставляя более эффективный способ обнаружения нарушений политики безопасности. К такого рода системам можно отнести LIDS.

Достоинства Недостатки
Системы данного класса могут контролиро­вать доступ к информации в виде «кто полу­чил доступ и к чему» Уязвимости ОС могут подорвать дове­рие к обнаружению атак на данном уровне
Системы данного класса могут отображать аномальную деятельность конкретного пользо­вателя для любого приложения Атаки, реализуемые на нижних или бо­лее высоких уровнях (сети и приложе­ний), остаются за пределами рассмотре­ния данных средств.
Системы данного класса могут отслеживать изменения режимов работы, связанные со зло­употреблениями Запуск механизмов аудита для фиксиро­вания всех действий в журналах регист­рации может потребовать использова­ния дополнительных ресурсов
Системы данного класса могут работать в се­тевом окружении, в котором используется шифрование Когда журналы регистрации использу­ются в качестве источников данных, они могут потребовать довольно большого дискового пространства для хранения
Системы данного класса могут эффективно ра­ботать в коммутируемых сетях Эти методы зависят от типа конкретной платформы
Позволяют контролировать конкретный узел и «не распыляться» на другие, менее важные, узлы Расходы на стоимость эксплуатации и управление, связанные со средствами обнаружения атак уровня операционной системы, как правило, значительно выше, чем в других подходах
100-процентное подтверждение «успешности» или «неудачности» атаки Средства данного класса практически неприменимы для обнаружения атак на маршрутизаторы и иное сетевое обору­дование
Обнаружение атак, пропускаемых средства­ми, функционирующими на других уровнях При неполноте данных эти системы мо­гут «пропускать» какие-либо атаки
Возможность проведения автономного анализа  







Дата добавления: 2015-09-07; просмотров: 562;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.005 сек.