Интегрированные подходы
Как мы уже отмечали выше, до недавнего времени все существующие системы обнаружения атак можно было отнести либо к классу сетевых (network-based), либо к классу узловых (host-based). Однако идеальным решением было бы создание системы, совмещающей в себе обе эти технологии, т. е. на каждый контролируемый узел' устанавливался бы агент системы обнаружения атак и контролировал не только атаки на Прикладном уровне (уровне ОС, СУБД и уровне приложений), но и сетевые атаки, направленные на данный узел. Этот подход имеет несколько преимуществ по сравнению с существующими решениями.
Во-первых, высокая сетевая скорость уже не представляет проблемы, поскольку указанный агент просматривает только трафик для данного узла вместо всего трафика всей сети. Во-вторых, расшифрование пакетов осуществляет прежде, чем они достигнут прикладного уровня. И, наконец, из-за того, что он размещается непосредственно на каждом контролируемом компьютере, коммутируемые сети также не накладывают ограничений на их использование.
Некоторые системы обнаружения атак объединяют в себе возможности каждого из средств, функционирующих на уровне сети, Эти системы комбинируют характеристики сетевых сенсоров, работающих в реальном масштабе времени, с тактическими преимуществами сенсоров системного уровня.
Дата добавления: 2015-09-07; просмотров: 584;