Интегрированные подходы

Как мы уже отмечали выше, до недавнего времени все существующие сис­темы обнаружения атак можно было отнести либо к классу сетевых (network-based), либо к классу узловых (host-based). Однако идеальным решением было бы создание системы, совмещающей в себе обе эти технологии, т. е. на каждый контролируемый узел' устанавливался бы агент системы обнаружения атак и контролировал не только атаки на Прикладном уровне (уровне ОС, СУБД и уровне приложений), но и сетевые атаки, направленные на данный узел. Этот подход имеет несколько преимуществ по сравнению с существующими решения­ми.

Во-первых, высокая сетевая скорость уже не представляет проблемы, по­скольку указанный агент просматривает только трафик для данного узла вместо всего трафика всей сети. Во-вторых, расшифрование пакетов осуществляет преж­де, чем они достигнут прикладного уровня. И, наконец, из-за того, что он разме­щается непосредственно на каждом контролируемом компьютере, коммутируе­мые сети также не накладывают ограничений на их использование.

Некоторые системы обнаружения атак объединяют в себе возможности каж­дого из средств, функционирующих на уровне сети, Эти системы комбинируют характеристики сетевых сенсоров, работающих в реальном масштабе времени, с тактическими преимуществами сенсоров системного уровня.