Системы обнаружения атак на уровне узла

Эти системы обнаружения атак выполняются на защищаемом узле и контро­лируют различные события безопасности. В качестве исходных данных указан­ные системы, в большинстве случаев, оперируют регистрационными журналами операционной системы (например, Intruder Alert), приложений (например RealSe­cure OS Sensor) или систем управления базами данных. Таким образом, эти системы зависят от содержимого регистрационных журналов и в случае их подмены" злоумышленником или неполноты собранных данных система "не сможет досто­верно определить нападение. Менее распространенные системы обнаружения атак используют модель обнаружения аномального поведения (например EME­RALD), которая статистически сравнивает текущий сеанс пользователя (выпол­няемые команды и другие параметры) с эталонным профилем нормального пове­дения. Сложные алгоритмы используются для определения отклонения нормаль­ного поведения пользователя от аномального. Однако существуют системы обнаружения, которые оперируют сетевым трафиком, получаемым и отправляе­мым с конкретного узла (например RealSecure Server Sensor).

Имеется несколько категорий систем обнаружения атак данного класса, фун­кционирующих на различных уровнях ИС.