Системы обнаружения атак на уровне узла

Эти системы обнаружения атак выполняются на защищаемом узле и контро­лируют различные события безопасности. В качестве исходных данных указан­ные системы, в большинстве случаев, оперируют регистрационными журналами операционной системы (например, Intruder Alert), приложений (например RealSe­cure OS Sensor) или систем управления базами данных. Таким образом, эти системы зависят от содержимого регистрационных журналов и в случае их подмены" злоумышленником или неполноты собранных данных система "не сможет досто­верно определить нападение. Менее распространенные системы обнаружения атак используют модель обнаружения аномального поведения (например EME­RALD), которая статистически сравнивает текущий сеанс пользователя (выпол­няемые команды и другие параметры) с эталонным профилем нормального пове­дения. Сложные алгоритмы используются для определения отклонения нормаль­ного поведения пользователя от аномального. Однако существуют системы обнаружения, которые оперируют сетевым трафиком, получаемым и отправляе­мым с конкретного узла (например RealSecure Server Sensor).

Имеется несколько категорий систем обнаружения атак данного класса, фун­кционирующих на различных уровнях ИС.








Дата добавления: 2015-09-07; просмотров: 534;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.002 сек.