Системы обнаружения атак на уровне узла
Эти системы обнаружения атак выполняются на защищаемом узле и контролируют различные события безопасности. В качестве исходных данных указанные системы, в большинстве случаев, оперируют регистрационными журналами операционной системы (например, Intruder Alert), приложений (например RealSecure OS Sensor) или систем управления базами данных. Таким образом, эти системы зависят от содержимого регистрационных журналов и в случае их подмены" злоумышленником или неполноты собранных данных система "не сможет достоверно определить нападение. Менее распространенные системы обнаружения атак используют модель обнаружения аномального поведения (например EMERALD), которая статистически сравнивает текущий сеанс пользователя (выполняемые команды и другие параметры) с эталонным профилем нормального поведения. Сложные алгоритмы используются для определения отклонения нормального поведения пользователя от аномального. Однако существуют системы обнаружения, которые оперируют сетевым трафиком, получаемым и отправляемым с конкретного узла (например RealSecure Server Sensor).
Имеется несколько категорий систем обнаружения атак данного класса, функционирующих на различных уровнях ИС.
Дата добавления: 2015-09-07; просмотров: 534;