На уровне операционной системы

Эти системы основаны на мониторинге регистрационных журналов операци­онной системы, заполняемых в процессе работы пользователя или другого субъ­екта на контролируемом узле (например RealSecure OS Sensor или swatch). В ка­честве критериев оценки несанкционированной деятельности используются:

• время работы пользователя;

• число, тип и название создаваемых файлов;

• число, тип и название файлов, к которым осуществляется доступ;

• регистрация в системе и выход из нее;

• запуск определенных приложений;

• изменение политики безопасности (создание нового пользователя или груп­пы, изменение пароля и т. п.) и т. д.

События, записываемые в журнал регистрации, сравниваются с базой данных сигнатур при помощи специальных алгоритмов, которые могут меняться в зависи­мости от реализации системы обнаружения атак. Подозрительные события клас­сифицируются, ранжируются и о них уведомляется администратор. Указанные системы обнаружения атак, как правило, запускаются на сервере, так как их за­пуск на рабочих станциях нецелесообразен из-за повышенных требований к сис­темным ресурсам.

Иногда системы обнаружения атак этого уровня анализируют деятельность пользователей в реальном режиме времени (например HostSentry компании Psio-nic), но этот механизм реализуется достаточно редко. Обычно эти системы анали­зируют только журналы регистрации ОС.

Некоторые ОС (например FreeBSD или Linux) поставляются в исходных тек­стах, и разработчики систем обнаружения атак могут модифицировать ядро ОС для реализации возможности обнаружения несанкционированных действий. При­мером таких систем можно назвать OpenWall или LIDS. Эти системы модифици­руют ядро ОС Linux, расширяя имеющиеся защитные механизмы. Например, LIDS может обнаруживать и блокировать факт установки анализатора протоко­лов или изменения правил встроенного межсетевого экрана.