На уровне операционной системы
Эти системы основаны на мониторинге регистрационных журналов операционной системы, заполняемых в процессе работы пользователя или другого субъекта на контролируемом узле (например RealSecure OS Sensor или swatch). В качестве критериев оценки несанкционированной деятельности используются:
• время работы пользователя;
• число, тип и название создаваемых файлов;
• число, тип и название файлов, к которым осуществляется доступ;
• регистрация в системе и выход из нее;
• запуск определенных приложений;
• изменение политики безопасности (создание нового пользователя или группы, изменение пароля и т. п.) и т. д.
События, записываемые в журнал регистрации, сравниваются с базой данных сигнатур при помощи специальных алгоритмов, которые могут меняться в зависимости от реализации системы обнаружения атак. Подозрительные события классифицируются, ранжируются и о них уведомляется администратор. Указанные системы обнаружения атак, как правило, запускаются на сервере, так как их запуск на рабочих станциях нецелесообразен из-за повышенных требований к системным ресурсам.
Иногда системы обнаружения атак этого уровня анализируют деятельность пользователей в реальном режиме времени (например HostSentry компании Psio-nic), но этот механизм реализуется достаточно редко. Обычно эти системы анализируют только журналы регистрации ОС.
Некоторые ОС (например FreeBSD или Linux) поставляются в исходных текстах, и разработчики систем обнаружения атак могут модифицировать ядро ОС для реализации возможности обнаружения несанкционированных действий. Примером таких систем можно назвать OpenWall или LIDS. Эти системы модифицируют ядро ОС Linux, расширяя имеющиеся защитные механизмы. Например, LIDS может обнаруживать и блокировать факт установки анализатора протоколов или изменения правил встроенного межсетевого экрана.
Дата добавления: 2015-09-07; просмотров: 582;