На уровне приложений и СУБД

Системы данного класса могут быть реализованы двумя путями. В первом случае они анализируют записи журнала регистрации конкретного приложения или СУБД и в этом случае мало чем отличаются от систем обнаружения атак на уровне ОС. Достоинство такого пути — в простоте реализации и поддержке прак­тически любого прикладного ПО и СУБД, фиксирующего все события в журнале регистрации. Примером такой системы является RealSecure OS Sensor. Однако в этой простоте кроется и основной недостаток. Для эффективной работы такой си­стемы необходимо потратить немало времени на ее настройку под конкретное приложение, так как каждое из них имеет свой, зачастую уникальный, формат журнала регистрации. Второй путь реализации этих систем — интеграция их в конкретное прикладное приложение или СУБД. В этом случае они становятся ме­нее универсальными, но зато более функциональными, за счет очень тесной ин­теграции с контролируемым ПО. Примером такой системы является WebStalker Pro, разработанная в компании Trusted Information Systems (TIS) и 28 февраля 1998 года приобретенная компанией Network Associates. К сожалению, в настоя­щий момент данная система больше не выпускается, а некоторые ее элементы ин­тегрированы в систему CyberCop Monitor.