Подтверждение факта атаки

Достоинства систем обнаружения атак на уровне узла

На уровне сети

На уровне приложений и СУБД

Системы данного класса могут быть реализованы двумя путями. В первом случае они анализируют записи журнала регистрации конкретного приложения или СУБД и в этом случае мало чем отличаются от систем обнаружения атак на уровне ОС. Достоинство такого пути — в простоте реализации и поддержке прак­тически любого прикладного ПО и СУБД, фиксирующего все события в журнале регистрации. Примером такой системы является RealSecure OS Sensor. Однако в этой простоте кроется и основной недостаток. Для эффективной работы такой си­стемы необходимо потратить немало времени на ее настройку под конкретное приложение, так как каждое из них имеет свой, зачастую уникальный, формат журнала регистрации. Второй путь реализации этих систем — интеграция их в конкретное прикладное приложение или СУБД. В этом случае они становятся ме­нее универсальными, но зато более функциональными, за счет очень тесной ин­теграции с контролируемым ПО. Примером такой системы является WebStalker Pro, разработанная в компании Trusted Information Systems (TIS) и 28 февраля 1998 года приобретенная компанией Network Associates. К сожалению, в настоя­щий момент данная система больше не выпускается, а некоторые ее элементы ин­тегрированы в систему CyberCop Monitor.

Помимо анализа журналов регистрации или поведения субъектов контроли­руемого узла, системы обнаружения данного класса могут оперировать и сетевым трафиком. В этом случае система обнаружения анализируют не все сетевые паке­ты, а только те, которые направлены на контролируемый узел. По этой причине сетевые интерфейсы данных узлов могут функционировать не только в «смешан­ном», но и в нормальном режиме. Поскольку такие системы контролируют все входящие и исходящие сетевые соединения, то они также могут исполнять роль персональных межсетевых экранов. Примером таких систем можно назвать Real-Secure Server Sensor компании ISS или PortSentry компании Psionic.

Так как системы обнаружения атак, анализирующие журналы регистрации, содержат данные о событиях, которые действительно имели место, то системы этого класса могут с высокой точностью определить — действительно ли атака имела место или нет. 1Гэтом отношении системы уровня узла идеально дополня­ют системы обнаружения атак сетевого уровня, которые будут описаны дальше. Такое объединение обеспечивает раннее предупреждение при помощи сетевого компонента и определение «успешности» атаки при помощи системного компо­нента.