Введение в классификацию
Существует несколько различных классификаций систем обнаружения атак. Мало того, каждый производитель предлагает свою собственную классификацию, учитывающую его собственные наработки в этой области. Ниже я коснусь только основных классификаций.
Классификация по уровням информационной системы
Аналогично системам анализа защищенности, системы обнаружения атак также можно классифицировать по уровням информационной инфраструктуры, на которых обнаруживаются нарушения политики безопасности.
Уровень приложений и СУБД
Системы обнаружения атак данного уровня собирают тс анализируют информацию от конкретных приложений, например, от систем управления базами данных, Web-серверов или межсетевых экранов, таких как WebStalker Pro или RealSecure OS Sensor. Достоинства и недостатки систем данного класса описаны в табл. 6.6 Таблица 6.6. Достоинства и недостатка систем Обнаружения атак на уровне приложений
Уровень ОС
Системы обнаружения атак уровня операционной системы собирают и анализируют информацию, отражающую деятельность, которая происходит в операционной системе на отдельном компьютере (например, RealSecure Server Sensor или Intruder Alert). Эта информация представляется, как правило, в форме журналов регистрации операционной системы. В последнее время стали получать распространение системы, функционирующие на уровне ядра ОС, за счет такого "погружения" предоставляющие собой более эффективный способ обнаружения нарушений политики безопасности. К этим системам можно отнести LIDS. Достоинства и недостатки систем данного класса сведены в табл. 6.7. Таблица 6.7. Достоинства и недостатки систем обнаружения атак на уровне ОС
Уровень сети
Системы обнаружения атак уровня сети собирают информацию из самой сети, т.е. из сетевого трафика. Выполняться эти системы могут на обычных компьютерах (такие как RealSecure Network Sensor или NetProwler), на специализированных компьютерах (RealSecure for Nokia, Cisco Secure IDS или VelociProwler Intrusion Detection Appliance) или интегрируются в маршрутизаторы или коммутаторы (например, CiscoSecure IOS Integrated Software или Cisco IDS blade, известная также как Cisco Catalyst 6000 IDS Module). В первых двух случаях анализируемая информация собирается посредством захвата и анализа пакетов, при этом обращение к сетевым интерфейсам осуществляется в беспорядочном (promiscuous) режиме. Достоинства и недостатки систем данного класса описаны в табл. 6.8. Таблица 6.8. Достоинства и недостатки систем обнаружения атак на уровне сети
Популярное: Как вы ведете себя при стрессе?: Вы можете самостоятельно управлять стрессом! Каждый из нас имеет право и возможность уменьшить его воздействие на нас... Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (681)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |