На уровне ОС

На уровне приложений и СУБД

Системы обнаружения атак данного уровня собирают и анализируют информацию от конкретных приложений, например от систем управления базами данных, Web-серверов или межсетевых экранов, например WebStalker Pro или Real-Secure Server Sensor.

Достоинства	Недостатки
Этот подход позволяет нацелиться на конкретные действия в системе, необнаруживаемые другими методами (например, мошенничество конкретного пользователя в платежной системе)	Уязвимости прикладного уровня могут подорвать доверие к обнаружению атак на данном уровне
Обнаружение атак, пропускаемых средствами	Функционирующими на других уровнях
Эти средства позволяют снизить требования к ресурсам за счет контроля не всех приложений, а только одного из них

Системы обнаружения атак уровня операционной системы собирают и анализируют информацию, отражающую деятельность, которая происходит в операционной системе на отдельном компьютере (например RealSecure Server Sensor или Intruder Alert). Эта информация представляется, как правило, в форме журналов регистрации операционной системы. В последнее время стали получать распространение системы, функционирующие на уровне ядра ОС, тем самым предоставляя более эффективный способ обнаружения нарушений политики безопасности. К такого рода системам можно отнести LIDS.

Достоинства	Недостатки
Системы данного класса могут контролировать доступ к информации в виде «кто получил доступ и к чему»	Уязвимости ОС могут подорвать доверие к обнаружению атак на данном уровне
Системы данного класса могут отображать аномальную деятельность конкретного пользователя для любого приложения	Атаки, реализуемые на нижних или более высоких уровнях (сети и приложений), остаются за пределами рассмотрения данных средств.
Системы данного класса могут отслеживать изменения режимов работы, связанные со злоупотреблениями	Запуск механизмов аудита для фиксирования всех действий в журналах регистрации может потребовать использования дополнительных ресурсов
Системы данного класса могут работать в сетевом окружении, в котором используется шифрование	Когда журналы регистрации используются в качестве источников данных, они могут потребовать довольно большого дискового пространства для хранения
Системы данного класса могут эффективно работать в коммутируемых сетях	Эти методы зависят от типа конкретной платформы
Позволяют контролировать конкретный узел и «не распыляться» на другие, менее важные, узлы	Расходы на стоимость эксплуатации и управление, связанные со средствами обнаружения атак уровня операционной системы, как правило, значительно выше, чем в других подходах
100-процентное подтверждение «успешности» или «неудачности» атаки	Средства данного класса практически неприменимы для обнаружения атак на маршрутизаторы и иное сетевое оборудование
Обнаружение атак, пропускаемых средствами, функционирующими на других уровнях	При неполноте данных эти системы могут «пропускать» какие-либо атаки
Возможность проведения автономного анализа

<== предыдущая лекция	\|	следующая лекция ==>
По уровням информационной системы	\|	На уровне операционной системы

Поделиться с друзьями:

Дата добавления: 2014-01-15; Просмотров: 268; Нарушение авторских прав?; Мы поможем в написании вашей работы!

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

studopedia.su - Студопедия (2013 - 2025) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление

Генерация страницы за: 0.013 сек.