АПРИОРНАЯ ПОДОЗРИТЕЛЬНОСТЬ: ПРОГРАММНЫЕ СРЕДСТВА ЛЕЧЕНИЯ ПАРАНОЙИ
Илья
0
10 июля 2006
Наряду с межсетевыми экранами, криптосредствами, антивирусами и решениями в области antispyware системы обнаружения атак (Intrusion Detecting Systems, IDS) по сей день остаются непременной составляющей "защитного поля" большинства локальных сетей и отдельных компьютеров. В ряде случаев IDS поставляется как модуль в составе программно-аппаратного комплекса и специализируется на обнаружении хакерских вторжений, DoS-атак и сетевых червей. Свою работу система выполняет, сравнивая каждое проникновение в защищаемую зону с так называемыми сигнатурами - то есть шаблонами поведения программ, выработанными на основе анализа предыдущих атак. В зависимости от типа защищаемого объекта IDS подразделяют на host-based (HIDS) и network-based (NIDS), то есть работающие на уровне отдельного узла и сети в целом. HIDS проверяют целостность файловой системы, анализируют лог-файлы, активность ОС и приложений. "Хостовые" системы, по сути, просматривают журналы системы, но в отличие от сисадминов занимаются этим не раз в день, а после появления каждой новой записи, при этом любое зарегистрированное событие сравнивается с имеющейся базой сигнатур. Система проверяет, не привело ли в прошлом аналогичное действие к вторжению. Подобным образом оцениваются модификации файлов. Основные разновидности HIDS - аудиторы ОС (System Integrity Verifiers) и анализаторы лог-файлов (Log Files Monitors). Для Linux существует и ряд расширений системы, реализующих HIDS-функциональность, например продукты LIDS и OpenWall.