. Як правило, вони включають в себе можливості декількох категорій. Проте ця класифікація відображає ключові можливості, що відрізняють одну систему виявлення атак від іншої.
На даний момент технологія виявлення аномалій не отримала широкого розповсюдження, і ні в одній комерційно поширюваної системі вона не використовується. Пов'язано це з тим, що дана технологія красиво виглядає в теорії, але дуже важко реалізується на практиці. Зараз, однак, намітився поступове повернення до неї (особливо в Росії), і можна сподіватися, що незабаром користувачі зможуть побачити перші комерційні системи виявлення атак, що працюють за цією технологією.
Інший підхід до виявлення атак - виявлення зловживань, яке полягає в описі атаки у вигляді шаблону (pattern) або сигнатури (signature) і пошуку даного шаблону в контрольованому просторі (мережевому трафіку або журналі реєстрації) . Антивірусні системи є яскравим прикладом системи виявлення атак, що працює за цією технологією.
Як вже було зазначено вище, існує два класи систем, що виявляють атаки на мережевому і операційному рівні. Принципова перевага мережевих (network-based) систем виявлення атак полягає в тому, що вони ідентифікують нападу перш, ніж ті досягнуть атакується вузла. Ці системи більш прості для розгортання у великих мережах, тому що не вимагають установки на різні платформи, що використовуються в організації. У Росії найбільше поширення отримали операційні системи MS-DOS, Windows 95, NetWare і Windows NT. Різні діалекти UNIX у нас поки не настільки широко поширені, як на Заході. Крім того, системи виявлення атак на рівні мережі практично не знижують продуктивності мережі.
Системи виявлення атак на рівні хоста створюються для роботи під управлінням конкретної операційної системи, що накладає на них певні обмеження. Наприклад, мені не відома жодна система цього класу, що функціонує під управлінням MS-DOS або Windows for Workgroups (адже ці операційні системи ще досить поширені в Росії). Використовуючи знання того, як повинна В«вестиВ» себе операційна система, засоби, побудовані з урахуванням цього підходу, іноді можуть виявити вторгнення, пропускалися мережевими засобами виявлення атак. Однак найчастіше це досягається дорогою ціною, тому що постійна реєстрація, необхідна для виконання подібного роду виявлення, суттєво знижує продуктивність захищається хоста. Такі системи сильно завантажують процесор і вимагають великих обсягів дискового простору для зберігання журналів реєстрації і, в принципі, не застосовні для висококрітічних систем, що працюють в режимі реального часу (наприклад, система В«Операційний день банкуВ» або система диспетчерського управління). Однак, незважаючи ні на що, обидва ці підходи можуть бути застосовані для захисту вашої організації. Якщо ви хочете захистити один або декілька вузлів, то системи...
