рмація про режими роботи Snort надана на сайті: # "justify"> 1.6 Взаємодія з БД і Mysql
Snort безпосередньо підтримує чотири види виводу в базу даних за допомогою своїх модулів виводу. До числа підтримуваних форматів належать MySQL, PostgreSQL, Oracle і unixODBC. Це має задовольнити потреби більшості користувачів баз даних. І, природно, якщо база даних не підтримується, можна взятися за проект з написання потрібного модуля розширення. Модуль виводу в базу даних вимагає як параметрів часу компіляції, так і налаштувань в конфігураційному файлі. br/>
2. Причини помилкових спрацьовувань і способи їх усунення. Формування правил
2.1 Типові причини помилкових спрацьовувань
Робота системи моніторингу мережі
Багато організацій використовують системи моніторингу мережі, такі як HP OpenView або WhatsUp Gold, щоб стежити за системами у своїй мережі. Вони характеризуються високою мережевою активністю опитування та виявлення. Для опитування стану ці системи зазвичай застосовують SNMP або аналогічний протокол, але вони можуть також використовувати луна-тестування та інші, більш настирливі перевірки. Типово більшість систем виявлення вторгнень розглядають цю активність як шкідливу або, принаймні, підозрілу. У великій мережі моніторинг може породжувати тисячі сигналів тривоги на годину, якщо система виявлення вторгнень налаштована для відстеження такої діяльності. Цього можна уникнути, ігноруючи активність за участю IP-адреси системи моніторингу. Можна також виключити з бази даних відповідні сигнали тривоги, якщо їх відстеження не представляє для вас особливої вЂ‹вЂ‹важливості. p align="justify"> Призначена для користувача активність
У різних організаціях, різні вимоги до обмежень працівників. Типово передача миттєвими повідомленнями, однорангове поділ файлів сигналізуватиметься як атака на мережу. Тому можна прибрати або навпаки озлобити подібну політику безпеки на конкретні хости мережі організації, залежно від вимог політики безпеки. Можна просто заносити до журналу повідомлення про подібної активності для того що б дізнатися наскільки сильно ці дозволи впливають на смугу пропускання і на безпеку мережі в цілому. p align="justify"> 2.2 Поведінка, що нагадує "троянську" програму або "хробака"
Віруси і вірусоподібні програми та програмне забезпечення ("черв'яки", "Троянські коні" і подібні програми), нерідко використовують мережеві інтерфейси і інші засоби, для отримання доступу та вчинення яких або шкідливих дій ( отримання доступу до управління, зміни, видалення, копіювання інформацією атакується користувача). Подібну активність допомагають присікти IDS системи, проте подібні сигнатури можуть містити і звичайні нешкідливі програми, і тому слід відстежувати джерела сигнатур для більш точного встановлення шкідливим чи є пакет чи ні. Це допоможе уникн...
