знака розподіленого характеру атаки: розподілені (dd), Нерозподілені (dn).
Частина систем, что аналізується орієнтована на Виявлення Вузловий атак, и вікорістовує для АНАЛІЗУ Такі джерела як журнали реєстрації Додатків, ОС, журнали систем аудиту (OSSEC). Інші системи віявляють только Зовнішні (мережеві) атаки и Використовують для АНАЛІЗУ інформацію, что отримується з каналів передачі даних у мережі (Bro, Snort). Решта систем є гібріднімі и віявляють як Локальні, так и Зовнішні атаки (STAT, Prelude).
Система Bro є мережевий системою Виявлення вторгнень. Вона представляет собою набор модулів декомпозіції даних різніх мережевих протоколів (від мережевого до прикладного уровня) i набор сигнатур над подіямі відповідніх протоколів. Сигнатурою Bro Фактично являються собою регулярні вирази в алфавітах протоколів.
Дана система віявляє вторгнення Наступний класів (L, R, A, D):={li? le} (внутрішні та Зовнішні атаки);={rn}? {ru? rs} (атаки на мережеві корістувальніцькі ресурси и Сістемні ресурси);={as? au? ar? ad} (збір информации про систему, СПРОБА Отримання прав користувача, СПРОБА Отримання прав адміністратора и Порушення працездатності ресурсу);={dn? dd} (Нерозподілені та розподілені).
Система OSSEC, єдина з Розглянуто в даній работе, є спочатку орієнтованою на Виявлення атак уровня системи (Вузлова). Вона найбільш «молода» з Розглянуто систем; ее остання версия призначе, зокрема, для АНАЛІЗУ журналів реєстрації UNIX, типових Додатків (ftpd, apache, mail, etc), а такоже журналів міжмережевіх екранів и мережевих СВВ. OSSEC Включає в собі набор аналізаторів для різніх джерел даних, контроль цілісності файлової системи, сигнатури відоміх троянськіх закладок (rootkits).
Віявляються атаки Наступний класів:={li} (атакуючі об'єкти знаходяться Всередині системи);={rl}? {ru? rs} (вузлові корістувальніцькі та Сістемні ресурси);={au? ar? ai} (СПРОБА Отримання прав користувача, СПРОБА Отримання прав адміністратора, Порушення цілісності ресурсу);={dn? dd} (Нерозподілені та розподілені).
Система STAT є експериментальний універсітетською розробка, и найбільш «старих» з Розглянуто систем - Перші Публікації про STAT датуються тисячі дев'ятсот дев'яносто дві роком. Система Включає в собі набор компонентів Виявлення атак різніх рівнів - мережевий (NetSTAT), Вузловий (USTAT, WinSTAT), Додатків (WebSTAT), тобто є класичності гібрідною системою. СВВ віявляє вторгнення Наступний класів: (L, R, A, D). Де:={li? le} (внутрішні та Зовнішні атаки);={rl? rn}? {ru? rs} (атаки на вузлові або мережеві корістувальніцькі ресурси и Сістемні ресурси);={as? au? ar? ad} (збір информации про систему, СПРОБА Отримання прав користувача, СПРОБА Отримання прав адміністратора и Порушення.
Система Prelude, є гібрідною, тобто здатно віявіті атаки як на Рівні системи, так и на Рівні мережі. Дана система спочатку розроблялася в якості Самостійної СВВ, но в Сейчас годину є вісокорівневою надбудовою над відкрітімі СВВ и системами контролю цілісності (AIDE, Osiris ТОЩО). Вузлова частина Prelude має й достатньо широкий набор опісів атак І, як джерело информации, вікорістовує Різні журнали реєстрації:
журнали реєстрації брандмауеров IPFW;
журнали реєстрації NetFilter ОС Linux;
журнали реєстрації маршрутізаторів Cisco and Zyxel;
журнали реєстрації GRSecurity;
журнали реєстрації типових сервісів OC UNIX та Інші.
СВВ віявляє атаки Наступний класів: (L, R, A, D). Де:={li? le} (внутрішні та Зовнішні атаки);={rl? rn}? {ru? rs? rp} (атаки на Локальні чі мережеві корістувальніцькі ресурси, Сістемні ресурси и ресурси захисту);={as? au? ar? ad} (збір информации про систему, СПРОБА Отримання прав користувача, СПРОБА Отримання прав адміністратора и Порушення працездатності ресурсу);={dn} (Нерозподілені).
Система Snort це найбільш популярна на сьогоднішній день некомерційна СВВ. Вона активно и дінамічно розвівається, оновлення бази відоміх атак відбуваються з частотою, яка порівнюється з комерційнімі аналогами (зазвічай ПОНОВЛЕНИЙ Snort віпереджають комерційні). Snort є чисто Мережеве СВВ І, крім ОСНОВНОЇ бази опісів атак, має набор модулів для Виявлення спеціфічніх атак або реалізують Альтернативні методи Виявлення.
Система здатно віявіті атаки Наступний класів (L, R, A, D):= внутрішні ? Зовнішні raquo ;;={rl? rn}? {ru? rs? rp} (атаки на Локальні чі мережеві корістувальніцькі ресурси, Сістемні ресурси и ресурси захисту);={as? au? ar? ad} (збір информации про систему, СПРОБА Отримання прав користувача, СПРОБА Отримання прав адміністратора и Порушення працездатності ресурсу);={dn? dd} (Нерозподілені та розподілені).
Жодна з Розглянуто систем НЕ покріває всю безліч класів атак. Слід такоже Зазначити, что ЦІ системи Використовують НЕ адаптівні методи Виявлення вторгнень.
Рівень спостереження за системою візначає, на якому Рівні система, что захіщається збірає...
