Информационная безопасность



              

Системы обнаружения компьютерных атак - не панацея - часть 2


Возникает резонный вопрос, а как же быть с неизвестными атаками? Случавшиеся в последнее время компьютерные атаки, например такие как Slammer или Nimda, ускользают от внимания программных средств, основанных на распознавании сигнатур, и практически мгновенно распространяются через локальные сети - задолго до того, как становится возможным какое-либо обновление систем защиты. Система, ориентированная на выявление новых типов атак, - это система выявления «аномального» поведения, которая отслеживает в сетевом трафике, в работе приложений и в других процессах все отклонения от нормы, контролирует частоту событий и обнаруживает статистические аномалии. Основанная на анализе поведения, такая система может остановить как известные, так и не встречавшиеся ранее виды несанкционированной деятельности. Однако и у нее есть существенный недостаток - трудности с формулировкой эффективных критериев того, что считать аномальным поведением, а что не считать.

Объединяя эти две технологии и устраняя таким образом их взаимные недостатки, можно получить средство обнаружения известных и неизвестных атак.




Содержание  Назад  Вперед