Хостовая система обнаружения вторжений

Хостовая система обнаружения вторжений (англ. Host-based intrusion detection system, HIDS) — это система обнаружения вторжений, которая ведет наблюдение и анализ событий, происходящих внутри системы (в отличие от сетевой СОВ, которая отслеживает в первую очередь сетевой трафик)

Обзор

Целью хостовой СОВ является слежение за всеми событиями, происходящими в компьютерной системе и проверка их на соответствие модели безопасности. В то время, как сетевая СОВ отслеживает проходящие сетевые пакеты, хостовая СОВ проверяет, какая программа к каким ресурсам обращается и может обнаружить, что, например, текстовый процессор вдруг начал менять системную базу паролей. Хостовая СОВ просто ведет наблюдение за текущим состоянием системы, за хранимой информацией (как в оперативной памяти, так и в файловой системе), за данными системных логов и проверяет, насколько это состояние соответствует «нормальному».

Можно сказать, что хостовая СОВ — это агент, наблюдающий за тем, чтобы никто не смог нарушить (снаружи или изнутри системы) политику безопасности, установленную операционной системой.

См. также

Ссылки

Похожие исследовательские статьи

SELinux — реализация системы принудительного контроля доступа, которая может работать параллельно с классической избирательной системой контроля доступа.

Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

В компьютерной безопасности термин «уязвимость» используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Компью́терная безопа́сность — раздел информационной безопасности, характеризующий невозможность возникновения ущерба компьютера, превышающего величину приемлемого ущерба для него от всех выявленных и изученных источников его отказов в определённых условиях работы и на заданном интервале времени.

LIDS — сторонний патч к ядру Linux, а также утилиты администрирования (lidsadm), которые повышают безопасность Linux посредством реализации мандатного контроля за доступом на уровне ядра.

Обнаружение аномалий — динамический метод работы антивирусов, хостовых и сетевых систем обнаружения вторжений.

<span class="mw-page-title-main">Nagios</span>

Nagios — программа с открытым кодом, предназначенная для мониторинга компьютерных систем и сетей: наблюдения, контроля состояния вычислительных узлов и служб, оповещения администратора в том случае, если какие-то из служб прекращают свою работу.

Проактивные технологии — совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. При этом проактивная защита старается блокировать потенциально опасную активность программы только в том случае, если эта активность представляет реальную угрозу. Серьезный недостаток проактивной защиты — блокирование легитимных программ.

tcpdump — утилита UNIX, позволяющая перехватывать и анализировать сетевой трафик, проходящий через компьютер, на котором запущена данная программа.

Сетевая система обнаружения вторжений — система обнаружения вторжений, которая отслеживает такие виды вредоносной деятельности, как DoS атаки, сканирование портов или даже попытки проникновения в сеть.

Удалённая сетевая атака — информационное разрушающее воздействие на распределённую вычислительную систему (ВС), осуществляемое программно по каналам связи.

Honeyd — это небольшой демон, создающий виртуальные хосты в сети, которые могут быть настроены для запуска произвольных задач в определённых операционных системах. Honeyd позволяет отдельному хосту получать несколько адресов по локальной сети для сетевой имитации, а также повышает информационную безопасность, предоставляя механизмы для выявления и оценки угроз, сдерживает противников, скрывая реальные системы в середине виртуальных систем.

В компьютерных науках програ́ммный аге́нт — это программа, которая вступает в отношение посредничества с пользователем или другой программой. Слово «агент» происходит от латинского agere (делать) и означает соглашение выполнять действия от имени кого-либо. Такие «действия от имени» подразумевают право решать, какие действия являются целесообразными. Идея состоит в том, что агенты не запускаются непосредственно для решения задачи, а активизируются самостоятельно.

Ashampoo Firewall — программа для комплексной защиты компьютера от вирусов и других типов вредоносных программ, а также от хакерских атак и спама. Программа была создана германской частной компанией Ashampoo.

Tripwire — программа для мониторинга и предупреждения об изменениях файлов в системе. Проект имеет свободный исходный код, основан на разработках компании Tripwire, Inc. начала 2000-х годов.

Система предотвращения вторжений — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

OSSEC – это хостовая система обнаружения вторжений (HIDS), свободная и с открытым исходным кодом. Она ведёт анализ системных логов, проверку целостности, наблюдение за реестром ОС Windows, обнаружение руткитов, оповещение в заданное время и если будет обнаружено какое-либо событие. Она предоставляет функцию обнаружения вторжений для большинства операционных систем, включая Linux, OpenBSD, FreeBSD, OS X, Solaris и Windows. Её кроссплатформенная архитектура позволяет легко управлять и наблюдать сразу за несколькими операционными системами. Она написана Даниэлем Б. Сидом, и доступна с 2004 года.

Проверка системных файлов (SFC) — это утилита Microsoft Windows, позволяющая пользователю находить и восстанавливать повреждения системных файлов Windows. Компонент доступен в Windows 98, Windows 2000 и всех последующих версиях операционных систем семейства Windows NT. В Windows Vista и Windows 7 проверка системных файлов встроена в защиту ресурсов Windows, которая защищает не только критичные системные файлы, но и ключи реестра, и папки. Под Windows Vista sfc.exe может быть использован для проверки особых путей, включая папку Windows и папку загрузки.

Сигнатурный антивирусный анализ – это один из методов антивирусной защиты, заключающийся в выявлении характерных идентифицирующих свойств каждого вируса и поиске вирусов при сравнении файлов с выявленными свойствами. Одним из важных свойств сигнатурного анализа является точное определение типа вируса. Это позволяет занести в базу как сигнатуры, так и способы лечения вируса.

Мониторинг компьютерной сети — это процесс постоянного отслеживания компьютерной сети на наличие медленных или неисправных компонентов, проверка состояния метрик, в том числе метрик качества предоставления сервиса. Процесс включает в себя уведомление администратора сети в случае сбоев или других проблем. Мониторинг сети является частью управления сетью.

Эта страница основана на статье Википедии.
Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия.
Изображения, видео и звуки доступны по их собственным лицензиям.