4. Продукты
В этом разделе описываются доступные продукты
4.1 Какие бесплатные системы обнаружения атак доступны?
Наиболее полный список систем обнаружения атак можно получить по адресу: http://www.cs.purdue.edu/coast/ids.
4.1.1 Network Flight Recorder (NFR)
Анализатор пакетов под UNIX, основанный на libcap/tcpdump. Насколько я знаю, NFR поставляется с небольшим число сигнатур атак, но так как исходный текст NFR доступен, то многие специалисты сами пишут фильтры для нее. (Однако не многие специалисты имеют необходимый опыт и время для такой работы - примечание переводчика). Общее описание можно найти по адресу http://www.nfr.net/forum/publications/LISA-97.htm.
4.1.2 Bro
Система обнаружения атак Vern Paxson's Bro. Также основана на libcap. Я не слышал о фактах применения этой системы. Более подробную информацию можно получить в: ftp.ee.lbl.gov/papers/bro-usenix98-revi sed.ps.
4.1.3. AAFID
Идея распределенного агента для обнаружения атак, предложенная COAST. Я не знаю, сколько в этой идее вымысла, а сколько реальности.
4.1.4. Shadow
Я думаю, что это проект используемый в Вооруженных силах США для обнаружения атак. Имеется интересный документ (http://www.nswc.navy.mil/ISSEC/CID/co-ordinated_analysis.txt) в котором описаны случаи распределенных в пространстве атак, обнаруженных этой системой.
4.1.5. Argus
Это не система обнаружения атак. Однако, она контролирует сетевые пакеты и события в журналах регистрации. Вы можете затем обрабатывать эти данные для обнаружения атак.
См. для большей информации ftp://coast.cs.purdue.edu/pub/tools/unix/argus или ftp://ftp.sei.cmu.edu/pub/argus-1.5
4.1.n Другие
Nnstat
Назад |
Содержание |
Вперед