Система обнаружения атак — это программный или программноаппаратный комплекс, предназначенный для выявления и по возможности предупреждения действий, угрожающих безопасности информационной системы.
СОА, использующие информацию, получаемую от персонального компьютера, на который они установлены, обычно называют локальными
Рассмотрим, какая информация может использоваться локальными СОА для выявления попыток атаки.
−Отслеживание попыток входящих и исходящих TCP- и UDP-соединений.
Врезультате могут обнаруживаться и пресекаться попытки несанкционированных подключений к отдельным портам, а также попытки сканирования портов.
−Анализ входящего и исходящего сетевого трафика на предмет наличия «подозрительных» пакетов. «Досмотру» могут подлежать как поля заголовков пакетов, так и их содержимое.
−Отслеживание попыток регистрации на локальной ЭВМ. В случае интерактивной регистрации может накладываться ограничение на время регистрации, а в случае регистрации по сети можно ограничить перечень сетевых адресов, с которых разрешается вход в систему.
−Отслеживание активности пользователей, наделенных повышенными полномочиями в системе (суперпользователь root в UNIX-системах,пользователи группы Администраторы в ОС Windows). Так как в широком классе случаев атака направлена на получение полномочий суперпользователя, могут отслеживаться попытки регистрации этого пользователя в системе в неразрешенное время, попытки сетевой регистрации суперпользователя и т. д.
− Проверка целостности отдельных файлов или ключей реестра. Несанкционированные действия взломщика могут заключаться в попытках внесения изменений в базу данных пользователей или в модификации отдельных настроек системы. Контроль целостности критичных областей данных позволит СОА обнаружить попытку реализации атаки.