Цитата |
---|
cybervlad пишет: Так вот, мое not so humble opinion: нет такой фигни, и в ближайшее время не будет, ибо набор параметров для принятия такого решения слишком сложен, недетерминирован и может быть решен под каждую конкретную ситуацию, пожалуй, только с помощью экспертных систем / нейросетей. А занахаляву такие решения никто отдавать не будет, потому что в таком решении самое дорогостоящее не программирование, а расстановка коэффициентов. |
Имхо, такая "фигня" есть. Вопрос только в том, что она стоит денег и требует не просто IDS, а еще и сканеров безопасности. Работает просто (относительно). Сканируется сеть и собирается информация о:
- используемых на узлах ОС, приложениях и их версиях
- имеющихся на этих же узлах дырах.
А потом, получая данные о том, что на узел А совершается атака Х, эта "фигня" лезет в базу сканера безопасности и смотрит, а что у нас есть по узлу А. Если она видит, что атака Х для узла А может нанести ущерб (на основе инфы об ОС или дыре), то она показывает сообщение на консоли и, возможно, изменяет приоритет события и варианты реагирования. А если атака Х для узла А не нанесет ущерба, то сообщение об атаке не показывается или его приоритет снижается до минимума. И так для каждой связки "атака-адрес жертвы", т.к. для одной жертвы атака нанесет ущерб, а для другой - нет.