Сохранение.

 К категории «сохранение» относятся два варианта реагирования:

• регистрация  события в БД;

• воспроизведение  вторжения в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты. Для реализации второго варианта бывает необходимо «пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности затем воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, анализировать «успешные» вторжения и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.

Активное  реагирование. К этой категории относятся следующие варианты реагирования:

• блокировка работы атакующего;

• завершение сессии с атакующим узлом;

• управлением  сетевым оборудованием и средствами защиты.

IDS могут предложить  такие конкретные варианты реагирования: блокировка учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурация МЭ и маршрутизаторов и т. д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой стороны, требует аккуратного использования, так как неправильное применение может привести к нарушению работоспособности всей КИС.

Краткое описание

Сетевые и информационные технологии меняются настолько быстро, что статичные защитные механизмы, к которым относятся системы разграничения доступа, МЭ, системы аутентификации во многих случаях не могут обеспечить эффективной защиты. Поэтому требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности.