Подозрительные события

В любой компьютерной системе непрерывно происходят события, состоящие в изменении состояния ее компонентов, например, информационных ресурсов. Эти события состоят из двух частей - действия, например, чтения, записи, изменения данных, и его адресата, например, файла, или процесса операционной системы. Система защиты ограничивает все возможные события, которые могут произойти в системе, не допуская, к примеру, чтения закрытых данных не имеющим на то прав пользователем. Такого рода ограничения называются политикой безопасности, и если в системе происходят многократные события, нарушающие установленную политику безопасности, то это может быть интерпретировано как признак хакерской атаки.

К числу таких признаков относятся, например, многократные попытки неудачной входной регистрации, или обращения к закрытому для несанкционированного доступа файлу. Другой метод выявления признаков атаки состоит в обнаружении подозрительных событий за определенный промежуток времени. Например, поступление множества сетевых пакетов определенного типа за короткий интервал времени может свидетельствовать о попытке сетевого сканирования портов компьютера. Наконец, выявить подозрительные события можно, опираясь на определенные шаблоны атаки, т.е. выявленную последовательность действий хакера по взлому компьютерной системы - например, выявление сетевых пакетов со специально искаженной структурой (зафиксированной в шаблоне) может свидетельствовать о попытках определения типа операционной системы.