Примеры систем активного аудита

Рассмотрим системы активного аудита, наиболее интересные с точки зрения архитектуры или реализованных в них идей.

Система EMERALD является старейшей разработкой в области активного аудита, так как она вобрала в себя опыт более ранних систем — IDES и N1DES, созданных в Лаборатории информатики Стэнфордского исследовательского института (Stanford Research Institute, известен как SRI International) по контракту с DARPA.

EMERALD расшифровывается как Event Monitoring Enabling Responses to Anomalous Live Disturbances — мониторинг событий, допускающий реакцию на аномалии и нарушения. EMERALD включает в себя все компоненты и архитектурные решения, необходимые для систем активного аудита, оказываясь тем самым не только старейшей, но и самой полной разработкой как среди исследовательских, так и среди коммерческих систем.

Строго говоря, EMERALD является не готовым продуктом, а программной средой, которая строится по модульному принципу. Основным «кирпичиком» служит монитор. Каждый монитор включает в себя компонент распознавания сигнатур злоумышленных действий, компонент выявления аномальной активности, решатель, выбирающий способ реагирования на нарушения, а также описание контролируемого объекта. Каждый монитор настраивается по описанию и следит за своим объектом. Мониторы распределяются по информационной системе, образуя иерархию. Отметим, что контролируемые объекты могут иметь как системную, так и сетевую природу.