Ростелеком ТВ 

Программы для обнаружения атак. Система обнаружения сетевых атак нового поколения. IDS нового поколения

ОДНА ОГОВОРКА - вы должны понимать что интернет должен быть безлимитным! А то очень много денег уйдет!
ВТОРАЯ ОГОВОРКА - на один ваш ящик в компьютере должно быть свободного места не менее 3.5 Гигов на диске С, т.к. почтовик складирует почту именно туда

1. Для того чтобы скачать все сразу, необходимо иметь почтового клиента дома - это может быть встроенный в Винду Outlооk или The bat, или еще что-то
2. В самом ящике вы заходите в пунктик НАСТРОЙКИ, который находится в правом верхнем углу. Когда вы туда попали, нажимаете вкладку ПЕРЕСЫЛКА И РОР. Когда вкладка открылась, то поставьте галочку напротив пункта ВКЛЮЧИТЬ РОР ДЛЯ ВСЕХ ПИСЕМ. Сохраните изменения нажатием кнопки внизу
3. Теперь вам надо настроить свой почтовый клиент дома.

ПОКАЗЫВАЮ НАСТРОЙКИ НА ПРИМЕРЕ THE BAT!

1. Установите The bat!
2. Скопируйте кряк migel.thebat.2.xx.kgptch.exe в папку The bat! и запустите его там.
3. Пропишите в строке свое имя (английскими буквами) и нажимайте Patch и Apply Key
4. Закройте все и перезагрузите компьютер

СОЗДАЕМ ЯЩИК

1. Зайдите в «мой компьютер»
2. Выберите нужный диск, где почту хранить будете. Там должно быть как можно больше сво-бодного места
3.Откройте программу.
- создайте новый ящик (в верхней панели «ящик» - вкладка «новый почтовый ящик»)
- или скорректируйте тот, который создали при запуске программы. Щелкните по названию ящика правой кнопкой мыши и откройте его свойства

НАСТРОЙКА СВОЙСТВ ЯЩИКА

1. Первая страничка в принципе не важна

2. Открываем ТРАНСПОРТ.

Соединение в обоих случаях меняем на «безопасное», т.е. вместо 110 и 25 появятся ПОРТ 465 и 995.
На этой же страничке откройте вверху «аутентификация» - там должна стоять галочка в пункте «аутентификация SMTP».
В поле «SMTP-сервер» вписываем smtp.gmail.com. В поле «Почтовый сервер» вписываем pop.gmail.com.
В поле «Пользователь» вписываем полное название ящика вместе с @gmail.com.
Укажите пароль к ящику

3. Вкладка УПРАВЛЕНИЕ ПОЧТОЙ.

Галочка рядом с «Оставлять письма на сервере»

4. Вкладка ФАЙЛЫ И КАТАЛОГИ.

Там где «каталог почтового ящика» - укажите свой ящик, созданный ранее на диске для почты.
«Каталог для прикрепленных файлов» – тот же самый ящик.
Поставьте галочку чуть ниже – «Удалять прикрепленные файлы при удалении письма из корзины».

Нажмите ОК!

Нажмите в верхней панели письмо с голубой стрелкой для получения почты. Если такой панель-ки нет, то зайдите во вкладку на верхней панели ВИД, выберите «Панели инструментов». Рядом откроется три пункта. Поставь галочку рядом с «основной панелью»

________________________________________

СОХРАНЕНИЕ ПИСЕМ НА КОМП!!!

необходимо сохранять по одному письму.

Когда вы просматриваете письмо с вложениями, то внизу есть окошко с картинками. Так? Наводите курсорчик на пустое место в этом окошке и
нажимаете на правую кнопку мышки. Выбираете из раскрывшейся минюшки
СОХРАНИТЬ КАК. откроются ваши диски. Создаете папку, например ДИМ,а в
ней папку с номером сохраняемой схемы и туда все сохраняете. И так
далее.
Кажется сначала что тяжело, но это все довольно быстро.
По-другому никак, т.к. программа пакует файлы в своем формате

И еще. Один ящик в проге не может принимать более 2 ГБ.
Что вам нужно сделать, чтобы не было проблем?
Не копите в нем скаченную почту, а периодически сохраняйте себе на комп. Когда вы скачаете примерно половину трехгигового ящика, сохраните все на комп, чтобы ящик в проге остался пустым. Зайдите в папку, которую указали при установке программы для сохранения почты.В ней есть папки OUTBOX, INBOX и т.д. Откройте каждую папочку и увидите что в них по два файла. Смело удаляйте их (и ваш ящик снова обнулится и примет всю вашу остальную почту.

Начинающие пользователи – молодцы: мне нравится, что они смотрят на многие привычные компьютерные вещи нестандартным образом, взгляд на компьютер у них свежий, как говорится, «не замылен».

Недавно получила вопрос: «Как оставить бонус в памяти компьютера?». В контексте сообщения это означало

Рассмотрим 3 способа, как сохранять файлы на компьютер.

Эти способы могут быть применимы не только к файлам формата пдф, но и к другим форматам. Прежде чем сохранять, давайте попробуем открыть файл, ибо зачем сохранять на своем компьютере «кота в мешке»?

Начнем, что называется, от печки. С меню «Файл».

Что такое меню Файл

К основным операциям, которые можно делать с любым файлом, относятся:

  • создать (файл),
  • открыть (файл),
  • сохранить (файл),
  • сохранить (файл) как.

Эти опции, как правило, всегда присутствуют в любой программе, которая предназначена для работы с файлами. Например, текстовый редактор предназначен для работы с простыми текстовыми файлами.

Поэтому в Блокноте можно:

  • создать новый текстовый файл,
  • открыть уже существующий текстовый файл,
  • сохранить текстовый файл под старым именем на старом месте, либо
  • сохранить как – эта опция позволяет сохранить файл с новым или старым именем на новом или на старом месте.

Есть программы, предназначенные для работы с графическими файлами, аудио-, видео-файлами и т.п. И в каждой из этих программ можно создать файл, открыть и сохранить его на своем компьютере.

Для удобства пользователей такие общие для любых файлов опции, как

  • Создать,
  • Открыть,
  • Сохранить файл,

практически во всех программах находятся в меню Файл (или на английском языке для англоязычных программ: File).

Это меню расположено обычно в левом верхнем углу окна соответствующей программы (ниже цифра 1 на рис. 1).

Как открыть файл пдф

Чтобы открыть файл формата.pdf, надо кликнуть по значку файла 2 раза левой кнопкой мыши, после чего можно увидеть, какой программой на Вашем компьютере будет открыт этот файл.

Если при попытке открыть файл пдф Вы увидели абракадабру, то скорее всего это означает, что на Вашем компьютере НЕ установлена программа, которая умеет открывать формат пдф. В этом случае нужно установить на своем компьютере, например, бесплатную программу Adobe Reader с официального сайта, о чем подробнее смотрите

Способ 1. Сохраняем файл на компьютере с помощью меню Файл

Ниже на рис. 1 на первой строке видно:

  • маленький красный значок, который является значком программы Adobe Reader,
  • имя открытого файла («Основы работы на компьютере и в сети Интернет.pdf») и
  • название программы (Adobe Reader), которая распознала файл пдф как свою, «родную кровинушку», и поэтому корректно, правильно его открыла.

Рис. 1 Открываем файл формата.pdf (пдф) с помощью программы Adobe Reader, и там в меню File (Файл) ищем опцию Save As (Сохранить как)

  • Щелкаем по меню File(Файл) – цифра 1 на рис.1.
  • Откроется выпадающее меню, в котором кликаем по опции SaveAs (Сохранить как) – цифра 2 на рис.1.
  • Появляется новое окно «Сохранить как» (рис. 2):

Рис. 2 Выбираем папку для сохранения файла, можем изменить имя файла. Жмем на кнопку «Сохранить»

В окне, представленном на рис. 2, выбираем место на своем компьютере, где нужно сохранить файл:

  • это может быть Рабочий стол (цифра 1 на рис. 2),
  • либо какая-то папка, которую можно найти в левой колонке окна на рис. 2,
  • либо можно создать Новую папку, например, на Рабочем столе, кликнув по кнопке 2 на рис. 2.

Кроме места для сохранения файла, важно также понимать, под каким именем этот файл будет сохранен (дабы впоследствии вспомнить: «А что это было? И зачем мне это было нужно?»):

  • можно оставить старое имя (цифра 3 на рис. 2),
  • либо ввести новое имя, кликнув мышкой в поле 3 на рис. 2,
  • поле «Тип файла» оставляем, как есть, изменять данные в этом поле не нужно – .pdf.

Запомнив имя файла и место, которое выбрано для его сохранения, смело жмем на кнопку «Сохранить» – цифра 4 на рис. 2. Для перестраховки теперь можно найти и проверить на своем компьютере наличие нового файла пдф в указанном при его сохранении месте.

Способ 2. Сохраняем файл на компьютере с помощью ПКМ

ПКМ – сокращение от «Правая Кнопка Мыши».

Щелчок правой кнопкой мыши (ПКМ) открывает контекстное меню, которое содержит список всех опций, которые можно сделать.

Если по e-mail Вы получили письмо с и хотите сохранить этот файл на компьютере, тогда:

  • открываем письмо,
  • находим значок с прикрепленным файлом (как правило, это значок скрепки),
  • кликаем по значку скрепки правой кнопкой мыши (ПКМ) – цифра 1 на рис.3:

Рис. 3 Прикрепленный к письму файл сохраняем на своем компьютере с помощью ПКМ (правой кнопкой мыши)

Откроется контекстное меню, в котором надо щелкнуть по опции «Сохранить как…» – цифра 2 на рис. 3.

Способ 3. Используем кнопку Скачать, чтобы сохранить файл из почты

На рис. 3 кнопка «Скачать» выделена цифрой 3. В разных почтах кнопка «Скачать» может иметь разный вид. Некоторые варианты этой кнопки рассмотрим ниже.

В конце письма может быть мини-картинка прикрепленного файла. Почтовые сервисы Яндекса, Гугла, Майл ру и др. старались все сделать так, чтобы было интуитивно понятно любому пользователю, в том числе, начинающему.

Сохраняем файл пдф из почты Gmail (Гугл)

В Гугле (электронная почта gmail.com) прикрепленный к письму файл может иметь вид мини-картинки, как на рис. 4 ниже:

Рис. 4 Сохраняем файл, прикрепленный к письму, в электронной почте Gmail.com

Наводим (просто подводим) курсор мыши на мини-картинку и сразу становятся активными кнопки:

  • Скачать – цифра 1 на рис. 4,
  • Сохранить на Яндекс.Диске – цифра 2 на рис. 4 (если у Вас нет Яндекс.Диска, то такой кнопки не будет).

Кликаем по кнопке «Скачать», появится окно «Сохранить как» (рис. 2), выбираем место на компьютере, имя файла и сохраняем файл пдф на своем ПК (персональный компьютер).

Сохраняем файл пдф из почты Mail.ru (Майл ру)

Рис. 5 Сохраняем файл, прикрепленный к письму, в электронной почте Mail.ru

В почте Майл ру (mail.ru) находим в конце письма прикрепленный файл, кликаем по кнопке «Скачать» (цифра 2 на рис. 5). Появится окно «Сохранить как» (рис. 2), в котором выбираем нужные параметры и сохраняем файл пдф на своем ПК.

Сохраняем файл пдф из почты Yandex.ru (Яндекс)

Рис. 6 Сохраняем файл, прикрепленный к письму, в электронной почте Yandex.ru

В почте Яндекса кликаем по кнопке «Скачать» (цифра 1 на рис. 6), откроется окно «Сохранить как» (рис. 2), выбираем папку на своем ПК, проверяем имя файла и жмем на кнопку «Сохранить».

Как видно из приведенных картинок на рис. 4, 5, 6, в разных почтах действует один и тот же принцип для того, чтобы сохранить файл на своем ПК, который прислали по почте. Принцип состоит в том, чтобы

.
Уже более 3.000 подписчиков .

Системы обнаружения сетевых атак

Обзор систем обнаружения сетевых атак включает в себя описание наиболее популярных коммерческих и свободно распространяемых СОА. Каждая из систем рассматривается по следующим основным показателям:

Архитектура СОА - структура системы, описание ее составных частей, а также методов взаимодействия между ними;

Характеристики программно-аппаратной платформы, на основе которой функционирует СОА;

Функциональные возможности СОА в части выявления и предотвращения информационных атак;

Ключевые особенности и отличия от других продуктов, представленных на отечественном рынке информационной безопасности.

1. Система «Radware DefensePro»

СОА «Radware DefensePro» разработана компанией Radware и представляет собой программно-аппаратный комплекс, предназначенный для защиты от сетевых атак. В состав СОА входят датчики, устанавливаемые в разрыв каналов связи АС, а также программа управления, которая устанавливается на АРМ администратора безопасности. Датчики СОА

Рис. 1 Логическая структура датчика системы Radware DefensePro

реализованы в виде специализированных аппаратных блоков (так называемых «appliance»), которые состоят из следующих компонентов (рис. 6.1):

Сетевые процессоры, выполняющие функции коммутации пакетов данных, управления полосой пропускания и фильтрации данных. В одном датчике может быть установлено одновременно несколько процессоров;

Аппаратный акселератор «StringMatch Engine», предназначенный для сигнатурного анализа пакетов данных на основе метода контекстного поиска. Данный акселератор состоит из восьми специализированных микросхем ASIC, которые позволяют осуществлять параллельный строковый поиск более 250 тысяч сигнатур;

Шина данных, обеспечивающая функции приема и отправки пакетов данных по сети. Общая пропускная способность шины составляет 44 Гбит/с, в рамках которых можно подключать один 10-Гигабитный интерфейс, семь 1-Гигабитных интерфейсов и 16 интерфейсов типа Fast Ethernet;

Центральный RISC-процессор Power PC производства компании Motorola, который предназначен для управления работой аппаратного акселератора «StringMatch Engine» сетевых процессоров. Управление датчиками Radware DefensePro может осуществляться локально при помощи интерфейса командной строки или удаленно при помощи Web-интерфейса, протоколов telnet или SSH, а также протоколов управления SNMP. Одна консоль управления может взаимодействовать одновременно с несколькими датчиками СОА Radware.

Кроме функций обнаружения и предотвращения атак СОА может использоваться для распределения нагрузки (load balancing), управления полосой пропускания (traffic shaping) на основе механизмов качества обслуживания Quality of service (QoS) и мониторинга сетевых информационных потоков. Система Radware DefensePro также может эффективно применяться для защиты от распределенных атак класса «отказ в обслуживании» за счет того, что может корректно обрабатывать потоки SYN-запросов, поступающие со скоростью более чем 1 млн/с.

СОА реализует сигнатурный и поведенческий методы выявления сетевых атак, которые работают в реальном масштабе времени. Сигнатурный метод базируется на поиске определенных строковых выражений в обрабатываемых пакетах данных. Каждая сигнатура имеет один из трех уровней приоритета - низкий, средний или высокий. База данных сигнатур может регулярно обновляться через Интернет-сайт производителя. Кроме того, администратор безопасности может самостоятельно добавить новую сигнатуру атаки при помощи имеющихся интерфейсов системы. Поведенческий метод позволяет обнаруживать известные и новые типы атак путем выявления аномалий в пакетах. СОА также позволяет выявлять попытки маскирования несанкционированных действий путем обхода механизмов обнаружения.

В случае выявления атаки система позволяет выполнить произвольный набор из следующих методов реагирования:

Заблокировать пакет данных, в котором была найдена определенная сигнатура атаки;

Пропустить пакет данных, в котором была обнаружена сигнатура;

Записать информацию о выявленной атаке в журнал аудита;

Сформировать SNMP-trap сообщение об атаке и отправить его по заданному адресу;

Отослать сообщение об обнаруженной атаке по электронной почте;

Вывести сообщение об атаке на локальный терминал;

Передать сообщение о выявленной атаке серверу службы Syslog. СОА поддерживает два режима работы - активный и пассивный.

В пассивном режиме датчики системы анализируют весь проходящий через них трафик, но при этом не блокируют пакеты данных. Данный режим позволяет произвести настройку параметров СОА и адаптировать ее к особенностям защищаемой АС. Активный режим предоставляет возможность блокировать потенциально опасные пакеты и тем самым предотвращать сетевые атаки.

В СОА Radware DefensePro реализована поддержка многопользовательского режима, который позволяет работать с системой одновременно нескольким администраторам. При этом система позволяет разграничить права доступа администраторов на уровне различных датчиков.

В процессе работы системы ведется детализированный журнал аудита, в котором регистрируется следующая информация:

Дата и время выявленной атаки;

Имя и общее описание выявленной атаки. Все обнаруженные атаки могут быть автоматически отнесены к одной из следующих категорий:

сетевая аномалия, попытка сканирования, вторжение или атака типа «отказ в обслуживании»;

IP-адрес источника и объекта выявленной атаки;

Номера портов TCP и UDP-пакетов, в которых были выявлены признаки сетевых атак;

Количество пакетов, которые были выявлены в рамках сетевой атаки;

Статус сетевой атаки - начальная стадия, стадия реализация и атака уже была проведена;

Параметры методов реагирования, которые были применены в результате выявления атаки.

Система оснащена развитыми средствами генерации графических и текстовых отчетов на основе параметров, задаваемых администратором безопасности. В Radware DefensePro предусмотрено несколько встроенных шаблонов, на основе которых оператор может создавать готовые отчетные документы.

Отличительной особенностью системы Radware DefensePro является возможность выявления атак в высокоскоростных каналах связи, пропускная способность которых составляет несколько Гбит/с.

2. Система «ISS RealSecure»

Система «RealSecure» разработана компанией Internet Security Systems (в 2006 г. компания ISS была куплена корпорацией IBM и в настоящее время продукты RealSecure и Proventia продвигаются на рынке уже под маркой IBM). Система включает в себя следующие компоненты:



Сетевые сенсоры, предназначенные для выявления сетевых атак в заданном сетевом сегменте. Сетевой сенсор устанавливается на выделенный компьютер, который подключается к защищаемому сегменту АС при помощи концентратора или SPAN-порта коммутатора.

Серверные сенсоры, обеспечивающие защиту определенных хостов в АС. Сенсор данного типа представляет собой программный модуль, который устанавливается на защищаемый компьютер. Серверные сенсоры могут использоваться для защиты хостов, функционирующих под управлением разных операционных систем.

Консоль управления SiteProtector, предназначенную для просмотра результатов работы системы и управления параметрами ее функционирования. Консоль администратора взаимодействует только с сервером приложений СОА.

Базу данных, которая содержит информацию обо всех выявленных атаках. База данных реализуется на основе СУБД Microsoft SQL Server.

Сервер приложений, предоставляющий доступ консоли администратора к функциям управления сенсорами и просмотра содержимого базы данных.

Менеджер событий (Event Collector), обеспечивающий запись информации, генерируемой сенсорами в базу данных событий. В целях повышения отказоустойчивости в АС может одновременно использоваться два менеджера событий, которые дублируют друг друга на случай нарушения работоспособности одного из них.

На одном компьютере может быть установлено одновременно несколько компонентов. Так, например, на одном узле может размещаться консоль администратора, а также база данных активов и событий. Общая схема взаимодействия компонентов, входящих в состав СОА «Realsecure», показана на рис. 2.

Сетевые сенсоры СОА «RealSecure» являются пассивными и выполняют функции регистрации атак с возможным последующим реагированием на них. Серверные же сенсоры позволяют не только выявить, но и предотвратить обнаруженную атаку посредством фильтрации потенциально опасных пакетов данных.

Параметры работы сетевых и серверных сенсоров определяются при помощи политик безопасности. Каждая политика безопасности включает в себя определенный набор сигнатур, позволяющих сенсору обнаруживать атаки нарушителя на основе контекстного поиска информации. Все сигнатуры системы сгруппированы в различные категории, что значительно упрощает работу с ними. В системе «RealSecure» не предусмотрено встроенного языка для создания собственных сигнатур, однако вместо этого в состав поставки СОА включен программный модуль TRONS, позволяющий импортировать сигнатуры программного продукта «Snort», который будет рассмотрен далее. СОА также поддерживает возможность удаленного обновления базы данных сигнатур атак с Web-сайта производителя системы. Сигнатуры атак для системы «RealSecure» разрабатываются специализированной лабораторией X-Force, входящей в состав компании ISS. В случае выявления атаки датчик СОА может выполнить один или несколько методов реагирования, описание которых приведено в табл. 1

Рис. 2. Архитектура СОА «RealSecure»

Табл. 1. Описание методов реагирования СОА «RealSecure»

Метод реагирования Описание метода реагирования
BANNER Метод посылает нарушителю предупреждающее текстовое сообщение, которое определяется администратором СОА
BLOCK Метод позволяет блокировать (отфильтровывать) трафик, поступающий от узла, с которого была зафиксирована атака
DISABLE Метод позволяет блокировать учетную запись пользователя, действия которого привели к срабатыванию сигнатуры атаки
DISPLAY Метод отображает на консоли управления информацию о событии, обнаруженном в результате срабатывания сигнатуры
E-MAIL Метод оповещает по электронной почте администратора безопасности о событии, обнаруженном в результате срабатывания сигнатуры
LOGDB Метод записывает в базу данных информацию о событии, обнаруженном в результате срабатывания сигнатуры
SECURE-LOGIC Метод позволяет запускать заданную программу, написанную на специальном сценарном языке TCL. Интерпретатор этого языка интегрирован в СОА «RealSecure»
SNMP Метод предназначен для посылки управляющих SNMP-trap-сообщений по указанному IP-адресу
SUSPEND Временно блокирует учетную запись пользователя, действия которого вызвали срабатывание сигнатуры. Время блокирования задается оператором
USER SPECIFIED Метод позволяет запустить произвольную программу с указанными параметрами вызова

Просмотр результатов работы СОА, а также управление параметрами функционирования системы осуществляется при помощи консоли администратора. По умолчанию интерфейс консоли администратора разделен на несколько разделов, каждый из которых отображает определенный тип информации. Помимо информации о выявленных атаках на консоли также отображаются данные о текущих настройках системы, а также о статусе работы компонент СОА. Консоль администратора СОА «RealSecure» может использоваться для управления другими средствами защиты производства компании ISS.

В консоли администратора предусмотрена возможность создания текстовых и графических отчетов по результатам работы СОА. Сформированные отчеты могут экспортироваться в файлы формата PDF, Word, RTF и др. Администратор также имеет возможность задавать свой формат отчетов на основе шаблонов Crystal Reports.

В СОА реализован режим многопользовательской работы администраторов с возможностью ролевого разграничения прав доступа. Так, например, в одной системе один администратор может обладать исключительно правами просмотра результатов работы, в то время как другой пользователь может дополнительно иметь права на управление сенсорами СОА. При этом действия всех пользователей регистрируются в журнале регистрации системы.

3. Система «ISS Proventia»

Система «Proventia» разработана компанией Internet Security Systems на основе программного продукта «RealSecure» и также предназначена для защиты от сетевых атак. Данная система представляет собой программно-аппаратный комплекс, который устанавливается в разрыв канала связи и позволяет блокировать вредоносные пакеты данных. Основным отличием СОА «Proventia» от системы «RealSecure», рассмотренной выше, является возможность не только выявлять, но и предотвращать атаки на уровне сети.

Система может иметь от двух до восьми сетевых интерфейсов и обрабатывать сетевой трафик, поступающий со скоростью до 2 Гбит/с. После установки система «Proventia» может функционировать в двух основных режимах:

Режиме пассивного мониторинга, в котором СОА проводит анализ проходящих через нее пакетов данных, не осуществляя при этом блокирования несанкционированного трафика. Данный режим используется на этапе обучения системы;

Режиме защиты, который позволяет функционировать СОА в качестве межсетевого экрана и блокировать выявленные сетевые атаки.

Для обнаружения атак СОА «Proventia» использует сигнатурные методы, которые основаны на механизмах, реализованных в описанной выше системе «RealSecure». Система поддерживает возможность удаленного обновления сигнатур при помощи службы X-Force. Управление СОА может осуществляться при помощи локальной консоли командной строки, Web-интерфейса по протоколу SSL или средствами консоли SiteProtector.

СОА «Proventia» реализует фирменную технологию компании ISS, которая получила название «Виртуальный модуль обновления ПО» (Virtual patch). В данном случае под виртуальным модулем обновления подразумевается совокупность настроек СОА, позволяющих обеспечить защиту АС от атак до того момента времени, когда в АС будет установлено реальное обновление ПО (patch, hotfix и т.д.), устраняющее уязвимости системы. Фактически технология обеспечивает блокирование попыток злоумышленников использовать уязвимости, которые не были исправлены при помощи соответствующих обновлений ПО.

Система «Proventia» поддерживает следующие основные виды пассивного и активного реагирования на атаки:

Оповещение администратора безопасности о выявленной атаке по электронной почте. СОА позволяет задать адрес сервера, через который должны отправляться почтовые сообщения, а также состав направляемой администратору информации;

Запись в базу данных содержимого пакета данных, который вызвал срабатывание сигнатуры атаки;

Помещение определенного узла АС в карантинную зону. Данный метод реагирования позволяет изолировать компьютеры, которые являются источником или объектом атаки;

Генерация SNMP-сообщений, содержащих заданную информацию о выявленных сетевых атаках;

запуск программы, определенной администратором безопасности. Отличительной особенностью СОА «Proventia» является возможность работы в АС высокой доступности (high availability), которые предусматривают резервирование всех узлов системы. В этом случае в АС устанавливаются два программно-аппаратных блока СОА, которые дублируют друг друга в случае возникновения сбоя (рис. 3). Некоторые модели семейства «Proventia» в дополнение к функциям выявления атак также включают средства защиты от компьютерных вирусов и спама.

Рис. 3 Схема установки СОА в системе высокой доступности

4. Система «Juniper Networks IDP»

Система «IDP» разработана компанией Juniper Networks и предназначена для выявления и предотвращения сетевых атак (ранее данная система выпускалась компанией NetScreen). COA «IDP» имеет трехуровневую архитектуру и включает в себя следующие компоненты:

Сенсоры «IDP», которые предназначены для защиты тех сегментов АС, в которых они установлены; представляют собой стоечные программно-аппаратные блоки, которые могут устанавливаться в разрыв канала связи или подключаться к SPAN-порту коммутатора;

Сервер управления «IDP», выполняющий функции хранения служебной информации, а также управления сенсорами СОА;

Консоль администратора, предназначенная для управления СОА.

В зависимости от модификации СОА позволяет обрабатывать трафик, поступающий со скоростью от 50 Мбит/с до 1 Гбит/с. Также как и ранее рассмотренные СОА система «IDP» может функционировать в пассивном и активном режимах. При размещении СОА в разрыв канала связи администратор может настроить сенсор системы в качестве моста или маршрутизатора. В первом случае установка сенсора не потребует внесения каких-либо дополнительных изменений в настройку коммуникационного оборудования АС, что делает его «невидимым» для хостов системы. Установка СОА в качестве маршрутизатора повлечет за собой необходимость изменения схемы IP-адресации в АС. Выбор того или иного варианта установки определяется в зависимости от топологии АС.

Для выявления атак СОА использует экспертную систему, включающую в себя базу данных правил, на основе которых осуществляется обнаружение вторжений в АС. СОА предусматривает наличие следующих типов правил:

Правила, предназначенные для выявления известных типов атак на основе сигнатур. В СОА предусмотрен встроенный язык, позволяющий администратору создавать собственные сигнатуры. Данный язык базируется на регулярных выражениях языка Perl.

Правила, обеспечивающие возможность выявления аномалий в сетевых протоколах. В данном случае в качестве аномалии понимается несоответствие формата пакета данных требованиям, описанным в стандартах RFC или других спецификаций. СОА поддерживает возможность выявления аномалий в более чем шестидесяти видов протоколов.

Правила, позволяющие выявлять наличие в АС вредоносного ПО типа «троянский конь». Правила данного типа используют эвристические алгоритмы выявления интерактивного сетевого взаимодействия, которое может являться признаком наличия троянского кода.

Правила, которые используются для выявления попыток сканирования портов АС.

Правила, предназначенные для выявления атак класса «IP spoofing», направленных на подмену реального IP-адреса отправителя пакета данных.

Правила, позволяющие выявить атаки класса «отказ в обслуживании», которые реализуются посредством посылки большого количества SYN-запросов на установление ТСР-соединений.

Правила для выявления атак, реализующихся на втором уровне стека TCP/IP. Большая часть данных атак связана с протоколом ARP и направлена на несанкционированный перехват передаваемой по сети информации.

Правила, обеспечивающие возможность создания ложных целей для атаки, тем самым выявляя потенциальных нарушителей АС.

В СОА имеются встроенные типовые шаблоны правил, которые могут быть использованы в качестве основы для формирования политики защиты Web-сервера, почтового сервера, файлового сервера и других объектов АС. В случае выявления атаки СОА имеет возможность выполнить как пассивные, так и активные методы реагирования. К активным методам относится блокирование вредоносного пакета данных, а также закрытие TCP-соединения. Пассивные методы реагирования включают в себя:

Оповещение администратора безопасности по электронной почте;

Генерация SNMP-trap-сообщений для систем управления;

Формирование и отсылка сообщения об атаке по протоколу Syslog;

Запуск заданной программы;

Запись в базу данных содержимого пакетов данных, в которых были выявлены признаки наличия атаки.

Сенсоры СОА «IDP» могут объединяться в единый кластер, который может использоваться для повышения отказоустойчивости работы системы, а также для распределения нагрузки между сенсорами. В случае, если будет нарушена работоспособность одного из сенсоров, то пакеты данных будут автоматически перенаправлены на другой сенсор кластера. Для выявления подобных сбоев все сенсоры одного кластера обмениваются между собой служебной информацией, на основе которой определяется текущий статус работы устройства. При этом в один кластер могут объединяться от двух до шестнадцати сенсоров.

Сервер управления СОА функционирует под управлением ОС Sun Solaris 8/9 (для платформы SPARC), а также Linux RedHat 7.2, 8 или RedHat Enterprise Linux 3.0 (для платформы Intel). Сервер обеспечивает централизованное хранение конфигурационных параметров СОА, а также информации, поступающей от сенсоров «IDP». Для взаимодействия сервера управления с сенсорами «IDP» используется специализированный криптографически защищенный протокол, созданный на основе модифицированного варианта UDP. Для хранения результатов работы СОА на сервере применяется специализированная СУБД собственного производства. Система поддерживает возможность многопользовательской работы, однако одновременно в системе может работать только один администратор.

Для управления СОА используется консоль администратора, реализованная в виде Java-приложения. Консоль администратора позволяет гибко настраивать параметры просмотра результатов работы СОА. Консоль также оснащена возможностью генерации отчетов по результатам работы СОА на основе заданного множества шаблонов.

5. Система «Cisco IDP 4200»

Системы «Cisco IDP» серии 4200 разработаны компанией Cisco Systems и предназначены для выявления и блокирования сетевых атак. СОА данного типа реализованы в виде специализированных стоечных устройств, которые могут устанавливаться в разрыв канала связи или подключаться к SPAN-порту коммутатора. Компания Cisco также поставляет специализированные модули СОА, которые могут быть установлены в коммутаторы Catalyst 6500. В общем случае системы «Cisco IDP» включают в себя компоненты двух типов - сенсоры, предназначенные для защиты от атак посредством анализа сетевого трафика, и консоль управления администратора безопасности.

Сенсоры «Cisco IDP» могут функционировать в пассивном или активном режимах и обрабатывать пакеты данных, поступающие со скоростью до 1 Гбит/с. Для выявления атак СОА используют сигнатурные методы. Отличительной особенностью сенсоров является наличие встроенного механизма корреляции событий безопасности Meta Event Generator (MEG). Данный механизм позволяет проводить автоматизированный анализ событий безопасности, регистрируемых сенсорами СОА, с целью генерации мета-событий. Так, например, если в АС в течение трех секунд будет зарегистрировано пять определенных событий, связанных с использованием уязвимостей Web-сервера Microsoft IIS, то сенсор сможет сгенерировать мета-событие, указывающее на несанкционированную активность Интернет-червя Nimda (рис. 4). Использование механизма MEG позволяет значительно упростить процесс анализа информации, которая собирается сенсорами СОА «Cisco IDP».

Управление СОА «Cisco IDP» может осуществляться при помощи одного из следующих способов:

На основе интерфейса командной строки CLI, который может использоваться удаленно при помощи протокола SSH или локально посредством подключения клавиатуры и монитора непосредственно к сенсору. Интерфейс командной строки аналогичен интерфейсам локального управления другими устройствами компании Cisco, базирующимися на ОС Cisco IOS.

При помощи консоли IPS Device Manager, реализованной в виде Java-приложения, которое хранится непосредственно на сенсоре. Доступ к этой консоли может осуществляться при помощи любого Интернет-браузера на основе криптопротокола TLS. Данная консоль позволяет одновременно управлять только одним сенсором и, как правило, используется для внесения оперативных изменений в один из сенсоров СОА.

Рис. 4 Пример корреляции событий безопасности на основе механизма MEG

Посредством системы управления CiscoWorks VMS, которая обеспечивает возможность централизованного управления и мониторинга различных средств защиты компании Cisco, включая СОА, межсетевые экраны, средства построения виртуальных частных сетей VPN и т. д. Для применения CiscoWorks VMS требуется наличие выделенного сервера управления, выполняющего функции хранения конфигурационной информации и результатов работы СОА.

В случае выявления атаки СОА может выполнить один из следующих методов реагирования:

Заблокировать пакеты данных, в которых были обнаружены признаки информационной атаки;

Модифицировать содержимое пакета данных, в котором была выявлена атака;

Закрыть TCP-соединение, в котором была выявлена атака;

Оповестить администратора безопасности о выявленной атаке посредством посылки сообщения на консоль или генерации SNMP-trap-сообщения.

Каждому событию, связанному с выявлением атаки, СОА присваивает определенный уровень риска, на основе которого выбирается подходящий метод реагирования. Значение риска рассчитывается на основе четырех основных параметров:

Коэффициент опасности события (Alert Severity Rating). Данный параметр определяет уровень приоритета событий на основе потенциального ущерба, который может быть нанесен АС в результате успешного завершения обнаруженной атаки. В соответствии с этим параметром событие может классифицироваться по четырем основным категориям: информационные, а также события с низким, средним или высоким уровнем приоритета. Значение коэффициента опасности может редактироваться администратором безопасности.

Коэффициент точности сигнатуры атаки (Signature Fidelity Rating), который определяет степень применимости сигнатуры к действующему окружению АС. Так, например, если атака направлена на использование уязвимости, которая отсутствует в АС, то коэффициент точности ее сигнатуры будет стремиться к нулю. Значение данного коэффициента устанавливается администратором безопасности.

Коэффициент релевантности атаки (Attack Relevancy Rating), являющийся внутренним параметром, который автоматически корректируется СОА по результатам своей работы. В процессе функционирования СОА получает дополнительные данные о характере сетевого трафика, циркулирующего в АС, на основе которых вносятся изменения к текущее значение коэффициента релевантности.

Коэффициент оценки узлов AC (Target Value Rating), который используется для определения уровня критичности того или иного узла системы. При помощи этого коэффициента администратор может регулировать значение риска с учетом того, какой узел является объектом для атаки. Так, например, если нападению подвергся сервер, обслуживающий критические бизнес-процессы компании, то такая атака должна иметь высокий уровень риска. И, наоборот, если злоумышленник атакует файловый сервер, на котором отсутствует значимая для компании информация, то такое вторжение должно иметь низкий уровень риска.

Для обработки информации о выявленных атаках на уровне консоли администратора используется специализированный программный модуль MARS (Monitoring, Analysis & Response System), который позволяет генерировать отчеты и проводить корреляционный анализ событий безопасности.

6. Система «Symantec SNS 7100»

Системы «SNS» (Symantec Network Security) серии 7100 разработаны компанией Symantec и предназначены для выявления и предотвращения атак на уровне сети. СОА состоит из консоли администратора и сенсоров, которые реализуются в виде стоечных программно-аппаратных блоков, функционирующих в пассивном или активном режимах. В первом случае, сенсоры СОА подключаются к SPAN-порту коммутатора, а во втором - устанавливаются в разрыв канала связи АС. Сенсоры имеют возможность обрабатывать трафик, поступающий со скоростью до 1 Гбит/с.

СОА оснащена подсистемой собственной безопасности, которая обеспечивает аутентификацию администратора при доступе к консоли управления, а также криптографическую защиту всей служебной информации, передаваемой между сенсорами и консолью. Для шифрования передаваемых данных используется криптоалгоритм AES.

Для выявления атак СОА может использовать сигнатурные методы, а также методы выявления аномалий в сетевых протоколах. СОА предоставляет администратору возможность создавать свои собственные сигнатуры на основе специализированного языка.

Для обновления сигнатурных баз данных СОА использует механизм «LiveUpdate», который также применяется в антивирусных продуктах компании Symantec. После выявления атаки СОА может выполнить активные или пассивные методы реагирования, аналогичные способам, которые были рассмотрены ранее.

Консоль управления СОА «SNS» поддерживает возможность многопользовательской работы. При этом можно выделить следующие группы пользователей:

Суперпользователи (SuperUsers) - администраторы, которые имеют абсолютные права по управлению параметрами работы СОА, созданию учетных записей пользователей и т. д.;

Администраторы (Administrators) - администраторы, которые имеют ограниченные права по изменению определенных параметров функционирования СОА;

Стандартные пользователи (StandardUsers) - категория пользователей, имеющих права на просмотр всей информации, к которой можно получить доступ посредством консоли администратора;

Ограниченные пользователи (RestrictedUsers) - пользователи, которые имеют ограниченный доступ к просмотру информации через консоль администратора.

Для хранения служебной информации в СОА «SNS» используются следующие типы баз данных:

Топологическая база данных, в которой содержится информация о конфигурации защищаемой АС;

База данных политик безопасности, содержащая параметры сигнатур, на основе которых осуществляется выявление сетевых атак;

База данных правил реагирования на выявляемые сетевые атаки;

Конфигурационная база данных, содержащая информацию о правах доступа суперпользователей и администраторов СОА;

База данных событий и инцидентов, в которой хранится информация обо всех выявленных сетевых атаках.

Сенсоры СОА могут объединяться в отказоустойчивые группы (failover groups) в целях обеспечения бесперебойной работы системы. Все сенсоры, входящие в такую группу, обрабатывают один и тот же трафик, однако только один из сенсоров выполняет методы реагирования на выявленные атаки. В случае нарушения работоспособности основного сенсора группы его автоматически заменяет резервный сенсор.

СОА позволяет объединять несколько сенсоров в один логический кластер с целью выполнения корреляционного анализа событий, которые поступают от различных сенсоров. Так, например, в случае обнаружения распределенной атаки «отказ в обслуживании» СОА имеет возможность определить источник вторжения на основе результатов работы всех сенсоров, входящих в один кластер.

Консоль администратора СОА оснащена гибкой системой фильтрации информации о событиях, связанных с выявленными атаками, а также средствами генерации текстовых и графических отчетов.

7. Система «Snort»

Система «Snort» является некоммерческим программным продуктом, распространяемым по лицензии GNU GPL вместе с исходными тестами. Несмотря на статус некоммерческого ПО система «Snort» используется в ряде российских компаний в качестве базового средства выявления сетевых атак.

Система «Snort» может функционировать в трех режимах:

Анализа пакетов данных (sniffer mode);

Регистрации пакетов данных в журнал аудита (packet logger mode);

Обнаружения атак (intrusion detection).

В режиме анализа пакетов данных система «Snort» перехватывает пакеты данных, передаваемые по сети, и выводит их содержимое на экран. Запуск СОА «Snort» в режиме регистрации пакетов данных позволяет записывать заголовки и поля передаваемых пакетов данных в журналы регистрации, представленные в виде текстовых файлов. Третий режим работы СОА «Snort» - режим обнаружения атак нарушителя - является основным и предназначен для выявления вторжений путем анализа содержимого передаваемых пакетов данных. Для выявления атак СОА применяет сигнатурный метод контекстного поиска. Результаты работы системы могут записываться в текстовый файл или регистрироваться в СУБД MySql.

СОА «Snort» не является функционально-замкнутой системой и может расширяться за счет подключаемых программных модулей, которые получили название препроцессоров. По умолчанию в состав СОА входят следующие препроцессоры:

«http_inspect» - данный препроцессор предназначен для выявления аномалий в содержимом передаваемых HTTP-запросов;

Препроцессор «portscan detector», позволяющий обнаруживать попытки сканирования портов хостов АС;

«frag2» - препроцессор, позволяющий выполнять дефрагментацию IP-дейтаграмм. Выполнение этой процедуры позволяет выявлять атаки типа «отказ в обслуживании», которые реализуются на основе неправильным образом дефрагментированных IР-дейтаграмм;

Препроцессор «spade», позволяющий обнаруживать атаки на основе статистического анализа;

Препроцессор «stream4», предназначенный для выполнение анализа TCP-сессий и выявлять несанкционированные пакеты, которые нарушают алгоритм установления ТСР-соединения;

«arpspoof» представляет собой препроцессор, позволяющий выявлять сетевые атаки, которые реализуются на основе уязвимостей протокола ARP;

Препроцессор «rpc_decode», который используется для обработки команд, передаваемых по протоколу RPC;

«bo» - препроцессор, предназначенный для выявления несанкционированной сетевой активности, связанной с работой вредоносного ПО «Back Orifice».

Система «Snort» может устанавливаться в разрыв канала связи или подключаться к SPAN-порту коммутатора. В состав СОА «Snort» не входят средства удаленного управления, поэтому единственным способом изменения параметров работы системы является интерфейс командной строки. В системе также не предусмотрены штатные средства для генерации отчетов по результатам работы СОА.

Первые системы, позволявшие выявлять подозрительную сетевую активность в корпоративных интрасетях, появились без малого 30 лет назад. Можно вспомнить, например, систему MIDAS, разработанную в 1988 году. Однако это был скорее прототип.

Препятствием к созданию полноценных систем данного класса долгое время была слабая вычислительная мощность массовых компьютерных платформ, и по-настоящему работающие решения были представлены лишь спустя 10 лет. Несколько позже на рынок вышли первые коммерческие образцы систем обнаружения вторжений (СОВ, или IDS — Intrusion Detection Systems)…

На сегодня задача обнаружения сетевых атак — одна из важнейших. Ее значимость возросла ввиду усложнения как методов атак, так и топологии и состава современных интрасетей. Если прежде для выполнения успешной атаки злоумышленникам было достаточно использовать известный стек эксплойтов, теперь они прибегают к гораздо более изощренным методам, соревнуясь в квалификации со специалистами на стороне защиты.

Современные требования к IDS

Системы обнаружения вторжений, зарегистрированные в реестре российского программного обеспечения, в большинстве своем используют сигнатурные методы. Либо заявляют определение аномалий, но аналитика, как максимум, оперирует данными не детальнее типа протокола. «Плутон» же основан на глубоком анализе пакетов с определением программного обеспечения. «Плутон» накладывает данные пришедшего пакета на специфику данных хоста — более точная и гибкая аналитика.

Ранее поверхностный анализ и сигнатурные методы успешно выполняли свои функции (тогда злоумышленники пытались эксплуатировать уже известные уязвимости ПО). Но в современных условиях атаки могут быть растянуты во времени (так называемые APT), когда их трафик маскируется путем шифрования и обфускации (запутывания), тогда сигнатурные методы малоэффективны. Кроме того, современные атаки используют различные способы обхода IDS.

В результате трудозатраты на конфигурирование и поддержку традиционных систем обнаружения вторжений могут превысить разумные пределы, и зачастую бизнес приходит к выводу, что такое занятие — только лишняя трата ресурсов. В результате IDS существует формально, выполняя лишь задачу присутствия, а информационные системы предприятия остаются по-прежнему беззащитными. Такая ситуация чревата еще большими потерями.

IDS нового поколения

СОВ ПАК «Плутон», разработанный компанией «Инфосистемы Джет» — это высокопроизводительный комплекс нового поколения для обнаружения сетевых атак. В отличие от традиционных IDS «Плутон» сочетает в себе одновременный анализ сетевых пакетов сигнатурным и эвристическим методами с сохранением данных окружения, предоставляет глубокую аналитику и расширение набора данных для расследования. Передовые методы определения потенциальных угроз, которые дополняются ретроспективными данными о сетевом окружении, трафике, а также логами системы, делают «Плутон» важным элементом системы защиты информации предприятия. Система способна выявлять признаки компьютерных атак и аномалий в поведении узлов сети в каналах связи пропускной способностью более 1 Гбит/с.

Помимо обнаружения признаков компьютерных атак на информационные системы «Плутон» обеспечивает серьезную защиту собственных компонентов, а также защиту каналов связи: в случае отказа оборудования соединение не будет прервано. Все компоненты «Плутон» функционируют в замкнутой программной среде — это делает невозможным запуск стороннего программного кода и служит дополнительной гарантией от заражения вредоносной программой. Поэтому можно быть уверенным, что «Плутон» не станет для злоумышленников «окном» в вашу сеть и не превратится в «головную боль» для сетевиков и безопасников.

«Плутон» тщательно следит за своим «здоровьем», контролируя целостность конфигурации компонентов системы, данных о собранных сетевых событиях информационной безопасности и сетевом трафике. Тем самым обеспечивается корректность функционирования компонентов системы и, соответственно, стабильность ее работы. А применение специальных сетевых плат в составе компонентов решения позволяет исключить разрыв каналов связи даже при полном выходе оборудования из строя или отключении электропитания.

Принимая во внимание сложности внедрения систем обнаружения вторжений, а также постоянное увеличение пропускной способности каналов связи, мы предусмотрели возможность гибкого горизонтального масштабирования компонентов комплекса. Если возникнет необходимость подключить к системе дополнительные сетевые сенсоры, для этого будет достаточно установить дополнительный сервер управления, связав его в кластер с существующим. При этом вычислительные мощности обоих серверов будут логически объединены в единый ресурс. Таким образом увеличение производительности системы становится очень простой задачей. Кроме того, система обладает отказоустойчивой архитектурой: в случае отказа одного из компонентов поток событий автоматически перенаправляется на резервные компоненты кластера.

В основе «Плутон» лежит наш более чем 20-летний опыт развертывания и эксплуатации комплексных систем защиты. Мы знаем наиболее частые проблемы заказчиков и недостатки современных решений класса IDS. Наша экспертиза позволила выявить наиболее актуальные задачи и помогла найти оптимальные пути их решения.

На текущий момент идет покомпонентная сертификация комплекса «Плутон» по требованиям к системам обнаружения вторжений уровня сети (2-й класс защиты) и на отсутствие недекларированных возможностей (2-й уровень контроля).

Функции «Плутон»:

Выявление в сетевом трафике признаков компьютерных атак, в том числе распределенных во времени, сигнатурным и эвристическим методами;

Контроль аномальной активности узлов сети и выявление признаков нарушения корпоративной политики безопасности;

. накопление и хранение:

— ретроспективных данных об обнаруженных событиях информационной безопасности с настраиваемой глубиной хранения;

— инвентаризационной информации о сетевых узлах (профиле хоста);

— информации о сетевых коммуникациях узлов, в том числе статистики потребления трафика (от сетевого до прикладного уровня по модели OSI);

— метаданных о передаваемых между узлами сети файлах;

Передача результатов анализа сетевого трафика во внешние системы защиты для повышения эффективности выявления инцидентов ИБ различного типа;

Предоставление доказательной базы по фактам компьютерных атак и сетевых коммуникаций для расследования инцидентов.

Основным назначением данной программы является обнаружение хакерских атак. Как известно, первой фазой большинства хакерских атак является инвентаризация сети и сканирование портов на обнаруженных хостах. Сканирование портов помогает произвести определение типа операционной системы и обнаружить потенциально уязвимые сервисы (например, почту или WEB-сервер). После сканирования портов многие сканеры производят определение типа сервиса путем передачи тестовых запросов и анализа ответа сервера. Утилита APS проводит обмен с атакующим и позволяет однозначно идентифицировать факт атаки.


Кроме этого, назначением утилиты является:

  • обнаружение разного рода атак (в первую очередь сканирования портов и идентификации сервисов) и появления в сети программ и сетевых червей (в базе APS более сотни портов, используемых червями и Backdoor - компонентами);
  • тестирование сканеров портов и сетевой безопасности (для проверки работы сканера необходимо запустить на тестовом компьютере APS и провести сканирование портов - по протоколам APS нетрудно установить, какие проверки провидит сканер и в какой последовательности);
  • тестирование и оперативный контроль за работой Firewall - в этом случае утилита APS запускается на компьютере с установленным Firewall и проводится сканирование портов и (или иные атаки) против ПК. Если APS выдает сигнал тревоги, то это является сигналом о неработоспособности Firewall или о его неправильной настройке. APS может быть постоянно запущен за защищенном при помощи Firewall компьютере для контроля за исправным функционирование Firewall в реальном времени;
  • блокировка работы сетевых червей и Backdoor модулей и их обнаружение - принцип обнаружения и блокирования основан на том, что один и тот-же порт может быть открыт на прослушивание только один раз. Следовательно, открытие портов, используемых троянскими и Backdoor программами до их запуска помешает их работе, после запуска - приведет к обнаружению факта использования порта другой программой;
  • тестирование антитроянских и программ, систем IDS - в базе APS заложено более сотни портов наиболее распространенных троянских программ. Некоторые антитроянских средства обладают способностью проводить сканирование портов проверяемого ПК (или строить список прослушиваемых портов без сканирования при помощи API Windows) - такие средства должны сообщать о подозрении на наличие троянских программы (с выводом списка "подозрительных" портов) - полученный список легко сравнить со списком портов в базе APS и сделать выводы о надежность применяемого средства.

Принцип работы программы основан на прослушивании портов, описанных в базе данных. База данных портов постоянно обновляется. База данных содержит краткое описание каждого порта - краткие описания содержат или названия использующих порт вирусов, или название стандартного сервиса, которому этот порт соответствует. При обнаружении попытки подключения к прослушиваемому порту программа фиксирует факт подключения в протоколе, анализирует полученные после подключения данные и для некоторых сервисов передает так называемый баннер - некоторый набор текстовых или бинарных данных,передаваемых реальным сервисом после подключения.