APIDS

Материал из devopswiki
Перейти к: навигация, поиск

Основанная на прикладных протоколах система обнаружения вторжений (англ. Application Protocol-based Intrusion Detection System, APIDS) это система обнаружения вторжений, которая сосредоточена на мониторинге и анализе специфичного протокола или протоколов приложения, используемых компьютерной системой.

Основные положения

APIDS мониторит динамическое поведение и состояние протокола. Типичная система состоит из агентов, которые размещены между группой серверов для мониторинга и анализа протокола приложения между двумя соединенными устройствами.

Самое распространенное место для APIDS - это участок сети между веб-сервером и сервером баз данных. В таком случае мониторится протокол SQL, специфичный для логики промежуточного ПО или бизнес-логики во время её взаимодействия с базой данных.

Мониторинг динамического поведения

На базовом уровне APIDS обеспечивает и следит за соблюдением корректного (допустимого) использования протокола.

Однако, на более продвинутом уровне APIDS может обучаться самостоятельно или при помощи администратора. Возможна даже ситуация, когда система сужает бесконечное число вариантов пакетов в протоколе до разумного минимума, используемого приложением, которое мониторится или защищается.

Таким образом, при условии что APIDS корректно настроена, она позволяет проводить "идентификацию по отпечаткам пальцев" (англ. fingerprint) приложения. Если приложение было изменено в процессе его доработки или изменения версии, то и "отпечатки пальцев" приложения будут также изменены.

Ссылки

APIDS в Wikipedia

Пример APIDS