Система предотвращения вторжений

[jus 0]

Здравствуйте! Расскажите подробно - как реализована система предотвращения вторжений в Kaspersky Endpoint Security 8?

[eco 230]

Что то на подобие этого.

[jus 0]

Что то на подобие этого.

 

Ну нет же, это совсем не то

[eco 230]

Ну нет же, это совсем не то

Это почему? HIPS

[jus 0]

Потому что мне нужно конкретно про реализацию метода в Kaspersky Endpoint Security 8, именно в этой версии продукта ЛК

[Kaspersky User 259]

Вы что свой антивирус пишете?

[eco 230]

мне нужно конкретно про реализацию метода

Он везде практически одинаков. ССылки выше.

[mvs 368]

вы хотите чтобы с вами поделились базами сетевых атак что-ли?

есть типовые методы атак вторжения, которые пополняются через IDS базы к продукту, антивирус пропускает все пакеты через NDIS фильтр и сравнивает их с набором атак в базах - если совпадение - блокируется трафик атакующего объекта (ip адрес).

аналогично действует и мониторинг активности (проактивная защита) на основе поведенческих шаблонов BSS

(Шаблоны опасного поведения программ BSS (Behavior Stream Signatures) содержат последовательности действий программ, которые Kaspersky Endpoint Security 8 для Windows классифицирует как опасные.)

в паре с эвристическим анализом похожих действий (внедрений в процессы и систему)

т.е. есть сигнатурный анализ и есть эвристика и типовые шаблоны опасного поведения.

 

шаблоны BSS как и базы сетевых атак (IDS базы) приходят и обновляются сигнатурами (путем обновления баз продукта)

Изменено 23 августа, 2013 пользователем mvs