+7 495 229-00-22

Принцип работы

Решение InfoWatch Targeted Attack Detector основано на технологии динамического обнаружения атак. Действия злоумышленников на каждом этапе атаки неизбежно приводят к изменению атакуемых систем. Безопасность можно обеспечить, если защита, как и атака, представляет собой постоянный, протяженный во времени процесс:

  • постоянный мониторинг изменений состояния систем, входящих в ИТ-инфраструктуру;
  • анализ изменений состояния систем и поиск в них аномалий: если система атакована, в изменениях появляются аномалии (нехарактерные свойства для работающего программного обеспечения);
  • классификация и выявление признаков атаки.

Как это работает?

На каждом из компьютеров, составляющих ИТ-инфраструктуру, периодически выполняются сканирования с целью сбора и классификации широкого спектра характеристик объектов системы. Результатом сканирования является срез системы (slice), который подвергается нескольким видам анализа:

Классификация всех объектов, входящих в срез системы. Используются такие методы, как классификаторы («decision tree»), «белые списки» (whitelisting), анти-руткит технологии, механизмы выявления похожих объектов («задача k-ближайших соседей»). С помощью статического анализа выявляются объекты, обладающие нетипичными характеристиками.

Целью данного вида анализа является выявление изменений и поиск в этих изменениях аномалий. Для определения того, какие срезы сравнивать между собой, используется алгоритм, учитывающий динамику во времени, возникновение критических событий в системе, внешние изменения.

Для определения причин появления аномалий в решении InfoWatch Targeted Attack Detector используется уникальная Экспертная система и ряд метаклассификаторов, оперирующих результатами работы других анализаторов (статического и динамического). При обнаружении неизвестного вредоносного ПО для предоставления в отчете подробного описания его действий и последствий работы для инфраструктуры предприятия привлекается аналитик компании InfoWatch.