Заказчику требовалась система обнаружения вторжений, предназначенная для раннего обнаружения подозрительной активности на основе анализа сетевого трафика. Продукт было решено строить на основе open-source решения.
Механизм обнаружения атак построен на основе сигнатурного анализа. Он позволяет в автоматическом режиме выявлять аномальные активности на основе заранее определенных правил (сенсоров). Администратор имеет возможность определить группу пакетов, вызвавших срабатывание сенсора, и получить информацию о деталях уязвимости и методах ее эксплуатации с целью принятия защитных мер. База данных правил постоянно обновляется с учетом появления новых типов атак.
Развитые средства графического интерфейса позволяют проводить анализ инцидентов, гибко настраивать
используемые правила, выбирать защищаемые объекты. Попытки вторжений в систему регистрируются в
журнале.
При обнаружении
атаки система оперативно оповещает ответственных лиц. Круг лиц и каналы оповещения устанавливаются
администратором системы.