Қолданбалардеңгейіндегі шабуылдар Қолданбалар деңгейінде шабуылдар бірнеше тәсілмен жүргізілуі мүмкін. Олардың ішінде ең көп тарағаны – серверлік программалық қамтаманың (sendmail,HTTP,ҒЕЗ)бұрыннан жақсы белгілі осал жерлерін пайдалану.Осы осалдықтарды пайдалана отырып хакерлер қолданбамен жұмыс істеп жатқан пайдаланушының (әдетте ол жүйелік қатынас құру құқықтары бар пұрсатты әкімші болады)атынан комьпютерге қатынас құруға рұқсат ала алады.Әкімшілерге бұл проблеманы коррекциялағыш жекебөлшектердің (path)көмегімен түзетуге мүмкіндік беру үшін қолданбалық деңгейдегі шабуылдар жайындағы мәліметтер кеңінен жарияланып тұрды.Өкінішке орай,бұл мәліметтер хакерлерге де мәлім болады,сондықтан олар оны өз мақсаттарын іске асыру үшін пайдаланады.
Қолданбалар деңгейіндегі шабуылдардың негізгі проблемасы олардың торапаралық экран арқылы өтуге рұқсат етілген порттарды жиі пайдаланумен байланысты.Мысалы,web-серверлердің белгілі осалдылығын өз мақсатында пайдаланушы хакер ТСР шабуылдары кезінде 80-ші портты жиі пайдаланады.Web-сервер пайдаланушыларға web-парақ ұсынатын болғандықтан торапаралық экран осы портақа қатынас құруға рұқсат беруге тиісті.Торапаралық экран тұрғысынан қарағанда шабуыл 80-ші портқа арналған стандартты трафик ретінде қарастырылды.
Қолданбалы деңгейіндегі шабуылдарды толық жою мүмкін емес.Бұл жердегі ең негізгі шара-жақсы жүйелік әкімшілік ету.Осындай шабулдарға қарсы мынадай шаралар қолдануға болады:
хакерлер қолданбалы программалардың осал жерлерін тұрақты ашады және Интернетте жариялап тұрады.Сондықтан қолданбалы программалардың осал жерлері жайындағы деректер тарату қызметіне көңіл бөлу керек. Мәселен, СERT(http://www.cert.com) және Bugtrad(http://www.securityfocus.com);
операциялық жүйелер мен қолданбалардың ең соңғы түрін (нұсқасын)және коррекциялық жекбөлшектерді пайдаланыңыз;
жүйелік әкімшілеуден басқа ,шабуылдарды айыру-тану(IDS-Intrusion Detection Systems) жүйелерін пайдаланған жөн.
Бұл жүйелар шабуылдарды айырып тану және оларға тойтарыс беру үшін тораптық немсе жүйелік келісті қолданады.Қалай болғанда да бұл өнімдер шабуылдардың сигнатураларын (қастық немесе күдікті іс-әректтерге нұсқайтын өзіндік ерекше қалыптарды)іздейді.Егер осындай қалыптар тораптық ағында ізделетін болса,онда IDS тораптық деңгейде жұмыс істегені.Егер IDSшабуылдардың сигнатураларын операциялық жүйенің немсе қолданбаның тіркеу журналдарында ізделсе ,онда бұл жүйелік деңгей болғаны.
Шабуылдарды айыру-танудың тораптық дегейлік жүйелері талдау жасау үшін өңделмеген (raw) тораптық дестелерді пайдаланады.Тораптық дегейдегі IDS жүйесі ,әдетте ,”тыңдау”(promiscuous) режимінде жұмыс істейтін тораптық бейімдеуішті қолданады және тораптың сегменті арқылы өтетін деректер ағынын уақыттың нақты масштабын талдайды.
Жүйелік деңгейдің IDS жүйесі Windows немесе Unix басқаруымен жұмыс істейтін тораптардағы жүйені,оқиғаларды және қауіпсіздік оқиғаларын тіркейтін журналдарды (security log немесе syslog)бақылыайды.Осы файлдардың қандай болмасын біреуі өзгерген жағдайда жүйесі жаңа жазбаларды шабуылдардың сигнатураларымен салыстырады.Егер осындай сәйкестік табылса,ондаIDS жүйесі әкімшіге үрей сигналын жібереді немсе көзделген басқа іс-әрекеттерді жүзеге асырады.
Сонымен ,IDS технологиясының бірін-бірі толықтыратын екі түрі бар:
IDS тораптық жүйесі(NIDS) белгілі бір домен арқылы өтетін барлық дестелерді сараптап отырады. (NIDS) Жүйесі белгілі немесе ықтимал шабуылдың сигнатурасымен сәйкес келетін десте немесе дестелердің сериясын көрген кезде,ол дабыл сигналдарын генерацичлайды;
IDS хост –жүйесі (HIDS) хосты программалық агенттердің көмегімен қорғайды.Бұл жүйе тек қана бір хостқа бағытталған шабуылдарға қарсы күреседі.
Іс жүзінде екі технологияны да қолданатын IDS жүйесі ең тиімді деп саналады(мәселен, RealSecyreT жүйесі).