Durch eine spezielle Funktion, der Event-Korrelation, überprüft PacketAlarm bei jedem entdeckten Angriff, ob er auf dem Zielsystem durchgeführt werden könnte.
Dies wird anhand von definierten Systemattributen oder mit Hilfe der vom Vulnerability Scanner gefundenen Schwachstellen entschieden. Jede Übereinstimmung erhöht die Wahrscheinlichkeit, dass es sich um einen gefährlichen Angriff handelt.
Bei der Ausgabe können die Angriffe mit niedriger Wahrscheinlichkeitsstufe herausgefiltert und so Fehlalarme vermieden werden. Natürlich kann der Administrator auch eigene Systemattribute erstellen, eigene Korrelationen zwischen Regeln und Attributen oder Schwachstellen bilden und bestimmen, um wie viel sich die Wahrscheinlichkeit der Gefährdung dadurch erhöht oder verringert.
|