Оглавление:
Определение - Что означает подпись вторжения?
Подпись вторжения - это своего рода след, оставленный злоумышленниками в компьютерной сети или системе. Каждая подпись вторжения отличается, но они могут появляться в форме свидетельств, таких как записи неудачных входов в систему, несанкционированного выполнения программного обеспечения, несанкционированного доступа к файлу или каталогу или ненадлежащего использования административных привилегий.
Техопедия объясняет вторжение подписи
Сигнатуры вторжений регистрируются и регистрируются системами обнаружения вторжений, а также изучаются и документируются системными администраторами, которые часто могут настраивать или модифицировать систему, чтобы предотвратить повторение той же атаки, таким образом усиливая защиту от будущих атак. Системные администраторы могут быть в состоянии определить такую следственную информацию о том, как и когда было выполнено вторжение, а также уровень квалификации злоумышленника.
Большинство систем обнаружения вторжений используют один из следующих методов обнаружения:
- Обнаружение на основе подписи
- Статистическое обнаружение аномалий
- Обнаружение анализа протокола с учетом состояния
Записывая и регистрируя сигнатуры вторжений в базе данных, метод обнаружения на основе сигнатур отслеживает сетевой трафик в поисках совпадений сигнатур. Когда они обнаружены, система обнаружения предпринимает соответствующие действия.
Обычно используются два типа сигнатур вторжения
- Основанный на эксплойтах
- Уязвимость основана
Системы обнаружения вторжений используют первый для анализа ранее записанных шаблонов и защиты от повторений; они используют последнее, анализируя уязвимости в программе, ее выполнение и условия, необходимые для использования этих уязвимостей.
