Innholdsfortegnelse:
Definisjon - Hva betyr intrusjonssignatur?
En inntrengelsessignatur er et slags fotavtrykk som er etterlatt av gjerningspersoner av et ondsinnet angrep på et datanettverk eller system. Hver inntrengelsessignatur er forskjellig, men de kan vises i form av bevis som registreringer av mislykkede pålogginger, uautoriserte utførelser av programvare, uautorisert fil- eller katalogtilgang eller feil bruk av administrative rettigheter.
Techopedia forklarer Intrusion Signature
Inntrengingssignaturer registreres og logges av inntrengingsdeteksjonssystemer og studeres og dokumenteres av systemadministratorer som ofte kan konfigurere eller modifisere systemet for å forhindre at samme angrep skjer igjen, og dermed styrke sikkerheten mot fremtidige angrep. Systemadministratorer kan være i stand til å bestemme slik undersøkende informasjon om hvordan og når inntrengingen ble utført og ferdighetsnivået til gjerningsmannen.
De fleste inntrengingsdeteksjonssystemer bruker en av følgende deteksjonsmetoder:
- Signaturbasert deteksjon
- Statistisk anomali-basert deteksjon
- Tilstrekkelig deteksjon av protokollanalyse
Ved å registrere og logge inntrengelsessignaturer i en database overvåker den signaturbaserte deteksjonsmetoden nettverkstrafikk på jakt etter signaturkamp. Når disse blir funnet, tar deteksjonssystemet riktig handling.
To typer inntrengelsessignaturer brukes ofte
- Utnyttelsesbasert
- Sårbarhetsbasert
Inntrengingsdeteksjonssystemer bruker førstnevnte for å analysere mønstre som tidligere er registrert og beskytte mot repetisjoner; de bruker sistnevnte ved å analysere sårbarheter i et program, programmets henrettelser og betingelsene som er nødvendige for å utnytte disse sårbarhetene.
