Indholdsfortegnelse:
Definition - Hvad betyder indtrængesignatur?
En indtrængesignatur er en slags fodaftryk, der er efterladt af gerningsmændene til et ondsindet angreb på et computernetværk eller -system. Hver indtrængesignatur er forskellig, men de kan vises i form af beviser såsom poster over mislykkede login, uautoriseret softwareudførelse, uautoriseret fil- eller katalogadgang eller forkert brug af administrative privilegier.
Techopedia forklarer Intrusionssignatur
Intrusionssignaturer registreres og logges af indtrængende detektionssystemer og studeres og dokumenteres af systemadministratorer, som ofte kan konfigurere eller ændre systemet for at forhindre, at det samme angreb sker igen, og således styrke sikkerheden mod fremtidige angreb. Systemadministratorer er muligvis i stand til at bestemme sådanne efterforskningsoplysninger om, hvordan og hvornår indtrængen blev udført og overtræderens kvalifikationsniveau.
De fleste intrusionsdetekteringssystemer bruger en af følgende detektionsmetoder:
- Signaturbaseret detektion
- Statistisk anomali-baseret detektion
- Statisk protokolanalysedetektion
Ved at registrere og logge indtrængesignaturer i en database overvåger den signaturbaserede detektionsmetode netværkstrafik i søgning efter signaturkampe. Når disse findes, udfører detektionssystemet den passende handling.
To typer indtrængesignaturer bruges ofte
- Udnyttelsesbaseret
- Sårbarhed baseret
Intrusionsdetekteringssystemer bruger førstnævnte til at analysere mønstre, der tidligere er registreret og beskytte mod gentagelser; de bruger sidstnævnte ved at analysere sårbarheder i et program, programmets henrettelser og betingelserne, der er nødvendige for at udnytte disse sårbarheder.
