Зміст:
Визначення - Що означає вторгнення підпису?
Підпис про вторгнення - це свого роду слід, який залишили винуватці зловмисної атаки на комп’ютерну мережу чи систему. Кожен підпис про вторгнення є різним, але вони можуть з'являтися у вигляді доказів, таких як записи про невдалі входи, несанкціоновані виконання програмного забезпечення, несанкціонований доступ до файлів чи каталогів або неправильне використання адміністративних привілеїв.
Техопедія пояснює вторгнення підпису
Підписи про вторгнення записуються та реєструються системами виявлення вторгнень і вивчаються та документуються системними адміністраторами, які часто можуть налаштувати або модифікувати систему, щоб запобігти повторенню тієї ж атаки, тим самим посилюючи захист від майбутніх атак. Системні адміністратори можуть мати змогу визначити таку слідчу інформацію про те, як і коли було здійснено вторгнення та рівень кваліфікації винного.
Більшість систем виявлення вторгнень використовують один із наступних методів виявлення:
- Виявлення на основі підпису
- Виявлення на основі статистичної аномалії
- Державне виявлення аналізу протоколів
Записуючи та записуючи підписи про вторгнення в базу даних, метод виявлення на основі підписів відстежує мережевий трафік у пошуках відповідності підписів. Коли вони виявляються, система виявлення вживає відповідних дій.
Зазвичай використовується два типи підписів про вторгнення
- На основі експлуатації
- На основі вразливості
Системи виявлення вторгнень використовують перший для аналізу шаблонів, записаних раніше, та захисту від повторів; вони використовують останнє, аналізуючи вразливості в програмі, виконання програми та умови, необхідні для використання цих уразливостей.
