Definição – o que significa assinatura de intrusão?
Uma assinatura de intrusão é um tipo de pegada deixada pelos autores de um ataque malicioso a uma rede ou sistema de computador. Cada assinatura de intrusão é diferente, mas podem aparecer na forma de evidência, como registros de logins com falha, execuções de software não autorizadas, acesso não autorizado a arquivos ou diretórios ou uso impróprio de privilégios administrativos.
Definirtec explica Assinatura de Intrusão
As assinaturas de intrusão são gravadas e registradas por sistemas de detecção de intrusão e estudadas e documentadas por administradores de sistema que podem frequentemente configurar ou modificar o sistema para evitar que o mesmo ataque aconteça novamente, fortalecendo assim a segurança contra ataques futuros. Os administradores do sistema podem determinar essas informações investigativas sobre como e quando a intrusão foi executada e o nível de habilidade do perpetrador.
A maioria dos sistemas de detecção de intrusão usa um dos seguintes métodos de detecção:
- Deteção baseada em assinatura
- Detecção baseada em anomalias estatísticas
- Detecção de análise de protocolo stateful
Ao gravar e registrar assinaturas de intrusão em um banco de dados, o método de detecção baseado em assinatura monitora o tráfego de rede em busca de correspondências de assinatura. Quando eles são encontrados, o sistema de detecção toma a ação apropriada.
Dois tipos de assinaturas de intrusão são comumente usados
- Baseado em exploração
- Baseado em vulnerabilidade
Os sistemas de detecção de intrusão usam o primeiro para analisar padrões previamente registrados e proteger contra repetições; eles usam o último analisando vulnerabilidades em um programa, as execuções do programa e as condições necessárias para explorar essas vulnerabilidades.