Inhaltsverzeichnis:
Definition - Was bedeutet Intrusion Signature?
Eine Angriffssignatur ist eine Art Fußabdruck, der von Tätern eines böswilligen Angriffs auf ein Computernetzwerk oder -system zurückgelassen wird. Jede Eindringlingssignatur ist unterschiedlich, sie kann jedoch in Form von Nachweisen angezeigt werden, z. B. Aufzeichnungen über fehlgeschlagene Anmeldungen, nicht autorisierte Softwareausführungen, nicht autorisierten Datei- oder Verzeichniszugriff oder die nicht ordnungsgemäße Verwendung von Administratorrechten.
Techopedia erklärt Intrusion Signature
Intrusion-Signaturen werden von Intrusion-Detection-Systemen aufgezeichnet und protokolliert und von Systemadministratoren untersucht und dokumentiert, die das System häufig konfigurieren oder modifizieren können, um zu verhindern, dass derselbe Angriff erneut erfolgt, und so die Sicherheit gegen zukünftige Angriffe erhöhen. Systemadministratoren sind möglicherweise in der Lage, solche Ermittlungsinformationen darüber zu ermitteln, wie und wann der Eingriff ausgeführt wurde und wie gut der Täter ist.
Die meisten Intrusion Detection-Systeme verwenden eine der folgenden Erkennungsmethoden:
- Signaturbasierte Erkennung
- Statistische anomaliebasierte Erkennung
- Erkennung einer statusbehafteten Protokollanalyse
Durch Aufzeichnen und Protokollieren von Angriffssignaturen in einer Datenbank überwacht die signaturbasierte Erkennungsmethode den Netzwerkverkehr auf der Suche nach Signaturübereinstimmungen. Wenn diese gefunden werden, ergreift das Erkennungssystem die entsprechenden Maßnahmen.
Üblicherweise werden zwei Arten von Aufschaltungssignaturen verwendet
- Exploit basiert
- Sicherheitslücke basiert
Intrusion Detection-Systeme verwenden die ersteren, um zuvor aufgezeichnete Muster zu analysieren und vor Wiederholungen zu schützen. Letztere werden verwendet, indem Schwachstellen in einem Programm, die Programmausführungen und die Bedingungen analysiert werden, die zum Ausnutzen dieser Schwachstellen erforderlich sind.
