Assinatura de intrusão

Definição - o que significa assinatura de intrusão?

Uma assinatura de intrusão é um tipo de pegada deixada pelos autores de um ataque malicioso a uma rede ou sistema de computador. Cada assinatura de intrusão é diferente, mas podem aparecer na forma de evidência, como registros de logins com falha, execuções de software não autorizadas, acesso não autorizado a arquivos ou diretórios ou uso impróprio de privilégios administrativos.

Definirtec explica Assinatura de Intrusão

As assinaturas de intrusão são gravadas e registradas por sistemas de detecção de intrusão e estudadas e documentadas por administradores de sistema que podem frequentemente configurar ou modificar o sistema para evitar que o mesmo ataque aconteça novamente, fortalecendo assim a segurança contra ataques futuros. Os administradores do sistema podem determinar essas informações investigativas sobre como e quando a intrusão foi executada e o nível de habilidade do perpetrador.

A maioria dos sistemas de detecção de intrusão usa um dos seguintes métodos de detecção:

  • Deteção baseada em assinatura
  • Detecção baseada em anomalias estatísticas
  • Detecção de análise de protocolo stateful

Ao gravar e registrar assinaturas de intrusão em um banco de dados, o método de detecção baseado em assinatura monitora o tráfego de rede em busca de correspondências de assinatura. Quando eles são encontrados, o sistema de detecção toma a ação apropriada.

Dois tipos de assinaturas de intrusão são comumente usados

  • Baseado em exploração
  • Baseado em vulnerabilidade

Os sistemas de detecção de intrusão usam o primeiro para analisar padrões previamente registrados e proteger contra repetições; eles usam o último analisando vulnerabilidades em um programa, as execuções do programa e as condições necessárias para explorar essas vulnerabilidades.