Eine Netzwerkverkehrssignatur, die auch als Netzwerksignatur oder einfach als Signatur bezeichnet wird, ist eine Reihe von Merkmalen, die einen bestimmten Typ von Netzwerkaktivitäten oder -anwendung eindeutig identifizieren. Diese Eigenschaften können durch Intrusion Detection Systems (IDS) und Intrusion Prevention Systems (IPS) verwendet werden, um böswillige oder unerwünschte Aktivitäten zu erkennen. Eine Signatur enthält typischerweise eine Kombination der folgenden Elemente:
* Protokoll: Das verwendete Netzwerkprotokoll (z. B. TCP, UDP, ICMP). Dies ist ein grundlegendes Element.
* Portnummern: Die Quell- und Zielportnummern. Spezifische Ports sind häufig mit bestimmten Anwendungen verbunden (z. B. Port 80 für HTTP, Port 443 für HTTPS).
* Nutzlastdaten: Teile der tatsächlichen Daten, die übertragen werden. Dies können spezifische Schlüsselwörter, Byte -Sequenzen oder reguläre Ausdrücke in den Daten sein. Dies ist oft der spezifischste Teil der Signatur, der auf bekannte Angriffsnutzlasten oder böswillige Code abzielt.
* IP -Adressen: Die Quell- und Ziel -IP -Adressen. Obwohl es für sich genommen weniger zuverlässig ist (leicht gefälscht), kann es in Verbindung mit anderen Elementen nützlich sein.
* Paketgröße und Struktur: Die Größe der Pakete und die Anordnung der Daten in ihnen. Ungewöhnliche Paketgrößen oder -strukturen können auf böswillige Aktivitäten hinweisen.
* Timing/Frequenz: Die Rate, mit der Pakete gesendet werden. Ein plötzlicher Paketschub oder ein konsistenter Strom von Paketen bei einer bestimmten Frequenz könnte misstrauisch sein.
* Flags: TCP -Flags (Syn, ACK, Flossen usw.) können den Zustand einer Verbindung aufzeigen und ein ungewöhnliches Verhalten hinweisen.
* anwendungsspezifische Daten: Informationen spezifisch für die beteiligte Anwendung, wie z. B. HTTP -Header oder FTP -Befehle. Dies sind hochspezifische Signaturen, die böswilliges Verhalten aus einer bestimmten Anwendung genau identifizieren.
Es ist wichtig zu beachten, dass die Komplexität und Spezifität einer Signatur je nach Situation variiert. Einige Unterschriften sind sehr breit und erkennen allgemeine verdächtige Aktivitäten, während andere hochspezifisch sind und auf eine bestimmte Sicherheitsanfälligkeit oder eine bestimmte Ausnutzung abzielen. Eine gut ausgearbeitete Signatur zielt auf hohe Genauigkeit (wenige falsch positive Ergebnisse) und hohe Erkennungsrate (wenige falsch negative) ab. Das Gleichgewicht zwischen diesen beiden ist für die wirksame Sicherheit von entscheidender Bedeutung.