Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
* Protokol: Použitý sieťový protokol (napr. TCP, UDP, ICMP). Toto je základný prvok.
* Čísla portov: Čísla zdrojového a cieľového portu. Konkrétne porty sú často spojené s konkrétnymi aplikáciami (napr. Port 80 pre HTTP, port 443 pre HTTPS).
* Údaje o užitočnom zaťažení: Časti skutočných prenášaných údajov. Mohlo by to byť konkrétne kľúčové slová, bajtové sekvencie alebo regulárne výrazy zhodné vzory v údajoch. Toto je často najvýznamnejšia časť podpisu, ktorá sa zameriava na známe užitočné zaťaženie útoku alebo škodlivý kód.
* IP adresy: Zdrojové a cieľové adresy IP. Aj keď je sama o sebe menej spoľahlivý (ľahko spoofed), môže byť užitočný v spojení s inými prvkami.
* Veľkosť a štruktúra paketov: Veľkosť paketov a usporiadanie údajov v nich. Nezvyčajné veľkosti alebo štruktúry paketov môžu naznačovať škodlivú aktivitu.
* načasovanie/frekvencia: Sadzba, pri ktorej sa odosielajú pakety. Náhle výbuch balíkov alebo konzistentný prúd paketov pri špecifickej frekvencii by mohol byť podozrivý.
* príznaky: Príznaky TCP (syn, ACK, plutva atď.) Môžu odhaliť stav spojenia a naznačovať neobvyklé správanie.
* Aplikácie špecifické pre dané aplikačné údaje: Informácie špecifické pre príslušnú aplikáciu, ako sú hlavičky HTTP alebo príkazy FTP. Sú to vysoko špecifické podpisy, ktoré presne identifikujú škodlivé správanie z konkrétnej aplikácie.
Je dôležité poznamenať, že zložitosť a špecifickosť podpisu sa líšia v závislosti od situácie. Niektoré podpisy sú veľmi široké a zisťujú všeobecnú podozrivú činnosť, zatiaľ čo iné sú vysoko špecifické a zameriavajú sa na konkrétnu zraniteľnosť alebo využívanie. Cieľom dobre vypracovaného podpisu pre vysokú presnosť (málo falošných pozitív) a vysoká miera detekcie (málo falošných negatívov). Rovnováha medzi týmito dvoma je kritická v efektívnej bezpečnosti.