En nätverkstrafiksignatur, även känd som en nätverkssignatur eller helt enkelt en signatur, är en uppsättning egenskaper som unikt identifierar en specifik typ av nätverksaktivitet eller applikation. Dessa egenskaper kan användas av Intrusion Detection Systems (IDS) och Intrusion Prevention Systems (IPS) för att detektera skadlig eller oönskad aktivitet. En signatur innehåller vanligtvis en kombination av följande element:
* protokoll: Nätverksprotokollet som används (t.ex. TCP, UDP, ICMP). Detta är ett grundläggande element.
* portnummer: Käll- och destinationsportnummer. Specifika portar är ofta associerade med specifika applikationer (t.ex. port 80 för HTTP, port 443 för HTTPS).
* nyttolastdata: Delar av de faktiska uppgifterna som överförs. Detta kan vara specifika nyckelord, byte -sekvenser eller vanliga uttryck som matchar mönster i data. Detta är ofta den mest specifika delen av signaturen, inriktning på kända attackbelastningar eller skadlig kod.
* IP -adresser: Käll- och destinationens IP -adresser. Även om det är mindre pålitligt på egen hand (lätt förfalskade) kan det vara användbart i samband med andra element.
* paketstorlek och struktur: Storleken på paket och arrangemang av data inom dem. Ovanliga paketstorlekar eller strukturer kan indikera skadlig aktivitet.
* timing/frekvens: Den hastighet med vilken paket skickas. En plötslig spräng av paket eller en konsekvent ström av paket med en viss frekvens kan vara misstänksam.
* flaggor: TCP -flaggor (SYN, ACK, FIN, etc.) kan avslöja tillståndet för en anslutning och indikera ovanligt beteende.
* Applikationsspecifika data: Information som är specifik för den inblandade applikationen, till exempel HTTP -rubriker eller FTP -kommandon. Dessa är mycket specifika signaturer som exakt identifierar skadligt beteende från en viss applikation.
Det är viktigt att notera att komplexiteten och specificiteten hos en signatur varierar beroende på situationen. Vissa underskrifter är mycket breda och upptäcker allmän misstänksam aktivitet, medan andra är mycket specifika och riktar sig till en viss sårbarhet eller utnyttjande. En välgjord signatur syftar till hög noggrannhet (få falska positiver) och hög upptäckthastighet (få falska negativa). Balansen mellan dessa två är kritisk i effektiv säkerhet.
