Τι περιλαμβάνεται σε υπογραφή κυκλοφορίας δικτύου;

Μια υπογραφή κυκλοφορίας δικτύου, γνωστή και ως υπογραφή δικτύου ή απλά μια υπογραφή, είναι ένα σύνολο χαρακτηριστικών που προσδιορίζουν μοναδικά έναν συγκεκριμένο τύπο δραστηριότητας δικτύου ή εφαρμογής. Αυτά τα χαρακτηριστικά μπορούν να χρησιμοποιηθούν από συστήματα ανίχνευσης εισβολών (IDS) και συστήματα πρόληψης εισβολών (IPS) για την ανίχνευση κακόβουλης ή ανεπιθύμητης δραστηριότητας. Μια υπογραφή περιλαμβάνει συνήθως ένα συνδυασμό των ακόλουθων στοιχείων:

* Πρωτόκολλο: Το πρωτόκολλο δικτύου που χρησιμοποιείται (π.χ. TCP, UDP, ICMP). Αυτό είναι ένα θεμελιώδες στοιχείο.

* Αριθμοί θύρας: Τους αριθμούς θύρας πηγής και προορισμού. Οι ειδικές θύρες συχνά συνδέονται με συγκεκριμένες εφαρμογές (π.χ. θύρα 80 για HTTP, θύρα 443 για HTTPS).

* Δεδομένα ωφέλιμου φορτίου: Τμήματα των πραγματικών δεδομένων που μεταδίδονται. Αυτό θα μπορούσε να είναι συγκεκριμένες λέξεις -κλειδιά, ακολουθίες byte ή κανονικές εκφράσεις που ταιριάζουν με τα δεδομένα στα δεδομένα. Αυτό είναι συχνά το πιο συγκεκριμένο μέρος της υπογραφής, που στοχεύει γνωστά ωφέλιμο φορτίο επίθεσης ή κακόβουλο κώδικα.

* διευθύνσεις IP: Τις διευθύνσεις IP πηγής και προορισμού. Ενώ είναι λιγότερο αξιόπιστο από μόνο του (εύκολα πλαστογραφημένο), μπορεί να είναι χρήσιμο σε συνδυασμό με άλλα στοιχεία.

* Μέγεθος και δομή πακέτων: Το μέγεθος των πακέτων και η διάταξη των δεδομένων μέσα σε αυτά. Τα ασυνήθιστα μεγέθη ή δομές πακέτων μπορεί να υποδηλώνουν κακόβουλη δραστηριότητα.

* χρονισμός/συχνότητα: Το ποσοστό με τον οποίο αποστέλλονται πακέτα. Μια ξαφνική έκρηξη πακέτων ή μια συνεπής ροή πακέτων σε μια συγκεκριμένη συχνότητα θα μπορούσε να είναι ύποπτη.

* Σημαίες: Οι σημαίες TCP (SYN, ACK, FIN κ.λπ.) μπορούν να αποκαλύψουν την κατάσταση σύνδεσης και να υποδείξουν ασυνήθιστη συμπεριφορά.

* Ειδικά δεδομένα εφαρμογής: Πληροφορίες ειδικά για την εφαρμογή, όπως κεφαλίδες HTTP ή εντολές FTP. Αυτές είναι εξαιρετικά συγκεκριμένες υπογραφές που εντοπίζουν με ακρίβεια κακόβουλη συμπεριφορά από μια συγκεκριμένη εφαρμογή.

Είναι σημαντικό να σημειωθεί ότι η πολυπλοκότητα και η εξειδίκευση μιας υπογραφής ποικίλλει ανάλογα με την κατάσταση. Ορισμένες υπογραφές είναι πολύ ευρείες και ανιχνεύουν γενική ύποπτη δραστηριότητα, ενώ άλλες είναι ιδιαίτερα συγκεκριμένες και στοχεύουν μια συγκεκριμένη ευπάθεια ή εκμεταλλεύονται. Μια καλά κατασκευασμένη υπογραφή στοχεύει για υψηλή ακρίβεια (λίγα ψευδή θετικά) και υψηλό ποσοστό ανίχνευσης (λίγα ψευδή αρνητικά). Η ισορροπία μεταξύ αυτών των δύο είναι κρίσιμη στην αποτελεσματική ασφάλεια.