Detecção de assinaturas envolve a procura em trafego de rede de bytes ou seqüências de pacotes conhecidos como maliciosos. Uma vantagem chave desse método é que assinaturas são fáceis de serem desenvolvidas e entendidas se sabida o comportamento da rede que se esta tentando identificar. Os eventos gerados por um IDS baseado em assinaturas podem comunicar o que causou o alerta. Também, testes de correlacionamento podem ser executados bem rápido em modernos sistemas, então a energia necessária para executar essas checagens pode ser mínima para um conjunto de regras. Como exemplo, se o sistema só se comunicar via DNS, ICMP e SMTP, todas as outras assinaturas podem ser removidas.
Para sistemas baseados em estação, um exemplo de assinatura é três logins falhos. Já para IDS de rede, uma assinatura pode ser simplesmente teste padrão que combina com uma porção de pacotes de redes, como por exemplo, assinaturas de pacotes e/ou assinaturas de cabeçalho que possam indicar ações não autorizadas.
Vantagens da detecção baseada em assinaturas:
- Comparadas às detecções por anomalia, são muito mais eficientes, gerando um numero bem menor de alarmes falsos;
Desvantagens da detecção baseada em assinaturas.
- Somente identificam ataques conhecidos, por isso, necessita de uma constante atualização no conjunto de assinaturas;
- Como grande parte das assinaturas são muito especificas, ataques variantes não são detectados; |