Перехват по сигнатурам используется для защиты информации в таком техническом средстве, как система обнаружения атак (IDS). Она ищет в передаваемых пакетах заранее предопределенные последовательности байтов, соответствующие попыткам несанкционированного доступа, активности вредоносных программ, иным неразрешенным или подозрительным действиям.
Аналогично можно построить и анализ трафика подозреваемого предопределить характерные последовательности (сигнатуры), соответствующие подозрительным действиям. И ловить только сессии, в которых встречаются эти сигнатуры. Например, подозреваемый пользуется услугами провайдера коммутируемого доступа и, следовательно, соединяется с Интернетом с использованием динамического IP адреса. Наряду с ним IP адреса из той же сети используют еще несколько сотен пользователей. Требуется проконтролировать переписку подозреваемого по электронной почте. Для этого достаточно записывать все SMTP сессии, исходящие из сети, где расположен компьютер подозреваемого, в которых встречается последовательность символов «From: <info@e38.biz>», чтобы выделить письма, направленные от подозреваемого любым адресатам через любые промежуточные узлы.
Для такого избирательного перехвата можно использовать почти любую IDS. Многие из них поддерживают довольно сложные сигнатуры сомногими условиями.
Аналогично можно построить и анализ трафика подозреваемого предопределить характерные последовательности (сигнатуры), соответствующие подозрительным действиям. И ловить только сессии, в которых встречаются эти сигнатуры. Например, подозреваемый пользуется услугами провайдера коммутируемого доступа и, следовательно, соединяется с Интернетом с использованием динамического IP адреса. Наряду с ним IP адреса из той же сети используют еще несколько сотен пользователей. Требуется проконтролировать переписку подозреваемого по электронной почте. Для этого достаточно записывать все SMTP сессии, исходящие из сети, где расположен компьютер подозреваемого, в которых встречается последовательность символов «From: <info@e38.biz>», чтобы выделить письма, направленные от подозреваемого любым адресатам через любые промежуточные узлы.
Для такого избирательного перехвата можно использовать почти любую IDS. Многие из них поддерживают довольно сложные сигнатуры сомногими условиями.
Комментариев нет:
Отправить комментарий