攻击签名

Question

我在学校学习关于网络应用程序(基本上是OWASP)上的攻击签名，但我不明白它们在这种情况下到底是什么。有谁能给我一些好的参考资料，让我更好地了解它们是什么，它们在哪里被使用？谢谢!

Answer 1

网络入侵检测中的攻击签名(尤其是与web应用程序相关的攻击)是一种启发式方法和数据模式，可以用来识别构成攻击的通信量。

例如，regex模式union\s+select可以用来检测SQL注入攻击(尽管非常幼稚)。另一种模式可能只是0x31303235343830303536，它是Havij (一种SQL工具)在其请求中使用的值。

签名不必与应用程序数据相关。它们还可以基于数据包标志、流量模式(例如，大量意外的DNS响应数据包)、错误的登录尝试等。

这些签名结合在一起可以构成入侵检测系统(IDS)的主干，入侵检测系统依靠这些模式和启发式来识别攻击并向管理员发出警报。