ути надмірної кількості помилкових спрацьовувань. p align="justify"> Довгі базові ланцюжка аутентифікації
Подібні сигнали містити дуже великі довгі рядки входу WEB, деякі програми для виявлення вразливостей використовують такий метод для переповнення буфера і отримання несанкціонованого доступу. Проте зараз деякі сайти самі набивають в полі безліч інформації тим самим збиваючи столку IDS і примушуючи її фіксувати шкідливу сигнатуру. p align="justify"> аутентификационного активність бази даних
Деякі мережеві системи виявлення вторгнень стежать за діяльністю з адміністрування баз даних. Теоретично у виробничих базах даних не повинно спостерігатися високої адміністративної активності, а її наявність може служити ознакою того, що хтось намагається справити які дії. Однак у багатьох базах даних використання йде паралельно з розробкою, звідси і великий обсяг адміністрування. Ця діяльність, хоча і цілком законна, буде породжувати безліч сигналів тривоги. Якщо ваша база даних знаходиться в стані безперервного розвитку, то вам, ймовірно, слід відключити ці сигнали, принаймні, поки база не стабілізується і не перейде в режим виробничої експлуатації. p align="justify"> Існує багато інших причин помилкових спрацьовувань, що залежать від конфігурації мережі та рівня активності. Якщо не приділяти достатньо уваги і не потрудитися організувати досить докладний і повний набір правил, то проблема помилкового спрацьовування зробить систему виявлення вторгнень якщо не марною, то дуже не ефективною. Настройка повинна відбуватися виходячи зі знання вимоги безпеки в організації та мережі, обсягу мережі, доступу в інтернет і багатьох інших факторів які необхідно враховувати при цьому. br/>
2.3 Приклади сигнатур мережевих систем виявлення вторгнень
snort операційний мережевий вторгнення
Основний принцип за яким діють мережеві IDS це перевірка сигнатур і порівняння їх з відомими, якщо відбулося збіг значить сигнатура визначається як підозріла. Як приклад можна розглянути атаку яка чітко буде ідентифікуватися IDS-це атака cmd.exe спрямована проти Інформаційного сервера Інтернет-Web сервера корпорації Microsoft. Ця атака застосовується Інтернет - "черв'яками" і вірусами, такими як Nimda і Code Red. Атакуючий "хробак" або людина намагається виконати в каталозі з правом на запис копію програми cmd.exe - командного інтерпретатора Windows, використовуючи переповнення буферу в модулі IIS, званому Internet Server API (ISAPI). У разі успіху хакер або черв'як отримує доступ до командного рядка на цій машині і може провести значні руйнування. Однак команда для копіювання цього файлу є очевидною, і немає причини для її легального виконання користувачами через мережу за допомогою IIS. Тому, якщо ви бачите подібну активність, то досить імовірно, що це спроба вторгнення. Перевіряючи корисне навантаження пакету і розшукуючи слова cmd.exe, мережева ...
