| Een handtekening voor netwerkverkeer, ook bekend als een netwerkhandtekening of eenvoudigweg een handtekening, is een reeks kenmerken die op unieke wijze een specifiek type netwerkactiviteit of -toepassing identificeren. Deze kenmerken kunnen worden gebruikt door inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS) om kwaadaardige of ongewenste activiteiten te detecteren. Een handtekening bevat doorgaans een combinatie van de volgende elementen:
* Protocol: Het gebruikte netwerkprotocol (bijvoorbeeld TCP, UDP, ICMP). Dit is een fundamenteel element.
* Poortnummers: De bron- en bestemmingspoortnummers. Specifieke poorten worden vaak geassocieerd met bepaalde toepassingen (bijvoorbeeld poort 80 voor HTTP, poort 443 voor HTTPS).
* Payloadgegevens: Delen van de daadwerkelijke gegevens die worden verzonden. Dit kunnen specifieke trefwoorden, bytereeksen of reguliere expressies zijn die overeenkomen met patronen in de gegevens. Dit is vaak het meest specifieke deel van de handtekening, gericht op bekende aanvalsladingen of kwaadaardige code.
* IP-adressen: De bron- en bestemmings-IP-adressen. Hoewel het op zichzelf minder betrouwbaar is (gemakkelijk vervalst), kan het nuttig zijn in combinatie met andere elementen.
* Pakketgrootte en structuur: De grootte van pakketten en de indeling van de gegevens daarin. Ongebruikelijke pakketgroottes of -structuren kunnen duiden op kwaadaardige activiteit.
* Timing/frequentie: De snelheid waarmee pakketten worden verzonden. Een plotselinge uitbarsting van pakketten of een consistente stroom pakketten op een specifieke frequentie kan verdacht zijn.
* Vlaggen: TCP-vlaggen (SYN, ACK, FIN, enz.) kunnen de status van een verbinding onthullen en ongebruikelijk gedrag aangeven.
* Applicatiespecifieke gegevens: Informatie die specifiek is voor de betreffende applicatie, zoals HTTP-headers of FTP-opdrachten. Dit zijn zeer specifieke handtekeningen die kwaadaardig gedrag van een bepaalde applicatie nauwkeurig identificeren.
Het is belangrijk op te merken dat de complexiteit en specificiteit van een handtekening varieert afhankelijk van de situatie. Sommige handtekeningen zijn zeer breed en detecteren algemene verdachte activiteiten, terwijl andere zeer specifiek zijn en zich richten op een bepaalde kwetsbaarheid of exploit. Een goed gemaakte handtekening streeft naar een hoge nauwkeurigheid (weinig valse positieven) en een hoog detectiepercentage (weinig valse negatieven). Het evenwicht tussen deze twee is van cruciaal belang voor effectieve beveiliging. |
