1. Чем отличаются понятия «интранет» и «экстранет»? 

Интранет - это другая форма Интернета, за тем исключением, что Интранет обычно доступен только пользователям внутри сети компании. Компании могут использовать его для быстрого и эффективного предоставления доступа к информации, из разных источников внутри компании для всех или некоторых сотрудников, имеющих физический доступ к компьютерам и терминалам, находящимся внутри офиса компании.

Экстранет или экстрасеть (Extra - от англ. из-вне, Net - от англ. сеть) - это объединение интрасетей двух или более компаний для совместного использования внутренней информацией этих компаний.  При создании экстранет объединение сетей обычно не бывает полным, т.е. часть информации каждой компании остается закрытой для других компаний-участников экстрасети. Это и понятно - даже если компании являются партнерами, они все равно имеют коммерческие тайны. Поэтому при создании экстрасети определяются права доступа каждого сотрудника компании к определенным информационным ресурсам другой компании.  Экстрасети создаются компаниями, которые находятся в партнерских отношениях, например, производители и поставщики., вузы и их филиалы. При этом компании не только совместно используют базы данных, но и организуют безбумажный документооборот. Электронный документооборот существенно сокращает накладные расходы и делает отношения партнеров «прозрачными». 

2. Перечислите основные устройства межсетевого взаимодействия. 

Повторители, или репитеры (repeaters), принимают сигнал от устройств, включенных в сеть, и воспроизводят его, благодаря чему сигнал распространяется дальше, чем по отдельному отрезку кабеля. Повторители являются устройствами физического уровня, поэтому они не обрабатывают полученные кадры и не занимаются их логической и физической адресацией.

Мосты (bridges) принадлежат к числу устройств канального уровня модели OSI и, следовательно, обладают большими возможностями, чем устройства физического уровня, такие как повторители и концентраторы. Мосты применяются для сегментации сетей, в которых из-за напряженного трафика снижается общая скорость передачи данных. Они обрабатывают МАС-адреса поступающих кадров. Локальный трафик, относящийся к исходному сегменту, не проходит через данное устройство и не попадает в другие сегменты сети.

Коммутатор (switch) - межсетевое устройство канального уровня, позволяющее сохранить пропускную способность сети за счет сегментации. Коммутаторы, как и мосты, посылают кадры в соответствующие сегменты посред­ством аппаратной адресации, но поскольку они построены с использованием спе­циального аппаратного оборудования, передача информации производится здесь значительно быстрее.

Маршрутизаторы (routers) работают на сетевом уровне модели OSI. Они предназначены для соединения сетей и нуждаются в аппаратном и программном обеспечении (маршрутизаторы Cisco функционируют с операционной системой Cisco IOS). Маршрутизаторы могут связывать различные сети: Ethernet, TokenRing, FDDI – для этого необходим только соответствующий интерфейс.

Шлюзы (gateways) используются для соединения сетей с различными сетевыми протоколами, то есть там, где необходимо выполнять преобразование протоколов между несовместимыми, сетями. Шлюзы работают на верхних уровнях модели OSI: транспортном, сеансовом, уровне представления данных и уровне приложения. Как правило, шлюзом слу­жит компьютер, снабженный специальным программным обеспечением, которое преобразует данные из формата одной сети в формат другой.

3. В чем сходства и отличия понятий угрозы и уязвимости? 

Угроза - это потенциально возможное событие, явление или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба

Уязвимость - это любая характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.

4. Сформулируйте основные источники угроз. 

Источники угроз информационной безопасности, разделяются на внешние и внутренние:

К внешним источникам угроз относятся:

• деятельность иностранных разведывательных и специальных служб, направленная на добывание защищаемых информационных ресурсов с ограниченным доступом, о подготавливаемых решениях и инициативах, в том числе по экономическим вопросам, а также на подрыв авторитета Организации;

• действия преступных групп, формирований и связанных с ними коррумпированных лиц по добыванию защищаемой информации в целях реализации своих преступных замыслов;

• использование средств опасного воздействия на информационные ресурсы, получение несанкционированного доступа к ним;

• недружественная политика иностранных государств в области распространения информации и новых информационных технологий;

• преступная деятельность отдельных лиц, бандитских групп и формирований или злоумышленников, конкурирующих и недобросовестных организаций, в том числе с использованием телекоммуникационных систем (прежде всего Интернет);

• промышленный шпионаж со стороны иностранных представителей при проведении совместных международных проектов и работ;

• диверсионные действия по отношению к объектам информатизации (поджоги, технические аварии, взрывы и т.д.);

• деятельность министерств и ведомств и субъектов Российской Федерации, препятствующая или умышленно создающая трудности работе системы, совершаемая в противовес принятых законодательных актов;

• стихийные бедствия, аварии, и техногенные катастрофы.

К внутренним источникам угроз относятся:

• неправомерные действия должностных лиц в области формирования, распространения и использования защищаемой информации;

• преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия персонала, работающего на объектах информатизации;

• отказы технических средств и программного обеспечения в информационных и телекоммуникационных системах;

• некомпетентные действия и ошибки, допущенные при проектировании и эксплуатации информационных систем;

• халатность и недостаточно четкое исполнение служебных обязанностей при проведении мероприятий по защите информации;

• нарушения пользователями (исполнителями работ) и обслуживающим персоналом установленных регламентов сбора, обработки и передачи информации, а также требований по защите информации;

• отказы, неисправности и сбои средств защиты информации и средств контроля эффективности, принятых мер по защите информации;

• непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия персонала при эксплуатации объектов информатизации, приводящие к разглашению защищаемой информации;

• некоординированность или отсутствие необходимых сил и финансовых средств, для реализации мер в организации и защите информационных ресурсов;

• противозаконная деятельность коммерческих и экономических структур, имеющих позиции в среде сотрудников и пользователей;

• получение криминальными структурами доступа к защищаемой информации, снижение степени защищенности законных интересов граждан, общества и государства в информационной сфере.

5. Перечислите основные виды утечки информации. 

Канал утечки информации – совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителя. Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей или вне ее. Применительно к АС выделяют следующие каналы утечки:

• Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в аппаратных компонентах АС и индукцией в близко расположенных проводных линиях (наводки). Электромагнитный канал в свою очередь делится на:

  • радиоканал (высокочастотное излучение);

  • низкочастотный канал;

  • сетевой канал (наводки на сеть электропитания);

  • канал заземления (наводки на провода заземления);

  • линейный канал (наводки на линии связи между компьютерами).

2. Акустический (виброакустический) канал. Связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации АС. 3. Визуальный канал. Связан с возможностью визуального наблюдения злоумышленником за работой устройств отображения информации без проникновения в помещения, где расположены компоненты системы. В качестве средств выделения информации могут рассматриваться фото/видеокамеры и др. 4. Информационный канал. Связан с доступом (непосредственным и телекоммуникационным) к элементам АС, к носителям информации, к самой вводимой и выводимой информации (и результатам), к программному обеспечению (в том числе к операционным системам), а также с подключено к линиям связи. Информационный канал может быть разделен на следующие каналы:

• канал коммутируемых линий связи,

• канал выделенных линий связи,

• канал локальной сети,

• канал машинных носителей информации,

• канал терминальных и периферийных устройств.

6. Перечислите основные задачи сетевой политики безопасности. 

Сетевые соединения Политика безопасности так же описывает правила установки сетевых соединений и используемые механизмы защиты. Для соединений наборного доступа устанавливают технические правила аутентификации и аутентификации для каждого типа соединения (строгий контроль над разрешенными точками доступа). В качестве устройств защиты выделенных линий используют межсетевые экраны. Политика безопасности должна:

• определять механизмы, используемые при осуществлении удаленного доступа сотрудниками к внутренним системам. При этом политика безопасности должна определять процедуру прохождения авторизации для такого доступа. И самое главное при осуществлении удаленного доступа, чтобы все соединения были защищены шифрованием;

• определять условия, при которых разрешается использование беспроводных соединений (если таковые имеются), и то, каким образом будет осуществляться авторизация в такой сети (дополнительные требования, предъявляемые к аутентификации или шифрованию);

• быть определено размещение программ безопасности, с определенными требованиями, отслеживающих вредоносный код (вирусы, черви, “черные ходы” и “троянские кони”). Места для размещения – файловые серверы, рабочие станции и серверы электронной почты;

• определять приемлемые алгоритмы шифрования для применения внутри организации и ссылаться на информационную политику для указания соответствующих алгоритмов для защиты секретной информации.

7. Что такое сетевой периметр? 

Под периметром сети чаще всего понимают все точки подключения внутренней сети компании к сети Интернет и другим публичным сетям.

Устанавливая уровень безопасности сетевого периметра можно осуществлять множественный контроль. Для установки сетевого периметра необходимо определить защищаемые компьютеры и сети, а так же определить защитные механизмы для них.

Каждая сеть может содержать множество внутренних периметров. Внешний сетевой периметр идентифицируется точкой раздела между устройствами которые контролируются и теми которые не контролируются.

8. Сформулируйте определение демилитаризованной зоны. 

ДМЗ (демилитаризованная зона, DMZ) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб при взломе одного из общедоступных сервисов, находящихся в ДМЗ.

9. Перечислите основные составляющие эшелонированной обороны. 

- Уровень физической защиты

- Уровень сегментации

- Уровень мониторинга

- Уровень аудита

- Уровень аутентификации

-Уровень контроля доступа

10. Что такое управление рисками? 

Управление риском – процесс который позволяет менеджерам ИТ осуществить баланс между операционной и экономической стоимостью защитных мер и достигать цели защиты ИТ систем и данных, которые поддерживают их организационную миссию, т.е. выбирается баланс таким образом чтоб соблюсти все средства и стоимость.

Управление рисками ИБ интерактивный процесс, который требует контроля и периодического пересмотра.

11. Сформулируйте составляющие общей оценки риска. 

Общая оценка рисков включает в себя следующие шаги:

1 Характеристика системы (описание системы, расположение частей)

2 Действия идентифицирующие грозы (источники угроз, уязвимости)

3 Тестирование и оценка безопасности

4 Анализ средств защиты

5 Определение вероятностей (ранжирование частоты появления)

6 Анализ влияния

7 Определение рисков

8 Рекомендации по средствам защиты (на основе матрицы уровней риска)

9 Результирующая документация

12. Каковы основные подходы к количественной оценке рисков? 

Для измерения риска используется списки риска и матрицы уровня риска.

В матрице уровней риска окончательно определены уровни риска, полученные умножением уровня частоты (классов) вероятность угроз на степень влияния угроз, такая матрица показывает как общие классы риска могут быть определены на основе входов из категории вероятности угрозы и влияния угрозы.

Матрица уровней(классов) риска

Вероятность угроз	Влияние
	Низкое (10)	Среднее(50)	Высокое(100)
Высокая(1,0)	Низкий(10)	Средний(50)	Высокий(100)
Средняя(0,5)	Низкий(5)	Средний(25)	Высокий(50)
Низкая(0,1)	Низкий(1)	Средний(5)	Высокий(10)

13. Перечислите основные методы, применяемые для уменьшения риска. 

Процесс уменьшения рисков включает в себя установление приоритетов, отдельных составляющих общей оценки рисков, оценку и применение соответствующих средств защиты.

Уменьшение риска может быть достигнуто по средством применение одной или комбинации следующих операций уменьшения риска:

- Принятие риска – «принять» потенциальный риск.Применить СЗИ для уменьшения риска до допустимого риска.

- уклонение от риска – отказаться от определенных функций системы или выключить систему , когда идентифицируется гроза.

-Ограничение риска – ограничить риск применения СЗИ, использовать поддержку, предупреждающую или обнаруживающую угрозы.

- Планирование риска – управление рисками, разработка плана уменьшения риска, который устанавливает приоритет, применяет и поддерживает средства защиты.

- Исследование и подтверждение – уменьшить риск потерь, подтверждение уязвимости или дефекта и применение исследованных средств защиты для устранения уязвимости.

- Передача риска – передать риск использование другим вариантом для компенсации потерь – приобретение страховки.

14. Что такое остаточный риск? 

Применение средств защиты не гарантирует уничтожения риска, поэтому всегда остается какой-то уровень риска, называемый остаточным риском.

Цель процесса уменьшения риска и состоит в процессе получения остаточного риска, который допустим для выполнения миссии организации.

15. Сформулируйте назначение и сущность аудита информационных систем. 

Под аудитом в ИС понимается системный процесс получения и оценки объективных данных о текущем состоянии системы, который устанавливает уровень их соответствующий определенному критерию и предоставление результата заказчику.

Проведение аудита позволяет оценить текущую безопасность функционирования ИТ, оценить риски и управление ими, прогнозировать их влияние на бизнес-процессы организации, корректно и обоснованно подходить к вопросу обеспечения безопасности информационных активов организации, основанными из которых являются:

- идеи

-знания

- проекты

- результаты внутренних обследований

16. Перечислите основные виды аудита и их особенности. 

1 Внешние (проводятся вне организации, специальные организации, занимающиеся аудитом ИБ, при этом анализируются меры риска от внешних атак, осуществление сканирования портов, поиск уязвимости в сетевом и прикладном ПО, осуществляются попытки взаимодействия с Веб-серверов, попытки вхождения в ЛВС, специальные проверки Ehical Hacking, осуществление избранных атак на сервера, для выявления уязвимостей ИС организаций).

2 Внутренний аудит (проводится специальной командой из числа персонала, оценка риска существующих технологий, с привлечением средств автоматизации аудита, реализующего какой-либо стандарт проводится внутри ЛВС. Ограничения межсетевого экрана, сканирование портов, кроме того анализ организации и управления установленной политики безопасности, контроль и управление доступа к ресурсам, порольная политика.)

17. Перечислите основные механизмы и службы защиты. 

Классически считалось, что обеспечение безопасности информации складывается из трёх составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение, программное обеспечение и обеспечение связи (коммуникации). Сами процедуры(механизмы) защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень.

18. Каково основное назначение межсетевых экранов? 

Межсетевой экран, защищающий сразу множество (не менее двух) узлов, призван решить две задачи, каждая из которых по-своему важна и в зависимости от организации, использующей межсетевой экран, имеет более высокий приоритет по сравнению с другой:      - Ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающие получить доступ к серверам баз данных, защищаемых межсетевым экраном.      - Разграничение доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требуемым для выполнения служебных обязанностей. 

19. Укажите уровни сетевой модели, на которых применяется фильтрация пакетов.

Пакетные фильтры осуществляют анализ информации сетевого и транспортного уровней модели OSI . Это сетевые адреса (например, IP ) отправителя и получателя пакета номера портов отправителя и получателя, флаги протокола TCP , опции IP , типы ICMP .

20. Какой принцип предпочтительнее для фильтрации пакетов: «то, что не запрещено, разрешено» или «то, что не разрешено, запрещено». Почему?

Второй принцип предпочтительнее, поскольку мы не может учесть все что нужно запретить.

21. Укажите основные цели тестирования на проникновение.

Тест на проникновение" помогает на практике получить объективную и независимую оценку того, насколько легко осуществить несанкционированный доступ к ресурсам корпоративной сети и сайта компании, каким способом и по средством каких уязвимостей. На практике, "тест на проникновение" - это моделирование действий злоумышленников по проникновению в информационную систему в условиях, максимально приближенных к тем, которые возникают при атаке хакеров. При этом моделироваться могут как внешние, так и внутренние нарушители.

Задача теста на проникновение: полностью имитирую действия взломщика, осуществить атаку из Интернет на:  веб-сервер  сервер приложений или баз данных  корпоративную сеть

Цель теста на проникновение: обнаружить слабые места (уязвимости) в защите и, если это возможно и соответствует желанию заказчика, осуществить показательный взлом.

Тесты на проникновение являются начальным этапом полного аудита безопасности автоматизированной системы компании, на основании которого возможна, во-первых, разработка политики и стратегии информационной безопасности, и, во-вторых, разработка и внедрение плана защиты ИТ ресурсов компании. 

 С другой стороны, проведение теста на проникновение позволит директору службы информационной безопасности:

• повысить степень защиты информационной системы благодаря после дующему внедрению рекомендаций консультантов по усовершенствованию системы безопасности компании;

• снизить риски, связанные с использованием IT и электронной коммерции, за счет своевременного определения уязвимых мест в защите и их устранения;

• получить базис для обоснования расходов на службу IT и информационной безопасности;

• совершенствовать и выстраивать процессы системы управления информационной безопасности (СУИБ).

22. Перечислите основные причины невозможности обеспечения адекватной защиты только средствами межсетевых экранов. 

Некоторые корпоративные сети используют топологии, которые трудно "уживаются" с межсетевым экраном (например, широковещательная рассылка трафика), или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ. 

Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, JavaScript, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Специфика мобильного кода такова, что он может быть использован и как средство для проведения атак, и как объект атаки. В первом варианте опасность заключается в том, что мобильный код загружается на компьютер пользователя и выполняется на нем как обычная программа, получая доступ к системным ресурсам. Второй вариант, как правило, используется для модификации мобильного кода - как предварительный этап перед проведением атак на локальный компьютер пользователя.

Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты Trend Micro для МСЭ Check Point Firewall-1 или система обнаружения атак RealSecure для него же). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту "на нет".

Очень часто межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В тех случаях, когда приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета ("proxy"), существенно снижается производительность межсетевого экрана. Для сетей с напряженным трафиком использование обычных межсетевых экранов становится нецелесообразным. В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, BlackICE Gigabit Sentry) могут функционировать и на гигабитных скоростях. 

23. Перечислите основные проблемы формирования сигнатур атак. 

Среди недостатков систем обнаружения вторжений можно отметить следующие:

• трудность задания порогового значения (выбор этих значений — очень нетривиальная задача, которая требует глубоких знаний контролируемой системы);

• злоумышленник может обмануть систему обнаружения атак, и она воспримет деятельность, соответствующую атаку, в качестве нормальной из-за постепенного изменения режима работы с течением времени и "приручения" системы к новому поведению;

• в статистических методах вероятность получения ложных сообщений об атаке является гораздо более высокой, чем при других методах;

• статистические методы не очень корректно обрабатывают изменения в деятельности пользователя (например, когда менеджер исполняет обязанности подчиненного в критической ситуации). Этот недостаток может представлять большую проблему в организациях, где изменения являются частыми. В результате могут появиться как ложные сообщения об опасности, так и отрицательные ложные сообщения (пропущенные атаки);

• статистические методы не способны обнаружить атаки со стороны субъектов, для которых невозможно описать шаблон типичного поведения;

• системы, построенные исключительно на статистических методах, не справляются с обнаружением атак со стороны субъектов, которые с самого начала выполняют несанкционированные действия. Таким образом, шаблон обычного поведения для них будет включать только атаки;

• статистические методы должны быть предварительно настроены (заданы пороговые значения для каждого параметра, для каждого пользователя);

• статистические методы на основе профиля нечувствительны к порядку следования событий.

24. Дайте определение понятий «атака» и «вторжение». 

Вторжение - неавторизованный доступ в компьютерную систему или сеть либо несанкционированное управление им в основном через Интернет.

Атакой на информационную систему называются преднамеренные действия злоумышленника, использующие уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации.

25. Что включается в понятие «сигнатуры СОВ»? 

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

 В глобальном смысле, их общая задача - предупреждать нас при попытках вторжения. Возможно, вы наблюдали какой-то подозрительный трафик в вашей сети, и хотите в случае повторения чего-либо подобного быть начеку. А может быть, вы заметили какие то необычные характеристики заголовка, и хотите записать сигнатуру, которая будет искать соответствия этому подозрительному шаблону. Или, возможно, вы занимаетесь конфигурированием вашего IDS, настраивая ее на идентификацию различных типов нестандартного или подозрительный трафика, а не только на отражение известных типов нападения. Некоторые сигнатуры могут сообщить вам, что происходит попытка определенного типа нападения или кто-то пытается эксплуатировать известные уязвимости в программных продуктах, в то время как другие сигнатуры могут только выявлять необычное поведение, при этом не обязательно должна проходить идентификация типа нападения. Некоторые сигнатуры способны, при определенной затрате времени и программных ресурсов, идентифицировать инструмент, которым нападающий пытается вызвать злонамеренное действие, и это даст вам подробную информацию относительно того, как, кем и почему вы атакованы, и каковы дальнейшие намерения злоумышленника.

26. Какие виды сигнатур могут использоваться в СОВ? 

Сетевая IDS сигнатура – набор данных, которые мы хотим найти в трафике. Рассмотрим некоторые примеры и методы, которые позволяют их идентифицировать:

• Попытки подключения с зарезервированного IP-адреса. Могут быть легко обнаружены простой проверкой поля адреса в IP-заголовке.

• Пакеты с недопустимыми комбинациями TCP-флажков. Могут быть найдены сравнением набора флажков в TCP заголовке с известными допустимыми или недопустимыми комбинациями флажков.

• Электронные сообщения, содержащие определенные вирусы. IDS может сравнить имя поля объекта или вложения с известными именами, связанными с известными вирусами.

• Переполнение буфера в DNS при использовании недопустимого запроса. Анализ DNS полей и проверка длины каждого из них помогает идентифицировать попытку переполнения буфера.

• DoS против POP3 сервера путем вызова одной и той же команды тысячи раз. Сигнатура для этого типа нападения должна хранить информацию о том, сколько раз была вызвана команда и предупреждение, когда это число превысит некоторый порог.

• Попытка запроса файла на FTP сервере без предварительной регистрации. Сигнатура должна предупреждать в случае, когда произошла попытка вызова команды без подтверждения подлинности.

Из приведенного списка видно, что диапазон сигнатур меняется от очень простых, типа проверки значений поля заголовка - до очень сложных сигнатур, которые могут прослеживать состояние подключения или выполнять анализ протокола. Обратите внимание, что возможности сигнатур зависят от конкретных IDS систем, т.е. некоторые из описанных методов не могут быть осуществлены в вашей IDS.

Некоторые сигнатуры могут сообщить вам, что происходит попытка определенного типа нападения или кто-то пытается эксплуатировать известные уязвимости в программных продуктах, в то время как другие сигнатуры могут только выявлять необычное поведение, при этом не обязательно должна проходить идентификация типа нападения. Некоторые сигнатуры способны, при определенной затрате времени и программных ресурсов, идентифицировать инструмент, которым нападающий пытается вызвать злонамеренное действие, и это даст вам подробную информацию относительно того, как, кем и почему вы атакованы, и каковы дальнейшие намерения злоумышленника.